Come rendere sicuro Joomla contro attacchi degli hacker
Scritto Monday 7 December 2009 alle ore 8:52
Gironzolavo in internet quando sono incappato in un titolo interessante: "Come rendere sicuro Joomla contro attacchi degli hacker". Oramai chiunque si alzi la mattina con la voglia di fare il blogger può farlo senza grossi problemi usando piattaforme esistenti messe a disposizione da varie società a vario titolo o scaricando un qualche pacchetto Open Source come Joomla! o Wordpress (tanto per citarne due esempi famosi).
Si è una buona soluzione specie se chi decide di fare il blogger non è un programmatore in grado di realizzare la propria piattaforma.
Qui però interviene il problema sicurezza. I software di blog open source hano purtroppo il difetto (che è però anche il loro pregio) di avere codice aperto e conosciuto. Studiando il codice è possibile individuare delle falle di sicurezza che vengono spesso anche ampiamente documentate. La fregatura veramente grossa è che c'è gente che si diverte un mondo a sfruttare questa documentazione, spesso redatta per scopi benefici e migliorativi, per far danno e mettere in crisi gli utilizzatori dei suddetti software.
E' proprio di qualche settimana fa la mia ultima esperienza diretta con una situazione simile. La società in cui lavoro ha deciso di acquistare una serie di blogs realizzati su Wordpress-MU (una sessantina). Abbiamo preso i blog, instalato il software sui nostri server e abbiamo eseguito tutti gli aggiornamenti disponibili sia per Wordpress-MU che per i vari plugins installati. Messo tutto in produzione abbiamo subito un primo attacco dopo nemmeno mezza giornata. Ad ora siamo riusciti a portare il tutto ad una situazione quasi stabile ma spesso si ripresentano problemi di carico sui server (probabilmente il codice non è proprio ottimizzatissimo).
Questa esperienza mi ha spinto a buttare il mio vecchio sito realizzato con Joomla! e a realizzare questo in maniera custom. Capisco perfettamente che non è una soluzione applicabile per tutti, specie per i non programmatori, ma data la mia esperienza mi viene da dire: "Gli unici Joomla o Worpress sicuri sono quelli non installati".
