WordPress è il software web più pericoloso del 2010

Trend Micro è un’azienda che si occupa di antivirus e sicurezza e, come ogni anno, ha pubblicato la lista dei più pericolosi del 2010. La lista è suddivisa in categorie come hardware, social network, sito web, sistema operativo e così via. Come si può notare a prima vista, la lista è strettamente correlata con il market share del prodotto preso in considerazione: più è diffuso, più gli hacker lo prendono di mira. Ciò è particolarmente evidente quando si legge che il sito web più pericoloso è Google, per via dei vari attacchi di tipo blackhat-SEO, volti a indirizzare gli utenti verso siti infetti da malware.

Alla voce software web più pericoloso del 2010 compare WordPress, il software di blogging più diffuso al mondo. Questo significa che WordPress è pericoloso o vulnerabile? Non proprio:

The riskiest software used by websites in 2010 was the popular blogging platform WordPress. Tens of thousands of un-patched WordPress blogs were used by cybercriminals for various schemes, primarily as part of redirection chains that led to various malware attacks or other blackhat search engine optimization (SEO)-related schemes.

Il 2010 ha visto una forte espansione nell’utilizzo di WordPress e così, con il passare del tempo, sempre più web hosting sono stati oggetto di attacchi. In molti casi, come per esempio Network Solutions a inizio anno, si è scoperto che le vulnerabilità non erano di WordPress, ma del servizio di hosting utilizzato.  Inoltre spesso si tende a dare la colpa a WordPress, quando in realtà è un plugin o un tema a nascondere falle di sicurezza, a volte molto gravi. In ogni caso, tutte le vulnerabilità scoperte all’interno di WordPress durante il 2010 sono state sistemate rapidamente e rilasciate alla comunità attraverso gli aggiornamenti.

La frase che però lascia più interdetti è la seguente:

Tens of thousands of unpatched WordPress blogs

La presenza di molte versioni vecchie di WordPress è sicuramente un fattore molto negativo. Un hacker deve faticare per bucare un’installazione di WordPress, ma, se si tiene un’installazione vecchia, con falle di sicurezza note, sicuramente gli si spiana la strada, facilitandogli notevolmente il compito. Questo ovviamente ridimensiona notevolmente il titolo di software web più pericoloso: se WordPress è il CMS più diffuso, e molti non lo tengono aggiornato, è scontato che sia oggetto di molti attacchi, un po’come un’installazione di Windows XP non aggiornata.

Per evitare di essere oggetto di attacchi, ecco alcuni consigli:

  • Tenere sempre WordPress aggiornato all’ultima versione, anche se magari non si è interessati alle nuove funzionalità introdotte. Le nuove versioni, infatti, contengono quasi sempre correzioni di bug o falle di sicurezza, che è opportuno avere.
  • Scegliere con cura i plugin e i temi, assicurandosi che siano recenti (data dell’ultimo aggiornamento), e che molti altri utenti li stiano utilizzando (voti e numero di download). In questo modo è più facile che eventuali problemi vengano scoperti e sistemati velocemente.
  • Tenere sempre i plugin ed i temi aggiornati all’ultima versione, in modo da chiudere eventuali falle di sicurezza ed evitare problemi di c0mpatibilità con le nuove versioni di WordPress.
  • Avere password robuste sia per l’accesso al pannello di amministrazione che per l’accesso via FTP o al pannello del web hosting. Una buona password è formata da almeno 8 caratteri con lettere, numeri, caratteri speciali (£, $, &, % ecc.)  o di punteggiatura.
  • Effettuare un backup dei files e del database settimanale o mensile, a seconda della frequenza di aggiornamento del blog, in modo da poter ripristinare tutto in caso di problemi.
Precedente WordPress 3.1 Release Candidate 2 Successivo Picture Box: tema WordPress per fotografia con visualizzazione AJAX