Sicurezza del tuo sito web realizzato con CMS

Eccoci qua con un’altro post sulla “sicurezza web“, in particolare parliamo di metodi e statistiche di hacking di un sito web fatto con CMS come WordPress.

Facciamo un piccolo passo indietro per fare una premessa, ad oggi sono poche le piccole e medie imprese che si fanno fare un sito da zero, from scratch; di fatto per motivi legati a tempi e costi di realizzo (ma diciamocelo anche di offerta!) si preverisce puntare su piattaforme già pronte, i CMS o Content Management System, come WordPress, Joomla, Drupal, Typo3… (e chi più ne ha più ne metta) per poi aggiungere un template grafico con qualche piccola implementazione custom, più una serie di plugins che si andranno ad installare in base alle proprie esigenze per far fronte ad una mancanza di funzionalità sul core. In media un sito semplice fatto in questo modo può “cubare” dai 3 ai 15 giorni di lavoro. Altro vantaggio nell’utilizzo di un CMS è che sono fatti con liguaggio di programmazione PHP ed è quindi molto facile reperire programmatori freelance e hosting web economici.

Le insidie ed i pericoli che stanno dietro alla realizzazione di un sito web con approccio basato al risparmio crea insicurezza per il tuo business. Si è proprio così, ti è mai capitato di svegliarti la mattina e di trovare il sito della tua attività “bucato” da qualche cracker o hacker? Beh a me si, e non è piacevole trovarsi dei links verso siti esterni, di pornografia e gambling, nascosti nella Home Page. Verrebbe da chiedersi il fanno queste cose e perchè proprio sul mio sito? La risposta è più semplice di quello che sembra, c’è sempre più competizione in ambito SEO e quando hai un posizionamento importante su Google alcuni tuoi competitor (i più smaliziati e senza scrupoli) ti fanno anche della negative seo allo scopo di farti prendere una penalizzazione bigG e scavalcarti nel posizionamento.

Di seguito un grafico che mostra una statistica aggiornata su come viene “bucato” un sito in WordPress :

hacked website stats
hacked website stats

Come si può notare dal grafico, più del 55% degli attacchi effettuati con successo ad un CMS in WordPress sono proprio sui plugins, ovvero quelle estensioni installate che rispondono all’esigenza di più funzionalità rispetto al core di WordPress. Al terzo posto, con meno del 10% troviamo attacchi al core, al quarto posto attacchi ai temi grafici con circa il 5% ed i restanti che riguardano più aspetti di sicurezza sull’infrastruttura utilizzata come brute force 17% e hosting 6%.

Guardando questi dati, la domanda sorge spontanea, come mai gli attacchi con successo si verificano maggiormente su plugins e temi rispetto al core? La risposta è semplice, sul core vengono effettuati rilasci continui dalla community che lo sviluppa, c’è un’aggiornamento continuo e costante. Tutta questa insicurrezza su plugins e temi è spiegata dal fatto che spesso queste “estensioni” sui CMS, quasi sempre gratuite, non sono ben realizzate e\o nel tempo non sono manutenute e diciamo anche esistono tool e veri e propri sistemi, nati con lo scopo di verificare ed aumentare la sicurezza, che effettuano una scansione completa partendo dal sito web alla ricerca di vulnerabilità su componenti non aggiornati… se utilizzati da male intenzionati diventa un problema.

Per concludere, ci tengo a precisare che non sono contro l’utilizzo di CMS per risparmiare (anzi!), ma cerchiamo di stare attenti a tutto quello che viene aggiunto in estensione al core.

Per approfondimenti con le motivazioni di attacchi infomatici puoi visitare anceh il sito.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *