I blog tecnici non fanno attenzione alla sicurezza?
venerdì, 1 gennaio, 2010
Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.
Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.
Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate…
La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.
Non sono un esperto di sicurezza e le prove che ho fatto sono davvero banali, ma proprio per questo evidenziano una carenza basilare di attenzione alla sicurezza da parte dei blogger tecnici più noti. Qualche nome? Ecco una piccola lista dei blog che ho “analizzato”, in tutti i casi non c’è traccia di .htaccess nell’area amministrativa. Tra parentesi mi limito a segnalare i casi in cui la versione sia stata occultata o venga utilizzata una versione di WordPress obsoleta (non considera la 2.8.6 obsoleta):
- Manteblog (versione di WP ferma alla 2.5.1)
- Andrea Beggi
- Napolux
- Catepol
- Maestro Alberto
- Levysoft
- Ricerche IT (versione di WP ferma alla 2.6)
- Google Analytics in 30 secondi
- Gianni Amato
- Giovy
- Gioxx
- TagliaBlog (non c’è il meta name generator)
- Matteo Moro (generator cambiato con Bluefish)
- WordPress Italy
Questi sono solo alcuni casi, non ho preso in considerazione volutamente i network ma solo i blog personali e solo alcuni tra i più noti (secondo me). Da domani mi aspetto DDoS verso bufferOverflow.it e SQLInjection da parte di tutti, tanto per farmi capire che la mia analisi è stata apprezzata da tutti i blogger citati, oppure un silenzio assordante, segno che questa analisi non interessa a nessuno…
28 Commenti per “I blog tecnici non fanno attenzione alla sicurezza?”
Lascia un commento
Additional comments powered by BackType
gennaio 1st, 2010 at 11:24 pm
Altro che DDoS, grazie per la segnalazione! Il calzolaio ha sempre le scarpe bucate, no?
[Rispondi]
gennaio 1st, 2010 at 11:31 pm
@Matteo Si, la mia intenzione è ovviamente positiva e propositiva, ma non si sa mai, c’è sempre qualcuno che si può infastidire
[Rispondi]
gennaio 2nd, 2010 at 4:37 pm
Penso sia sempre utile vedersi segnalare cose di questo tipo.
Personalmente però mi fa un po’ specie vedere nella lista nomi di un certo calibro, che seguo quotidianamente.
Ma d’altronde siamo tutti persone normali con i nostri impegni e priorità, e le sviste ci stanno. Nessuno è perfetto come si suol dire!
[Rispondi]
gennaio 2nd, 2010 at 6:16 pm
grazie per la segnalazione
[Rispondi]
gennaio 2nd, 2010 at 6:27 pm
http://wordpress.org/development/2009/09/keep-wordpress-secure/
ciao
[Rispondi]
gennaio 2nd, 2010 at 6:29 pm
l’htaccess in wp-admin è un di più che ti aiuta a rendere a te stesso l’accesso alla dashboard più complicato.
[Rispondi]
Matteo Campofiorito Risposta:
gennaio 2nd, 2010 alle 8:34 pm
Non sono d’accordo, basta che tu admin/utente del blog salvi la password dell’htaccess nel tuo browser e la cosa è fatta, mentre per chi cerca di bucarti o per un worm le cose si complicano notevolmente
[Rispondi]
gennaio 2nd, 2010 at 6:37 pm
Ad ogni modo non consideri la 2.8.6 obsoleta e metti in lista me che ho giusto la 2.8.6.? A leggere qui poi http://wordpress.org/development/2009/09/keep-wordpress-secure/ mi sembra bastino gli aggiornamenti no? E’ lungo e tecnico, ma il succo è questo.
[Rispondi]
Matteo Campofiorito Risposta:
gennaio 2nd, 2010 alle 8:36 pm
Ciao, ti ho messa in lista perché non nascondi il numero dii versione e perché non hai un .htaccess a protezione di wp-admin, la 2.8.6 non la considero obsoleta soltanto perché la 2.9 deve ancora essere “patchata” a dovere (è già dietro l’angolo la 2.9.1)
[Rispondi]
gennaio 2nd, 2010 at 8:50 pm
Non sarai d’accordo ma, onestamente ha poca importanza. Personalmente io preferisco seguire quello che dice Matt Mullenweg, tu fai pure come ti pare.
Gli UCCS sono sempre aperti.
ciao
[Rispondi]
Matteo Campofiorito Risposta:
gennaio 2nd, 2010 alle 9:52 pm
Guarda, Mullenweg può dire quello che vuole e questi possono essere argomenti “triti e ritriti” come dici tu (http://wol.ly/2010/01/02/wordpress-sicurezza/). Però se Matt pensa che proteggere wp-admin con un .htaccess sia una stupidaggine converrebbe facesse modificare la pagina del Codex, altrimenti la comunità WordPress rischia di sembrare schizofrenica.
[Rispondi]
gennaio 5th, 2010 at 2:55 pm
@Wolly, se Mullenweg consigliasse ai suoi utenti di utilizzare un .htaccess per l’accesso alla sua pagina di login sarebbe un’ammissione del fatto che il suo sistema di autenticazione fa acqua… e “Ogni scarrafone è bello ‘a mamma soja”
I fatti intanto parlano chiaro…
P.S. Aggiungo un ulteriore accorgimento: per il database evitare di utilizzare il prefisso di tabella classico (ovvero wp_).
[Rispondi]
gennaio 5th, 2010 at 10:36 pm
Io in realtà ci leggo altre cose nell’intervento di Mullenweg, ci leggo che l’unica strada è mantenere aggiornato il software in modo rapido e costante.
Si possono ovviamente aumentare le sicurezze e gli accorgimenti, quello si, ma nella mia lunga esperienza per quanto ci si sforzi di creare sicurezze salta sempre fuori un worm, una falla, un bug che le rende vane.
Io personalmente i file .htaccess cerco di evitarli poiché con le loro potenzialità, possono ritorcersi contro gli utenti stessi. Ho appena finito di scrivere proprio uno di queste possibili vulnerabilità sul mio blog…
[Rispondi]
gennaio 11th, 2010 at 6:59 pm
[...] I blog tecnici non fanno attenzione alla sicurezza? [...]
gennaio 27th, 2010 at 9:28 am
Quoto, anzi blockquoto.
[Rispondi]
gennaio 2nd, 2010 at 9:10 pm
Secondo me sarebbe da aggiungere anche la buona regola di cambiare la password del proprio account FTP. Vogliamo ricordarci cosa è successo su Aruba ultimamente? :-S Il mio Blog è stato infettato ben 2 volte! E non è che Aruba regali lo spazio Web eh…
This comment was originally posted on Wolly’s Weblog
[Rispondi]
gennaio 2nd, 2010 at 9:10 pm
Secondo me sarebbe da aggiungere anche la buona regola di cambiare la password del proprio account FTP. Vogliamo ricordarci cosa è successo su Aruba ultimamente? :-S Il mio Blog è stato infettato ben 2 volte! E non è che Aruba regali lo spazio Web eh…
This comment was originally posted on Wolly Weblog
[Rispondi]
gennaio 2nd, 2010 at 9:16 pm
Se non hai il tuo server gestito devi per forza sperare che la gestione del server sia fatta al meglio.
This comment was originally posted on Wolly’s Weblog
[Rispondi]
gennaio 2nd, 2010 at 9:16 pm
Se non hai il tuo server gestito devi per forza sperare che la gestione del server sia fatta al meglio.
This comment was originally posted on Wolly Weblog
[Rispondi]
gennaio 2nd, 2010 at 9:26 pm
Bè si, l’intrusione dei server è un fattore esterno non controllabile dall’utente. Io mi sono rivolto ad Aruba proprio sperando che la loro sicurezza fosse elevata e forse hanno fallito… Peccato!
This comment was originally posted on Wolly’s Weblog
[Rispondi]
gennaio 2nd, 2010 at 9:26 pm
Bè si, l’intrusione dei server è un fattore esterno non controllabile dall’utente. Io mi sono rivolto ad Aruba proprio sperando che la loro sicurezza fosse elevata e forse hanno fallito… Peccato!
This comment was originally posted on Wolly Weblog
[Rispondi]
gennaio 9th, 2010 at 1:25 pm
Questo articolo è stato segnalato su ZicZac.it….
Settantacinquesima puntata di RSSWeek: se vuoi ricevere tutto questo in anteprima, insieme ad un sacco di altro succoso materiale, non devi fare altro che seguirmi su Friendfeed. I link della settimana sono anche su Delicious.com, buona visione/lettura…
This comment was originally posted on Matteo Moro
[Rispondi]
gennaio 9th, 2010 at 1:26 pm
RSS Week #75: video e letture per il weekend…
Settantacinquesima puntata di RSSWeek: se vuoi ricevere tutto questo in anteprima, insieme ad un sacco di altro succoso materiale, non devi fare altro che seguirmi su Friendfeed. I link della settimana sono anche su Delicious.com, buona visione/lettura…
This comment was originally posted on Matteo Moro
[Rispondi]
gennaio 11th, 2010 at 4:12 pm
Grazie mille per la citazione Matteo
“Don’t suck at email”…quante verità!
This comment was originally posted on Matteo Moro
[Rispondi]
gennaio 11th, 2010 at 7:42 pm
@Francesco:
Di nulla! Oltretutto E-Bay Partner Network sta funzionando discretamente bene qui, quindi grazie a te per il suggerimento Lascio passare ancora un po’ di tempo (per avere qualche dato in più) e poi ci scrivo un post.
This comment was originally posted on Matteo Moro
[Rispondi]
gennaio 13th, 2010 at 6:42 pm
Grazie per aver citato un post dal mio sito … E’ un onore
This comment was originally posted on Matteo Moro
[Rispondi]
gennaio 13th, 2010 at 9:53 pm
Addirittura un onore, esagerato
This comment was originally posted on Matteo Moro
[Rispondi]
aprile 4th, 2010 at 1:08 pm
grazie per la citazione!!
This comment was originally posted on Matteo Moro
[Rispondi]