Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.
Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.
Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate…
La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.
Non sono un esperto di sicurezza e le prove che ho fatto sono davvero banali, ma proprio per questo evidenziano una carenza basilare di attenzione alla sicurezza da parte dei blogger tecnici più noti. Qualche nome? Ecco una piccola lista dei blog che ho “analizzato”, in tutti i casi non c’è traccia di .htaccess nell’area amministrativa. Tra parentesi mi limito a segnalare i casi in cui la versione sia stata occultata o venga utilizzata una versione di WordPress obsoleta (non considera la 2.8.6 obsoleta):
- Manteblog (versione di WP ferma alla 2.5.1)
- Andrea Beggi
- Napolux
- Catepol
- Maestro Alberto
- Levysoft
- Ricerche IT (versione di WP ferma alla 2.6)
- Google Analytics in 30 secondi
- Gianni Amato
- Giovy
- Gioxx
- TagliaBlog (non c’è il meta name generator)
- Matteo Moro (generator cambiato con Bluefish)
- WordPress Italy
Questi sono solo alcuni casi, non ho preso in considerazione volutamente i network ma solo i blog personali e solo alcuni tra i più noti (secondo me). Da domani mi aspetto DDoS verso bufferOverflow.it e SQLInjection da parte di tutti, tanto per farmi capire che la mia analisi è stata apprezzata da tutti i blogger citati, oppure un silenzio assordante, segno che questa analisi non interessa a nessuno…
Altro che DDoS, grazie per la segnalazione! Il calzolaio ha sempre le scarpe bucate, no? 😛
@Matteo Si, la mia intenzione è ovviamente positiva e propositiva, ma non si sa mai, c'è sempre qualcuno che si può infastidire 🙂
Penso sia sempre utile vedersi segnalare cose di questo tipo.
Personalmente però mi fa un po' specie vedere nella lista nomi di un certo calibro, che seguo quotidianamente.
Ma d'altronde siamo tutti persone normali con i nostri impegni e priorità, e le sviste ci stanno. Nessuno è perfetto come si suol dire! 🙂
grazie per la segnalazione
http://wordpress.org/development/2009/09/keep-wor…
ciao
l'htaccess in wp-admin è un di più che ti aiuta a rendere a te stesso l'accesso alla dashboard più complicato.
Non sono d'accordo, basta che tu admin/utente del blog salvi la password dell'htaccess nel tuo browser e la cosa è fatta, mentre per chi cerca di bucarti o per un worm le cose si complicano notevolmente
Ad ogni modo non consideri la 2.8.6 obsoleta e metti in lista me che ho giusto la 2.8.6.? A leggere qui poi http://wordpress.org/development/2009/09/keep-wor… mi sembra bastino gli aggiornamenti no? E' lungo e tecnico, ma il succo è questo.
Ciao, ti ho messa in lista perché non nascondi il numero dii versione e perché non hai un .htaccess a protezione di wp-admin, la 2.8.6 non la considero obsoleta soltanto perché la 2.9 deve ancora essere "patchata" a dovere (è già dietro l'angolo la 2.9.1)
Non sarai d'accordo ma, onestamente ha poca importanza. Personalmente io preferisco seguire quello che dice Matt Mullenweg, tu fai pure come ti pare.
Gli UCCS sono sempre aperti.
ciao
Guarda, Mullenweg può dire quello che vuole e questi possono essere argomenti "triti e ritriti" come dici tu (http://wol.ly/2010/01/02/wordpress-sicurezza/). Però se Matt pensa che proteggere wp-admin con un .htaccess sia una stupidaggine converrebbe facesse modificare la pagina del Codex, altrimenti la comunità WordPress rischia di sembrare schizofrenica.
@Wolly, se Mullenweg consigliasse ai suoi utenti di utilizzare un .htaccess per l'accesso alla sua pagina di login sarebbe un'ammissione del fatto che il suo sistema di autenticazione fa acqua… e "Ogni scarrafone è bello 'a mamma soja" 😉
I fatti intanto parlano chiaro…
P.S. Aggiungo un ulteriore accorgimento: per il database evitare di utilizzare il prefisso di tabella classico (ovvero wp_).
Io in realtà ci leggo altre cose nell'intervento di Mullenweg, ci leggo che l'unica strada è mantenere aggiornato il software in modo rapido e costante.
Si possono ovviamente aumentare le sicurezze e gli accorgimenti, quello si, ma nella mia lunga esperienza per quanto ci si sforzi di creare sicurezze salta sempre fuori un worm, una falla, un bug che le rende vane.
Io personalmente i file .htaccess cerco di evitarli poiché con le loro potenzialità, possono ritorcersi contro gli utenti stessi. Ho appena finito di scrivere proprio uno di queste possibili vulnerabilità sul mio blog…
Quoto, anzi blockquoto. 😉