Categorie
Security

I blog tecnici non fanno attenzione alla sicurezza?

Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.

Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.

Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate

La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.

Non sono un esperto di sicurezza e le prove che ho fatto sono davvero banali, ma proprio per questo evidenziano una carenza basilare di attenzione alla sicurezza da parte dei blogger tecnici più noti. Qualche nome? Ecco una piccola lista dei blog che ho “analizzato”, in tutti i casi non c’è traccia di .htaccess nell’area amministrativa. Tra parentesi mi limito a segnalare i casi in cui la versione sia stata occultata o venga utilizzata una versione di WordPress obsoleta (non considera la 2.8.6 obsoleta):

Questi sono solo alcuni casi, non ho preso in considerazione volutamente i network ma solo i blog personali e solo alcuni tra i più noti (secondo me). Da domani mi aspetto DDoS verso bufferOverflow.it e SQLInjection da parte di tutti, tanto per farmi capire che la mia analisi è stata apprezzata da tutti i blogger citati, oppure un silenzio assordante, segno che questa analisi non interessa a nessuno…

15 risposte su “I blog tecnici non fanno attenzione alla sicurezza?”

Penso sia sempre utile vedersi segnalare cose di questo tipo.

Personalmente però mi fa un po' specie vedere nella lista nomi di un certo calibro, che seguo quotidianamente.

Ma d'altronde siamo tutti persone normali con i nostri impegni e priorità, e le sviste ci stanno. Nessuno è perfetto come si suol dire! 🙂

http://wordpress.org/development/2009/09/keep-wor

Whenever a worm makes the rounds, everyone becomes a security expert and peddles one of three types of advice: snake oil, Club solutions, or real solutions. Snake oil you’ll be able to spot right away because it’s easy. Hide the WordPress version, they say, and you’ll be fine. Uh, duh, the worm writers thought of that. Where their 1.0 might have checked for version numbers, 2.0 just tests capabilities, version number be damned.

ciao

Ciao, ti ho messa in lista perché non nascondi il numero dii versione e perché non hai un .htaccess a protezione di wp-admin, la 2.8.6 non la considero obsoleta soltanto perché la 2.9 deve ancora essere "patchata" a dovere (è già dietro l'angolo la 2.9.1)

@Wolly, se Mullenweg consigliasse ai suoi utenti di utilizzare un .htaccess per l'accesso alla sua pagina di login sarebbe un'ammissione del fatto che il suo sistema di autenticazione fa acqua… e "Ogni scarrafone è bello 'a mamma soja" 😉

I fatti intanto parlano chiaro…

P.S. Aggiungo un ulteriore accorgimento: per il database evitare di utilizzare il prefisso di tabella classico (ovvero wp_).

Io in realtà ci leggo altre cose nell'intervento di Mullenweg, ci leggo che l'unica strada è mantenere aggiornato il software in modo rapido e costante.

Si possono ovviamente aumentare le sicurezze e gli accorgimenti, quello si, ma nella mia lunga esperienza per quanto ci si sforzi di creare sicurezze salta sempre fuori un worm, una falla, un bug che le rende vane.

Io personalmente i file .htaccess cerco di evitarli poiché con le loro potenzialità, possono ritorcersi contro gli utenti stessi. Ho appena finito di scrivere proprio uno di queste possibili vulnerabilità sul mio blog…

Io in realtà ci leggo altre cose nell’intervento di Mullenweg, ci leggo che l’unica strada è mantenere aggiornato il software in modo rapido e costante.

Si possono ovviamente aumentare le sicurezze e gli accorgimenti, quello si, ma nella mia lunga esperienza per quanto ci si sforzi di creare sicurezze salta sempre fuori un worm, una falla, un bug che le rende vane.

Quoto, anzi blockquoto. 😉

I commenti sono chiusi