Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.
Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.
Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate…
La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.
Leggi tutto