Spesso si parla di WordPress in malo modo. In particolare si parla poco bene della sua sicurezza. A parlarne però sono sempre gli utenti finali e non i consulenti o gli sviluppatori.
WordPress è il CMS più diffuso al mondo e anche nomi illustri della tecnologia ne fanno utilizzo. Un buon motivo ci sarà.
Allora quale è il problema reale di WordPress?
Il problema della vulnerabilità di WordPress sta nell’utilizzatore. Buona parte dei siti realizzati in WordPress sono stati creati da Operai, Falegnami, Garzoni, Cugini, Nipoti, Figli… etc… Pochi sono realizzati da consulenti web e sviluppatori che sanno cosa è giusto fare e cosa no, sanno come configurare il CMS, sanno come proteggere WordPress da intrusioni.
Voi fareste dare il progetto di casa vostra da un Gelataio, da un Bidello, da un Dentista? No!! Vi rivolgete ad un consulente, un geometra, un ingegnere.
Lo stesso deve essere fatto per la creazione di un sito web.
Bisogna rivolgersi a chi realizza siti di mestiere. Non chi ha la passione o l’hobby del sviluppatore web.
Ricercatori di cybersicurezza hanno identificato massicce iniezioni di codice maligno in migliaia di siti realizzati con la popolare piattaforma Cms. Le modifiche dirottano gli utenti su pagine di assistenza tecnica fasulle.
La causa principale sono temi e plugin pirata, scaricati da torrent e non certificati per risparmiare 10$ o al massimo 30$
Per ripulire i siti è necessario passare al setaccio tutte le risorse presenti sul proprio Cms, inclusi i database, prestando attenzione soprattutto ai plugin più vecchi, che potrebbero essere i primi responsabili dell’iniezione di codice. Sucuri punta il dito soprattutto contro i temi Tagdiv più datati (Newspaper, Newsmag e derivati) e contro il componente aggiuntivo Smart Google Code Inserter, che nelle versioni antecedenti la 3.5 è affetto da una vulnerabilità di tipo Sql injection.