Poche settimane fa è stato rilasciato un importante aggiornamento di sicurezza del CMS WordPress: tutti i gestori di siti realizzati con questo strumento sono invitati ad effettuare al più presto un update alla versione 4.7.2. L’ultima release, infatti, risolve un grave problema di sicurezza legato alle REST API, tale da permettere ad un attaccante di compromettere il sito web con tecniche di defacement.
Poche settimane fa, prima di Natale, anche un altro popolare CMS era stato oggetto di un aggiornamento di Sicurezza. La community di Joomla ha pubblicato la security release 3.6.5 e invitato gli utilizzatori ad effettuare un analogo intervento.
In 3Juice utilizziamo abitualmente tutti i principali CMS opensource disponibili. In funzione del progetto, scegliamo quello più adatto a raggiungere gli obiettivi del cliente. Ogni volta ci viene chiesto di proporre il CMS migliore dal punto di vista dell’usabilità o della stabilità. A volte (purtroppo solo “a volte”, a testimoniare che una cultura della sicurezza web non è ancora diffusa) l’attenzione è rivolta anche nei confronti delle potenziali vulnerabilità dello strumento usato. Purtroppo o per fortuna non esiste il CMS perfetto, anche in relazione a questa tematica. A tutti i progetti, nostri e altrui, però consigliamo di applicare queste linee guida:
- scegliere un CMS ampiamente diffuso e sostenuto da una community attiva: per esempio, verificare il tempo trascorso tra le segnalazioni di vulnerabilità e il rilascio di aggiornamenti;
- aggiornare il CMS, sempre: spesso ci vogliono 5 minuti;
- non eccedere con i plugin di terze parti e, nel caso, utilizzare sempre oggetti aggiornati e di riconosciuta affidabilità;
- installare plugin di miglioramento / monitoraggio della sicurezza dello strumento (per esempio, Sucuri per WordPress);
- iscriversi ad una newsletter di settore, per ricevere il prima possibile indicazioni sulla necessità di aggiornamento, oppure tenere sotto controllo le segnalazioni che i CMS moderni inviano automaticamente nel proprio back-office;
- Impostare backup periodici ed effettuare backup manuali ad ogni aggiornamento strutturare del sito.