WordPress per l’azienda: un terzo dei siti e’ a rischio sicurezza

Pubblicato in Digital il 23 maggio 2014

Sin dal suo ingresso in scena, siamo stati grandi sostenitori della piattaforma WordPress. Un tempo utilizzato esclusivamente come piattaforma di blogging e successivamente evolutosi come soluzione ideale per siti web grandi e piccoli, questo CMS è oggi uno dei più utilizzati al mondo grazie al suo approccio content first che mette in primo piano la scrittura, piuttosto che la programmazione.

Tuttavia, proprio la grande popolarità della piattaforma rischia di diventare il suo principale tallone d’Achille. Una installazione non aggiornata e non monitorata è infatti a serio rischio attacco informatico. Vale la pena di ricordare che molti attacchi sono concepiti per mettere in atto attività illecite rimanendo del tutto invisibili al proprietario del sito.

I rischi

Come già accennato molti attacchi sono concepiti per svolgere attività illegali (un esempio: i DDOS) senza che il proprietario del sito possa riscontrare anomalie particolari. Questo tipo di attacchi mirano ad impadronirsi, in modo invisibile, delle capacità di networking del server su cui è installato il sito ed utilizzarle per finalità estranee a quelle originali.

Inutile dire che i danni, nel caso di attività particolarmente gravi, potrebbero andare ben oltre la mera questione tecnica.

Da dove arriva il pericolo?

Plugin insicuri e poco aggiornabili: una delle forze di WordPress è il grande numero di plugin, installabili direttamente dal pannello di amministrazione, che forniscono funzionalità aggiuntive di ogni genere. Sfortunatamente, è sufficiente che un solo plugin installato sia affetto da problemi di sicurezza per mettere in pericolo tutto il sistema. Ogni file insicuro è infatti una porta di ingresso che consente a malintenzionati di effettuare ulteriori operazioni malevole, fino ad compromettere le funzionalità del sito o, peggio, utilizzarlo per diffondere segretamente contenuto illegale. L’aggiornamento periodico del sistema è consigliato per mantenere alto il livello di sicurezza.

Ma qui nasce un secondo problema: se uno dei plugin utilizzati non è compatibile con l’aggiornamento di WordPress, ci troveremo nella fastidiosa situazione di dover scegliere tra un sito che non funziona, ed uno che potrebbe essere manomesso in qualsiasi momento.

Un sistema “troppo” diffuso: Le dimensioni dell’ecosistema di un progetto open source sono importanti. Un progetto promettente potrà avere successo solo se riuscirà a sviluppare una comunità di utilizzatori e sviluppatori (i quali potranno contribuire con moduli aggiuntivi) sufficientemente vasta. Ma quando un progetto diventa “troppo” diffuso, ed i numero di utilizzatori cresce esponenzialmente, il sistema è anche esposto ad un numero maggiore di minacce alla sicurezza.

ci troveremo nella situazione di dover scegliere
tra un sito che non funziona ed uno che potrebbe essere manomesso in qualsiasi momento

Si verifica, infatti, un fenomeno di “economia di scala”: anche se il sistema è relativamente sicuro e privo di evidenti vulnerabilità, un eventuale hacker potrà contare sul fatto che il suo sforzo gli consentirà di “bucare” potenzialmente migliaia, o centinaia di migliaia, di siti web. Al contrario, un sistema meno diffuso, con pari livello di sicurezza, avrà sicuramente minori probabilità di essere minacciato.

In aggiunta, le prestazioni non sono probabilmente ottimali: un sistema “per tutti” è per definizione soggetto a compromessi ed all’introduzione di funzionalità che potrebbero non essere utili ad ogni utente. Un CMS che serve centinaia di migliaia di siti deve considerare tutti i casi e le possibili eccezioni, introducendo nell’applicazione controlli e funzionalità che, potenzialmente, possono appesantire il sistema.

Prevenire è meglio che curare

WordPress può essere un sistema sicuro e performante, a patto però, che venga costantemente monitorato ed aggiornato. Spesso queste operazioni possono essere eseguite da normali amministratori; a volte, però, l’intervento tecnico è necessario per risolvere incompatibilità o anomalie.

Handmade propone, alla realizzazione di ogni suo sito, un servizio di assistenza tecnica che garantisce non solo l’aggiornamento ed il monitoraggio del sito, ma anche l’intervento immediato in caso di anomalie ed attacchi portati da malintenzionati. Abbiamo constatato che il guadagno in termini di tranquillità e la garanzia di non vedere mai il proprio sito andare in bianco sono assolutamente apprezzati dalla maggior parte dei nostri clienti.

Se hai un sito e desideri fare un checkup gratuito, contattaci pure, siamo a disposizione.

La newsletter
per chi e' un passo avanti

Consigli, strategie ed informazioni riservate
per surclassare la concorrenza


iscrivimi

Accetto la privacy policy

Share on FacebookShare on LinkedInTweet about this on TwitterGoogle+Pin on Pinterest

vicolo Campana 3, Treviso - homepage - Contatti