La segnalazione dell'attacco è avvenuta tramite SMS, l'admin che gestisce un servizio di hosting ha quindi dovuto controllare l'entità  del problema e scoprire che il suo server era stato bucato:

che vuol dire? che sono un cattivo admin? certo che no! il problema è nato da un sito, che installa il Mambo server, uno dei suoi componenti non essendo aggiornato è stato violato. Il componente è il comm_zoom, non è la prima volta che accade.

La domanda che si pone l'autore è più che corretta, ma la risposta è abbastanza semplice: l'admin di un server Web non può controllare ogni azione svolta dai webmaster dei siti ospitati, quindi ad un defacement riuscito non corrisponde necessariamente un admin pelandrone o incapace:

Ora io mi chiedo e dico, posso essere l'admin più bravo di tutto il mondo internet ma se uno solo dei siti che c'è all'interno del mio server è bucabile, sicuramente verrà  prima o poi bucato se nessuno patcha gli script.

Ancora una volta si pone il problema relativo alla sicurezza delle estensioni di terze parti; Mambo come altri Content Manager diffusi è una soluzione abbastanza sicura, le applicazioni prodotte al di fuori dello sviluppo del core possono invece presentare errori anche gravi di scripting tanto da abbassare notevolmente il livello di sicurezza generale dell'intero CMS.

Ora non dico che si debba abbandonare per questo motivo l'utilizzo dei CMS in favore dello sviluppo "from scratch", questa è infatti la scelta dell'autore:

Ecco perchè non installo wordpress o phpnuke o qualche altro script già  fatto, preferisco sempre costruirmi io il mio CMS, farlo hardcoded, di modo che sia perlomeno più difficile bucarlo.

Ma se proprio si preferisce utilizzare soluzioni già  pronte un minimo di attenzione è sempre consigliabile.

2 CommentiDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *

Non é detto che un CMS from scratch sia più sicuro di uno Open Source. La differenza sta nel fatto che il codice di un software Open Source é aperto e quindi tutti possono scoprire facilmente se ha delle falle oppure no, ma proprio per questo poi, con il passare del tempo, gli script open source diventano via via più sicuri. Ricordo che c'era un sito tanti anni fa, che si chiamava alexmessomalex (ahahah) e in prima pagina c'era scritto: "Un computer sicuro é un computer spento".

Nemesis Design
Nemesis Design

Grazie della segnalazione :) E dei commenti positivi. Purtroppo mi son dovuto adattare a WordPress anche per il mio sito, anche se qualche modifica me la son fatta per renderlo più sicuro. Purtroppo l'esperienze con mambo e joomla mi sono costate care, parecchio, il fatto di utilizzare questi plugin belli ma poco sicuri é un punto a sfavore di quelle piattaforme. Ancora grazie della segnalazione

k76
k76