Il blog di Sanremo è basato su WordPress MU: sarà sicuro?
Mercoledì 18 Febbraio 2009 - 14:24
di Matteo Campofiorito
Ieri è partito Sanremo 2009, e come ci si poteva aspettare accanto al sito “istituzionale” è stato affiancato un blog. È interessante notare come sia stata scelta come piattaforma WordPress MU, versione del blog engine opensource adatta alla gestione di più blog.
Nella fattispecie si tratta di una versione non recentissima di WordPress MU, si tratta infatti della release 2.6.1, come leggibile dal meta tag:
<meta name="generator" content="WordPress 2.6.1" />
Non sorprende che sia stata scelta una piattaforma open source ma è “singolare” come in home page non ci sia neppure un link a WordPress.org.
Altrettanto “singolare” è la poca attenzione alla sicurezza del blog. Dirigendo il browser verso le directory dei plugin e dei temi si accede senza alcun problema alla lista dei componenti aggiuntivi installati e ai template utilizzati. Già, avete capito bene, i template. Infatti all’interno di wp-contents/themes, si trovano archivi tar.gz che contengono i template di molti blog di trasmissioni RAI: TG1, Giro d’Italia, Neapolis, Ambiente Italia.
Il blog di Sanremo si segnala per un mancanza di quei requisiti minimi di sicurezza che dovrebbero essere presenti in qualsiasi installazione. Una directory dei plugin che mostra una lista di quelli installati è un invito troppo ghiotto per chi è in cerca di eventuali punti deboli utili per effettuare un attacco. La possibilità del download dei temi utilizzati da molti blog RAI invece non comporta pericoli, ma certo consente a chiunque di poter ficcare il naso nei file PHP dei template, senza alcun problema.
Insomma, oltre alla poca correttezza nell’utilizzare un software open source senza neppure un link nel footer dell’home page, la sicurezza della piattaforma non è eccezionale. L’unica accortezza da segnalare è l’inibizione della cartella wp-admin tramite .htaccess a qualsiasi visitatore, un ostacolo per chi voglia provare un attacco “brute force” alla pagina di login della piattaforma.
AGGIORNAMENTO: Da qualche minuto le directory dei plugin e dei temi sono state rese inaccessibili dagli amministratori del blog.
Commenti
1
Attenzione…
non mi stupirebbe se si potesse accedere anche alla lista dei vincitori di quest’anno :# - postato da Vittorio - 18 Febbraio 2009 - 14:41
2
è una vergogna considerando i mezzi che ha a disposizione la RAI. La sicurezza soprattutto per siti rivolti al grande pubblico e istituzionali (San Remo mio malgrdo lo è) dovrebbe essere al primo posto!
3
Più che del blog dedicato a Sanremo, bisognerebbe parlare della gestione dei vari blog del sito della Rai (visto che si parla di WordPress MU) e quindi questa cosa dovrebbe essere possibile da tutti i blog della Rai, o no?
4
è pure molto lento, e in firefox la grafica è shiftata.. potrebbero usare WP_Super_Cache… comunque, lunga vita a Wordpress ;)
5
si con firefox l’immagine della testata copre il menu in alto.
6
Che vergogna, spendono una fortuna per il presentatore, e non son capaci di mettere su un sito esclusivo realizzato da qualche SEO professionista che sa’ quel che fa. Non so quanto hanno speso per avere Bonolis (mi pare 1′000′000.- di euro se non erro). Bastava l’1% di quella somma per realizzare qualcosa di più professionale :)
7
Mamma mia, ma chi ha creato quel template??
E’ tristissimo, nn credete??