Componenti a rischio per Joomla

Nei giorni scorsi ho postato qualche contributo riguardante episodi di defacement a carico di Joomla; prima che qualcuno pensi che cerco di farlo passare per un CMS insicuro desidero sottolineare per l'ennesima volta che:

• Joomla è un applicativo ben scritto, testato ed esposto a rischi più per la sua grande diffusione che per problemi relativi alla struttura del core;
• la maggior parte dei defacement subiti da Joomla derivano in modo diretto o indiretto da errore umano (gestione dei permessi, negligenza in fase di configurazione...);
• raramente, praticamente mai, ho letto di casi di defacement in cui non avesse svolto un ruolo fondamentale l'installazione di un modulo di terze parti.

Detto questo, noto con piacere che gli stessi sviluppatori del Content Manager hanno ben presente la preoccupazione degli utenti riguardo a possibili attacchi; infatti sul sito ufficiale è stata pubblicata una lista completa ("J! EXT: VULNERABLE EXTENSIONS LIST") dei componenti per Joomla considerati a rischio.

L'elenco è abbastanza nutrito, ma si deve tenere conto che i componenti per Joomla sono veramente tanti; per alcuni di essi è possibile risolvere i problemi di sicurezza con un aggiornamento, per altri sono disponibili le relative patch, infine, per il gruppo dei pericolosi "irriducibili del buco" viene indicato l'avvertimento:

Abandoned. Remove completely or use at your own risk.

Chi volesse ricevere aggiornamenti in tempo reale riguardo alle voci inserite in lista, può farlo richiedendo la notifica dei nuovi post scritti all'interno di questo topic.

In ogni caso si consiglia di seguire con scrupolo le indicazioni riportate dagli sviluppatori:

• tenere traccia del numero di versione di ogni estensione installata;
• utilizzare sempre e soltanto l'ultima versione stabile di ogni estensione;
• rimuovere completamente i file relativi ad estensioni insicure.

Consigli che naturalmente non sono validi soltanto per gli utilizzatori di Joomla.