Le scorse settimane sono state caratterizzate da un allarme sicurezza per WordPress, con segnalazioni di violazioni più o meno ovunque. Io sono stato contattato per risolvere quattro WordPress bucati, quasi tutti con la stessa tecnica.
(a proposito, sta girando un altro allarme di sicurezza per due noti plugin…)
Dei WordPress che gestisco direttamente, miei o di miei clienti, solo uno ha avuto problemi, ma la violazione sono convinto sia arrivata non tramite il CMS o i suoi componenti, bensì dal server che lo ospita.
Sugli hosting condivisi, se la sicurezza non è particolarmente curata, può succedere infatti che bucano un server e che, una volta dentro, riescono a fare danni su diversi domini dello stesso server.
Per quello che è la mia esperienza, la maggior parte di casi come questi, dove non si tratta della volontà di far danni ad uno specifico sito o servizio ma di azioni su larga scala, i problemi di sicurezza riguardano soprattutto siti che non applicano neanche le più elementari precauzioni.
La sicurezza assoluta non esiste, intendiamoci, ma così significa andarsela a cercare…
Un’altra cosa che ho notato, in questi casi, è che chi cura poco i fondamentali della sicurezza, che oramai si possono leggere ovunque, sono anche quelli che non si preoccupano più di tanto nemmeno dei backup.
Oppure ci sono quelli che si sentono tranquilli, perché tanto hanno installato il plugin che ci pensa per loro, ma non si sono mai presi la briga di verificare che i backup effettuati corretti e consistenti, utilizzabili cioè per ripristinare un WordPress danneggiato.
Ora, visto che l’elisir della sicurezza totale non lo conosce nessuno, almeno sinceriamoci che i backup ci siano e funzionino bene!
Certe trascuratezze si pagano, nel vero senso della parola. Buon per me che questo giro ero dalla parte di chi si è fatto pagare per sistemare le cose…
Allarme sicurezza per i plugin WP Super Cache e W3TC Total Cache
Dato che parliamo di vulnerabilità, in questi giorni sta girando una nota su gravi problemi di sicurezza di WP Super Cache e W3TC Total Cache, due plugin molto utilizzati per velocizzare WordPress tramite sistemi di cache.
Vanno assolutamente aggiornati entrambi, che le nuove versioni appena rilasciate mettono al sicuro dalle vulnerabilità appena individuate.