Al momento stai visualizzando Falle di sicurezza sui siti: cosa sono e come si gestiscono

Falle di sicurezza sui siti: cosa sono e come si gestiscono

  • Autore dell'articolo:
  • Categoria dell'articolo:Guide

In questo blog sono solito, in più occasioni, descrivere le falle informatiche che vengono scoperte sui vari CMS e siti in generale: conoscerle, infatti, è di grande interesse per chiunque debba gestire un server, un sito o un hosting in generale.

In linea generale, una falla di sicurezza è un problema di cui è affetto un software, e in certi casi può coincidere con una porta di accesso secondaria (backdoor) che permette l’accesso non autorizzato al nostro sito. In altri casi, piuttosto frequenti su CMS come WordPress e Joomla!, può essere un difetto di programmazione nel codice che, se sfruttato da script malevoli, può provocare problemi come la manipolazione dei dati del database, il furto di informazioni di accesso o il defacement della nostra homepage. Nel caso dei software open source queste informazioni sono di solito (anche se non sempre) note in tempo reale, cioè non appena vengono scoperte: in alcune circostanze, vengono rivelate da chi le ha scoperte gradualmente, in modo da dare il tempo agli sviluppatori di prendere provvedimenti.

Quando si dice ad esempio che è stata trovata una falla su WordPress (una ulteriore è stata svelata ieri e riguarda WP 4.2) si fa riferimento ad un problema potenziale che il nostro sito potrebbe avere. Non è detto, infatti, che tale vulnerabilità  venga effettivamente sfruttata, ma è come dire, ogni volta, che le chiavi di casa nostra (cioè l’accesso al nostro sito come amministratore, ad esempio) sia teoricamente possibile per un qualsiasi estraneo. Questa falla è stata, ad esempio, svelata solo dopo una notifica collettiva alla comunità  di sviluppatori, ma su molti plugin è rimasta aperta per molto tempo. In altri casi come una recentemente scoperta falla su Magento, ad esempio, la falla non è (al momento in cui scrivo) ancora stata risolta.

Pubblicità - Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l'iscrizione

La gestione dei casi di sicurezza informatica sul web è, invece, decisamente controversa. Tutto dipende dalle politiche stabilite dagli autori del software, che possono essere open o chiuse oppure, come avviene forse più frequentemente per il software web, “graduali“. Nel primo caso le falle scoperte vengono pubblicate direttamente su un bollettino via email apposito, dal nome seclist (Security Lists): in altri termini i ricercatori informatici non fanno altro che segnalare che il plugin X o la versione Y di un CMS ha un problema di codice: diventa interessante in questo frangente verificarlo – molte segnalazioni sono fake o relative a problemi non effettivi – e soprattutto fornire una prova fattiva della presenza dello stesso (proof of concept). Nello scenario delle disclosure aperte, fenomeno tipico del software open source come WordPress, quindi, le falle informatiche sono svelate “ai quattro venti“, con tutti i rischi del caso: chiunque, finchè la falla non viene riparata, potrebbe approfittarne. Questo crea una situazione di pericolo che porta, di fatto, molti produttori di CMS non tanto a produrre software web più sicuro quanto, di fatto, a “nasconderlo sotto il tappeto”, o nella migliore delle ipotesi a svelarlo solo in parte o solo dopo che la falla è stata risolta.

Per questi motivi, quindi, le falle informatiche creano una certa preoccupazione negli utenti, che degenera in una paura amplificata a mille, addirittura a danno della produttività  del sito: ma l’approccio corretto a questo tipo di problematiche dovrebbe essere sempre costruttivo. Nel caso dei CMS open source, quantomeno, i pericoli derivanti dalle vulnerabilità  informatiche sono noti periodicamente, ed è tutto sommato un bene che sia cosà¬, cosa che non succede con i software “chiusi” (tipo quelli Apple o Microsoft) che vengono invece rivelati ad esclusiva discrezione dei proprietari. Sapere che il proprio CMS ha dei rischi e potrebbe subire un furto (leak) di dati o un defacciamento è una cosa utile da conoscere per farci prendere contromisure utili al caso: ma non deve in nessun caso farci diffidare dalle tecnologie web.

In molti casi, infatti, è sempre bene avere un backup aggiornato dei dati del proprio sito (via FTP/PhpMyAdmin) e sfruttare i plugin per la sicurezza per stare relativamente più tranquilli, ricordando che questo problema ci sarà  sempre ed è praticamente impossibile da evitare a priori.

Pubblicità - Continua a leggere sotto :-)
Sei un webmaster? Prova TheMoneytizer per il tuo sito
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l'iscrizione

 

👇 Contenuti da non perdere 👇



Questo sito esiste da 4664 giorni (13 anni), e contiene ad oggi 4353 articoli (circa 3.482.400 parole in tutto) e 23 servizi online gratuiti. – Leggi un altro articolo a caso

Numero di visualizzazioni (dal 21 agosto 2024): 5
Pubblicità - Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost

Trovalost.it

Ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti relativi all'informatica. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato.