Mettere in sicurezza il proprio CMS dai malware

Prendo spunto da questo articolo di HTML.it per degli spunti e riflessioni.

La maggioranza dei siti sono realizzati tramite CMS open source quali WordPress, Joomla, Drupal e Magento e proprio per la loro diffusione vengono presi di mira dagli hacker.

Prendendo dei dovuti accorgimenti è possibile mettere in sicurezza il proprio sito e così limitare/evitare attacchi hacker.

– mantenere il CMS (ed il tema e plugins/estensioni/moduli installati) sempre aggiornati

– non scaricare/utilizzare temi e plugins/estensioni/moduli provenienti da siti strani/non attendibili

– non utilizzare scripts nulled (ovvero gli script a pagamento che vengono “craccati”)

– utilizzare plugins/estensioni/moduli per la sicurezza quali ad esempio Better WP Security, Bulletproof Security, WP Security Scan e Limit Login Attempts per WordPress, Admin Tools e RSFirewall! per Joomla, Drupal di per se è più robusto e sicuro così come Magento ma potete usare questi moduli per una protezione aggiuntiva e Enhanced Admin Security o Two Factor Authenticator per il software di e-commerce.

– utilizzare password forti (sia per il pannello di amministrazione, che password del database che dell’accesso FTP)

– effettuare backup regolari di tutti i files e del database in modo da poterli facilmente ripristinare in caso di compromissione

La guerra dei CMS: un’analisi dei 3 content management system più diffusi

Quando si parla di sistema di gestione di contenuti (CMS) opensource sono 3 quelli che si contendono la diffusione nel web, ovvero i noti WordPress, Joomla e Drupal.

Ognuno ha le proprie caratteristiche, se si vuole mettere su un progetto web occorre interrogarsi su che tipo di progetto si vuole implementare, cosa implica e quali sono le caratteristiche desiderate; insomma chiedersi quale sia il più adatto a seconda delle proprie esigenze, per questo secondo me non esiste un CMS meglio di un altro.

In generale potrei comunque elencare dei pro e contro di ciascuno.

WordPress è molto user friendly, va bene per blog e siti semplici, buona estendibilità grazie ai numerosi plugins gratuiti, vasta disponibilità di temi.

Joomla è buono per siti medio – piccoli, comunità ed e-commerce, interfaccia semplice, limitazioni per funzionalità complesse, alcuni moduli sono a pagamento, buon supporto temi.

Drupal è il massimo per la flessibilità e personalizzazione, ottimo per sviluppatori, si adatta a diverse esigenze, molti moduli disponibili, meno intuitivo.

Per delle considerazioni più approfondite consiglio di leggere l’ottimo articolo di Comentum (in inglese), e le ottime slides di Marco Barbosa.

Vediamo alcuni dati; in base al report OSCMS del 2010 leggiamo queste statistiche:

download a settimana

WordPress: 983,625
Joomla: 113,836
Drupal: 33,671

CMS utilizzati dai siti web in percentuale

WordPress: 12.9%
Joomla: 2.5%
Drupal: 1.4%

tra i 3 quale risulta il CMS preferito

Joomla: 1105
Wordpress: 278
Drupal: 318

La popolarità crescente di WordPress si evince anche dal seguente grafico di Google Trends, Joomla ha invece avuto un decadimento a partire da metà 2009, mentre Drupal si mantiene stabile ma sempre ad un livello sensibilmente più basso; un altro dato a confermare queste stastistiche è il grafico delle posizioni di lavoro più ricercate, da notare comunque anche l’alta escalation di Drupal.

Altri dati interessanti:

Joomla è presente dal 2005 ed è utilizzato da siti quali Linux.com, TNA Wrestling, Citibank, MTV Networks Quizilla.
Drupal è presente dal 2001, usato da siti quali Ubuntu, Le Figaro, sito della Casa Bianca, Opensource.com.
Wordpress è presente dal 2003, usato da siti quali TechCrunch, blog Playstation, NASA.

E voi quale preferite e perchè?

Stop Forum Spam un ottimo sito per combattere lo spam

Chi possiede un blog, forum o più in generale un sito web gestito da CMS purtroppo gli sarà facilmente capitato di imbattersi in spam.

Per limitarlo ci viene in aiuto un ottimo sito, Stop Forum Spam che contiene un database aggiornato continuamente dagli utenti.
Ho trovato molto utile la funzionalità di ricerca per diversi criteri (IP, username, mail).

Gli utenti hanno possibilità di inviare segnalazioni compilando una form presente nel sito (previa registrazione gratuita per ottenere chiavi API)

Molto utili anche le sezioni Downloads e Mods & Plugins (sotto Resources). La prima permette di consultare il database dello spam in modalità offline scaricano i zip delle liste username, indirizzi e-mail, IP. La seconda permette di scaricare plugins per varie piattaforme di forum (phpbb, vBulletin, ecc…) e CMS (WordPress, Drupal, ecc…) e quindi di proteggere il proprio sito dagli spammers.

4 modi per provare il tuo CMS preferito

Joomla, WordPress, Drupal ecc… sono tra i CMS (content management system) più conosciuti, e ce ne sono moltissimi altri (scritti in vari linguaggi), esistono varie possibilità per poterli provare:

self hosted
prendere uno spazio web (gratuito o a pagamento) e caricarci il CMS desiderato, ovviamente previa compatibilità con il web hoster

installazione locale
installare e configurare in locale i componenti necessari per far girare il CMS (web server, interprete linguaggio, server database), quindi installarci il CMS desiderato.
Sempre in locale ma con una procedura più facilitata è possibile ottenere lo stesso risultato tramite degli installer fatti apposta (v. Bitnami)

macchine virtuali / immagini ISO / live cd
esistono delle macchine virtuali già predisposte (immagini VMWare / Virtualbox), immagini ISO e live cd preparati appositamente con CMS già installati e configurati, (v. Bitnami e Turnkey Linux)

cloud
i CMS vengono deployati nei servizi cloud come Amazon EC2, (v. Bitnami e Turnkey Linux)

WordPress miglior CMS open source 2009

WordPress la nota piattaforma di blog che utilizzo ha conquistato il primo posto nella categoria Overall Best Open Source CMS degli Open Source CMS Awards 2009!

Credo un premio meritato e nulla da invidiare alle altre famose piattaforme CMS opensource quali Joomla e Drupal. Da tempo viene considerata più che una completa piattaforma per blog.

Usandolo voglio quindi elencare quelli che personalmente ritengo i punti forti e quelli deboli di questo sistema.

Pro:
– facilità d’installazione, configurazione, utilizzo
– espandibilità (grazie alla miriade di plugins e all’integrazione con altri sistemi es. forum)
– temi (moltissimi e in continuo sviluppo sia gratuiti che commerciali)
– alta personalizzazione
– ottimo supporto online

Contro:
– uso troppo elevato della memoria PHP
– problemi di sicurezza (essendo un sistema largamente diffuso è più soggetto ad attacchi hacking e spam)

Ricevi gli aggiornamenti del blog

Vuoi rimanere aggiornato riguardo gli ultimi articoli pubblicati nel blog? Inserisci la tua email per sottoscriverti alla newsletter!