In questi giorni ho letto un articolo abbastanza recente, risale al Settembre scorso, in cui si racconta di un sito Web creato con Joomla che ha subito un defacement, delle cause che hanno portato al danneggiamento e delle modalità con cui è stato perpetrato l'attacco.
Per chi non sapesse cos'è un defacement, riporto la definizione di Wikipedia riguardante questo termine:
Defacing (termine inglese che, come il suo sinonimo defacement, ha il significato letterale di "sfregiare, deturpare", in italiano reso raramente con defacciare) nell'ambito della sicurezza informatica ha il significato di cambiare illecitamente la home page di un sito web (la sua "faccia") o modificarne, sostituendole, una o più pagine interne.
Cerchiamo di riassumere la vicenda nelle sue fasi più salienti:
- gli autori del post, che gestiscono un server per l'hosting, si rendono conto che un sito basato su Joomla ha subito un attacco, la home page è stata modificata;
- la prima soluzione è stata semplicemente quella di ripristinare la Home page originale, ma l'attacco si è ripetuto più volte con le stesse modalità ;
- a questo punto per risolvere il problema si è resa necessaria un'analisi più accurata; dal monitoraggio è risultato un problema derivante dai permessi di scrittura settati in installazione sui file. La soluzione adottata è stata naturalmente quella di restringerli al minimo indispensabile;
- i problemi però non sono finiti perchè appena una settimana dopo il sito ha subito l'ennesimo attacco; questa volta non è l'index.php a patire il danno, ma il file di configurazione che è stato completamente sovrascritto. Per quale motivo? "configuration.php" aveva i permessi di scrittura settati in modo tale da permetterne la sovrascrittura;
- una volta risolto il problema, è partita una nuova operazione di monitoraggio e finalmente è stato individuato il colpevole: un modulo di terze parti per la creazione di gallerie, quest'ultimo ha praticamente aperto la strada per l'introduzione di script per editare file e scatenare i defacement.
La lezione quindi è abbastanza chiara, Joomla è in generale un CMS sicuro, non sempre si può dire lo stesso dei moduli di terze parti prodotti per integrarlo; naturalmente la stessa affermazione può essere estesa a tutti i CMS.