Gli sviluppatori di WordPress – piattaforma di content management system (CMS) tra le più note – hanno fatto sapere di stare lavorando su un meccanismo di aggiornamento automatico per i temi e i plug-in, una delle porte di accesso più sfruttate per l’hacking dei siti web: i webmaster spesso installano temi e plug-in mai poi non li aggiornano, con ovvie conseguenze sul versante sicurezza.
Il lavoro sulla nuova funzionalità è iniziato un mese addietro. Attualmente l’update automatico è attivo per i plug-in e lavori sono in corso per offre la stessa funzione anche con i temi.
Quando la funzionalità di auto-update verrà implementata nella versione “stable” di WordPress, i gestori dei siti web potranno configurare temi e plug-in affinché si aggiornino automaticamente, attivando una specifica voce nel pannello di amministrazione.
I proprietari di siti web che vogliono provare in anteprima questa funzionalità, possono già farlo installando questo plugin. ZDNet riferisce che il meccanismo di auto-update era stato già presente nel codice sorgente di WordPress 3.7, rilasciato a ottobre del 2013, quando furono integrati meccanismi di aggiornamento automatico nel “nocciolo” di WordPress.
Dalla versione 3.7 tutte le installazioni di WordPress sono configurate in modo da installare gli update di sicurezza in automatico; è invece ancora richiesto l’intervento dell’amministratore per installare major release (es. dalla 3.x alla 4.x); gli update minori (ad esempio dalla v4.3.1 alla v4.3.2) sono installati automaticamente.
Aziende specializzate in sicurezza quali Sucuri, Wordfence, WebARX e NinTechNet, hanno più volte fatto notare che vari siti sono stati compromessi a causa di vulnerabilità riguardanti temi e plug-in non aggiornati. L’update automatico dovrebbe ridurre le possibilità di portare a termine attacchi di cybercriminali nei confronti di vari siti web realizzati con WordPress.
WordPress è diventato una delle piattaforme web più popolari, per via della sua semplicità e flessibilità; tuttavia la sua popolarità lo rende anche un facile bersaglio degli hacker ed è fondamentale tenere conto di misure di sicurezza eseguendo (per quanto possibile) aggiornamenti, proteggendo gli account, limitando l’uso del login come Amministratore e creando password sicure.
Tutti gli articoli di macitynet che parlano di sicurezza sono disponibili da questa pagina.
