Domandona sui millemila siti fatti con Joomla

[elegos]

Buon giorno a tutti,

leggendo questo thread dei grandi marchi mi sono reso conto che non pochi web designer preferiscano appoggiarsi ad un CMS già pronto, gratuito per dedicarsi solo alla grafica ed ai contenuti. Ovviamente è stata la mia stessa scelta, non a caso Joomla! è un CMS "multiverso", dal quale può partire assolutamente qualsiasi tipo di servizio.

La mia considerazione / domanda è: visto che si trovano e si troveranno sempre bug maggiori o minori, non è possibile che gli hacker, una volta scoperta la falla, possano utilizzarla per sfigurare il sito (nella migliore delle ipotesi) o compromettere il web server (nella peggiore), ad esempio così come è successo con un altro noto CMS OpenSource, e107? Ossia: fino a quanto Joomla! è affidabile non tanto come OpenSource, ma come CMS di massa?

Vostro sempre fedelissimo utente
elegos

[ramses_2th]

A mio parere, niente in rete è al 100% sicuro. Una falla anche in una configurazione del server puo' compromettere anche una semplice pagina html o semplice testo.

Certo che si scopre una falla puo' essere utilizzata per defalciare il sito ....ma come ti dicevo, non è l'obiettivo sono solo i CSM.

[ilvanni]

Ciao elegos e quoto in toto il grande amico ramses.

Aggiungo: Joomla è affidabile, sono le estensioni scritte male e tenute non aggiornate che combinano casini (il codice è una gran bella cosa ma bisogna saperlo non solo scriverlo, ma sottoporlo poi a tutte le procedure di vulnerability test).

Tranquillo, poi fra l'altro joomla è un progetto costantemente seguito, con nuovi rilasci che ti fanno capire che il devteam è sempre all'opera, grazie non solo alla sua competenza ma anche grazie al contributo di tanti sviluppatori, webmaster, etc. che con il loro uso e le loro segnalazioni contribuiscono a far sì che la piattaforma sia sempre aggiornata, sicura e seguita.

Chiaramente anche il server ed il servizio di hosting ai quali ci si affida deve essere serio e disponibile a tenere sempre una piattaforma lato server costantemente monitorata, aggiornata e patchata; la sinergia è una grande cosa.

Non ci stancheremo mai di dirlo a tutti: joomla, linux, backup, controllo estensioni ed occhio alle ver. di php dove andiamo a far lavorare il nostro gioiellino.

Poi qui c'è una sez. dedicata alle segnalazioni di vulnerabilità delle estensioni fra quelle più usate:
http://forum.joomla.it/index.php/board,58.0.html
basta tenersi aggiornati ogni tanto.

Ciao.

[elegos]

Grazie delle risposte!

Ma il punto che volevo sottoporre è, anche se in tema, diciamo una variazione: se ti crei il tuo sistema, se te lo bucano, bucano solo il tuo sito. Se si scopre un bug in Joomla! è vero, si risolve anche in un giorno se è un exploit defcon 0, ma in ogni caso il cracker ha un giorno intero per tentare attacchi ai siti, anche di più considerando che ci sono persone che fanno ancora girare la versione 1.5.2 (vendo un'estensione che, guarda caso, non si installava su un sistema tanto vecchio e l'interessato ha preferito modificare il pacchetto d'installazione piuttosto che aggiornare!)

[jeckodevelopment]

l'aggiornamento (l'abbiamo detto e ripetuto migliaia di volte) è una cosa fondamentale.
Chi ha ancora Joomla 1.5.2 è uno sconsiderato, ci sono state decine e decine di correzioni di falle anche pericolosissime (ricordate quella 0day sul login?), ora siamo alla 1.5.21, sfornata l'altro giorno che corregge delle vulnerabilità minori.
I siti controllati, aggiornati, che eseguono le ultime versioni del core e di tutti i componenti, che magari utilizzano qualche estensione per la prevenzione delle SQL Injection (come quella di mmleoni), non hanno troppo da temere.
Ovviamente in caso di una 0day, tutti dobbiamo aver paura, ma la community ed il devteam di Joomla sono ben note per la rapida risposta alle vulnerabilità.
Poi come hanno detto i colleghi sopra, chi fa costanti backup, perderebbe solo un po' di tempo a riparare l'attacco.