Dopo svariati problemi causati dalla poca sicurezza di wordpress sono un po’ impazzito.. per chiunque si avvicina a questo mondo con questo CMS, deve rendersi conto che la sicurezza è una pecca molto grande (ma anche con gli altri opensource come Joomla!).
Alla fine giudico WordPress uno strumento potentissimo che offre moltissime agevolazioni, ma non comprendo assolutamente come si possa utilizzare un sistema di aggiornamenti cosi sbadatamente azzardato.. non è la prima volta che stupidissime vulnerabilità sono presenti anche nella release più aggiornata.
Questa volta è toccato al file di installazione, l’altra volta è toccato ad un altro, la prossima volta che sorpresa si avrà?
Basta, mi sono stufato, grazie wordpress ma da ora si sviluppa il proprio cms e bando a vulterabilità all’occhio di tutti.
Rimane un problema però per siti vecchi, di grandi dimensioni, che magari rendono in modo stbile, pieni di plugin strani e che spaventano trasportare.. che si fa?
Alla fine abbiamo deciso che quelli rimangono in wp, andiamo a spendere 20/25 euro al mese per una macchina virtuale base su godaddy, un bel cpanel, configurazione in sicurezza, settiamo su tutte le istanze plugin come “better_wp_security” (che consiglio, fa molte cose automaticamente, cose che andrebbero sempre fatte per mettere in sicurezza wp).
Cosi facendo abbiamo un sistema indipendente, con firewall sulla vm per attacchi base, antivirus per cose strane eventualmente (malevolamente) uploadate, apache con modsecurity settato, gestione di attacchi bruteforce su tutti i login (sia cpanel che whm che wp), gestione possibili scan per vulnerabilità (attraverso un banalissimo controllo 404 fatto dal plgin della sicurezza wp), ecc.
Sperian bene, ma veramente di wordpress non ne posso più… c’è solo manutenzione e risolvere casini!!