Questo blog è stato sviluppato utilizzando Nuxt.js per il front-end, Vercel per hosting e Sanity come CMS headless. Vedi il case.

Categoria:
  1. Digital

I problemi di sicurezza e i costi dell'open source (e di Wordpress)

14 marzo 2019

| Giovanni Fracasso |
7 minuti per leggere
problemi sicurezza open source.jpg

Quando dovete sviluppare un nuovo sito web (per presentare un prodotto, un’azienda o une commerce che sia) uno degli aspetti che sottovalutate tutti - si lo so che magari c’è quello fissato, ma generalmente siete in pochi - è quello della sicurezza.

Con tutte le assicurazioni del caso dell’azienda alla quale vi rivolgete per costruire il vostro sito, è molto probabile che vi venga proposta un sito in Wordpress, un sito in Magento, un sito in Prestashop.

Cos’hanno in comune tutte questi software che servono per realizzare un sito di qualche genere? Sono tutti degli open source.

Si tratta di software con il codice sorgente (source) “aperto” (open), ovvero, accessibile a tutti. In pratica software che qualunque programmatore può utilizzare, modificare come vuole e distribuire. Nella maggior parte dei casi, come per esempio Wordpress, il software open source viene sviluppato con una collaborazione pubblica (una community) e viene reso disponibile gratuitamente.

Tradotto nella pratica, io posso scaricare il software Wordpress, modificarlo, caricarlo su un mio server e costruirci il mio sito sopra, personalizzandolo come voglio, modificando anche le funzionalità in profondità.

Tutti conosceranno il codice sorgente del mio sito, non è qualcosa di chiuso e conosciuto solo da chi mi ha sviluppato il software: è conoscenza pubblica diffusa.

Significa, anche, che non sarò mai vincolato ad un produttore di software, posso rivolgermi a sviluppatori liberamente sul mercato e cambiare quando mi fa più comodo.

Questa filosofia ha permesso a certi software, come ancora Wordpress, di proliferare ed evolvere, aggiungendo funzionalità e miglioramenti, versione dopo versione.

Il lato oscuro dell’open source è connaturato negli apparenti vantaggi: il fatto che sia gratuito induce a pensare che ci siano meno costi, ma in realtà, sul lungo termine, non è per nulla vero (il costo di gestione e di manutenzione di sistemi complessi, come gli eCommerce, fa diventare l’opensource caro nel tempo); il fatto che il codice sia “aperto” e comprensibile per tutti spinge verso un miglioramento continua, ma lascia per strada bug e problemi di sicurezza (se tutti hanno la chiave della porta di casa tua, come fai a tener fuori i ladri?); il fatto che sia “visibile” quello che fai per migliorarlo, ti impedisce di costruire un asset di valore esclusivo per la tua azienda.

Ma se vogliamo entrare nel dettaglio dei problemi che l’open source comporta, è abbastanza facile.

La maggior parte delle aziende non conosce tutto il software utilizzato, sopratutto quando non ci sono rigide politiche di amministrazione e di permessi sui sistemi operativi utilizzati.

La facilità con la quale si ottiene e si utilizza il software open suore è la parte affascinante del sistema, ma causa anche gran mal di testa ai dirigenti IT, ai quali sfugge, spesso, quanto e quale software open source si stia utilizzando all’interno dell’azienda. Se non sai quali e quanti programmi open source si stanno utilizzando all’interno della tua azienda, come fai a sapere quali vulnerabilità hai e dove cercare?

Ancora: la maggior parte delle aziende che usa software opensource non ha chiarissimo quali tipi di licenza open source sti utilizzato. Open source Initiative, un’organizzazione senza scopi di lucro che promuove l’uso del software open source, elenca 80 differenti tipi di licenze open source, tutte che presentano regole e requisiti per poter utilizzare il software. Questi requisiti tecnici nella licenza possono essere anche tecnicamente complessi.

Alcune licenze richiedono agli sviluppatori di condividere eventuali modifiche al codice sorgente, altre no. Alcune hanno restrizioni con ritorsione per l’uso dei brevetti. Altre possono essere utilizzate per scopo educativo e non commerciale… Insomma il panorama è vario e le aziende non eseguono una mappatura dei requisiti quando usano il software open source. Aggiungiamo il fatto che non sempre i termini delle licenze sono la cosa più chiara del mondo, e da qui un ulteriore grattacapo.

Anche sottostimare il costo reale dell’open source è un grosso problema con il quale le aziende si trovano a fare i conti. Una delle spinte all’utilizzo del software open source è quella di cedere al miraggio di poter utilizzare qualcosa senza pagare nessuno per farlo. Non è una cosa banale. Secondo Mark Driver, vicepresidente e direttore della ricerca in Gartner, le aziende spesso non riescono proprio a calcolare il costo totale per l’utilizzo e la gestione del software open source che si sceglie di utilizzare. Spesso, inoltre, si sottovalutano l’impegno, il tempo e i costi necessari del personale per mantenere l’open source, oltre a gestirne eventuali problemi. Per riuscire a farlo bisognerebbe stabilire quali sono i livelli di servizio richiesti per il codice open source, tenendo conto delle criticità e stimando i tempi di intervento per risolvere

Uno dei software open source più famosi è sicuramente Wordpress, che fa da supporto ad un sacco di siti online. Ed è anche uno dei sistemi più “bucati” dagli hacker, con i maggiori problemi di sicurezza. Il 90% dei siti hackerati è costruito su Wordpress. Il dato lo sviscera goDaddy, dopo aver analizzato 18.302 siti hackerati

Magento segue al secondo posto dei siti più hackerati, al 4,3, complice anche la minor diffusione del software di commerce (anche se gli hackeraggi dei software di e-commerce possono avere delle ripercussioni molto più gravi sul business, rispetto a quelle per i siti generici: pensare se viene hackerata il modulo della carta di credito e i pagamenti vengono indirizzati presso una banca differente, per esempio…).

I problemi di sicurezza più comuni che può incontrare un sito web sono il Brute Force Attack(sistema utilizzato da un hacker per individuare la password, tentando tutte le possibili combinazioni) e il File Inclusion Exploits (si inietta un comando per acquisire privilegi e disponibilità di risorse all’interno di un sito).

Le ragioni per le quali si riesce a bucare tanto facilmente un sito in Wordpress possono essere molteplici. Non solo il codice sorgente “aperto” ma anche altre condizioni che questa tipologia di software porta con se.

Anche la scelta di un hosting rispetto ad un altro può condizionare in maniera importante le performance du sicurezza. Visto che Wordpress si scarica e si può installare su qualsiasi server con Php e un database MySQL, la quantità di servizi di hosting tra cui scegliere diventa enorme. Non tutti offrono le stesse garanzie di sicurezza (non solo di performance).

L’utilizzo di password deboli è un altro fattore che incide notevolmente sulla fase di hackeraggio di un sito in Wordpress. Potrebbe essere quella dell’amministratore di Wordpress, quella del pannello amministratore del web hosting, dell’account FTP, dal database MySQL o anche quella dell’account email dell’amministratore di Wordpress. Sono tante password (rispetto ad un sistema in SaaS che he ha una solo per tutti) e il livello di attenzione e di sicurezza dovrebbe essere più alto.

Lasciare la directory wp-admin non protetta da password è un’altra causa di debolezza e fonte di attacchi, così come i permessi sbagliati sui file del software, l’uso dell’FTP anche dell’SFTP per accedere ai file.

Non dimentichiamoci dell’assoluta necessità di mantenere aggiornati i plugin che si utilizzano, così come pure il software Wordpress: gli update del programma servono spesso a sistemare bug e problemi di sicurezza. Non farli velocemente significa lascia il proprio software esposto, visto che i malintenzionati hanno accesso a tutta la documentazione sui problemi che sono stati risolti con gli aggiornamenti.

Per me è semplice: l’utilizzo di software SaaS, in abbonamento, facili da implementare all’interno delle aziende e liberi dai problemi di gestione tecnica, oltre che connaturati alti gradi di sicurezza.

Qualche esempio: la posta elettronica e la produzione di documenti su G Suite, i siti Hubspot, Hubspot CRM, l’eCommerce con Shopify… Si abbattono le problematiche tecniche, si incamerano costi certi, non c’è bisogno di complicati e costosi contratti di assistenza, si lavora su server sicuri e su piattaforme “blindate”.

Le cose interessanti arrivano poi quando pensi di trasformare un software come Wordpress in un sito-piattaforma per fare inbound marketing (per creare il sito, le landing page, le call to action, i form, gestire la pubblicazione sui social, le newsletter...): ne esce un "mostro" con un'impossibile quantificazione dell'impegno e dei costi, un vero e proprio FRANKENSPOT!

Condividi il post

Alcune informazioni sull'autore

Giovanni Fracasso

Giovanni Fracasso

COO e CMO @ICT Sviluppo