Non esiste un software impenetrabile e sicuro al 100%, ma esistono software sicuri.
Joomla è un CMS relativamente sicuro, in quanto essendo open source il suo codice può essere visionato e studiato da chiunque voglia conoscere nei dettagli come funziona, e fortunatamente molti bugs vengono individuati e corretti non appena sono scoperti. Periodicamente vengono rilasciate dal team di sviluppo di Joomla delle patch di sicurezza che permettono agli utilizzatori di questo CMS di correggere il codice e proteggere il sistema.
Va notato che esistono 130.000 iscritti al forum ufficiale di Joomla, e il numero di siti realizzati con Joomla è nell’ordine di grandezza dei milioni. Questa osservazione ci permette di concludere che Joomla è un sistema sicuro per gli scopi di questo sito, in quando esistono organizzazioni che trattano dati sensibili che utilizzano questo sistema con successo, ed ogni problema di sicurezza viene individuato e risolto in un lasso di tempo solitamente molto breve.
Per quanto riguarda il codice quindi non vi sono particolari problemi, è sufficente mantenere aggiornato il codice di base di Joomla, applicando le patch che vengono rilasciate.
Un problema potrebbe essere rappresentato da eventuali estensioni installate nel sistema, perchè sono codice che potrebbe non essere stato scritto in modo esemplare oppure codice che non viene aggiornato di frequente. In questo caso occorre cercare eventuali problemi di sicurezza dei componenti.
Un fattore spesso considerato banale ma che porta molto frequentemente a problemi di sicurezza è la password di amministrazione. Esiste uno script che permette di generare password di amministrazione di Joomla molto sicure e modificarle in contemporanea su numerosi siti, un bulk change.
La password di amministrazione deve essere cambiata con una frequenza regolare, perlomeno una volta al mese. Essa può essere cambiata direttamente da interfaccia di amministrazione.
Esistono numerosi tools che controllano la sicurezza dell’installazione Joomla che abbiamo sui server, tra cui Joomla Diagnostics.
Altre considerazioni di sicurezza devono essere fatte sull’account FTP che permette di fare l’upload dei files verso il server dove risiede lo spazio web. Anche per esso sarebbe opportuno cambiare la password di tanto in tanto.
Un ulteriore e importante questione riguarda il gestore dello spazio web, colui che ci fornisce l’hosting. Se esso è serio e gestisce in modo opportuno i server, non ci saranno particolari problemi, ma non è raro vedere siti web che vengono attaccati in massa perchè viene violato un intero server gestito dall’hoster, per colpa del gestore che ha sottovalutato eventuali problemi di sicurezza. Spesso per questo motivo è meglio spendere qualche soldo in più per l’hosting e non ricorrere al prezzo più basso, perchè potremmo finire per ripagare questi soldi in termini di immagine e mancato funzionamento.
Articoli correlati:
