| HT news
| SoftwarePHP-Nuke vittima di hacking, lasciato online per giorni. Ma la colpa è quasi sempre di PHP
di Stefano Bellasio
TheRegister riporta la curiosa vicenda di un attacco sferrato al sito del popolare cms PHP-Nuke, un vero e proprio veterano del mondo dei CMS, oggi ormai in secondo piano, ma ancora installato e utilizzato da migliaia di utenti e supportato, ovviamente da migliaia di provider di webhosting. Parliamo di un CMS la cui ultima versione online risale al 2007, e che si trova quindi con una vecchissima versione di PHP supportata e praticamente alcun aggiornamento ufficiale da parte della community.
Nessuno si è così curato del fatto che il sito web venisse attaccato e infettato da un gruppo di malintenzionati, con conseguente distribuzione di malware a tutti i visitatori che giungevano sulle pagine di PHPNuke.org. Da Venerdì scorso, per quattro giorni, nessuno è intervenuto per fermare l'ondata di malware che colpiva gli utenti, fino a che il sito web è stato finalmente ripulito.
La gestione dei CMS è una pratica seria che causa spesso problemi rilevanti di sicurezza ai sistemi web, soprattutto in quelli di shared hosting: Sophos, la nota società di sicurezza, sottolinea però come la maggior parte degli attacchi vengano compiuti su siti web scritti tramite PHP. Sarebbe stupido incolpare questo linguaggio di scripting di scarsa sicurezza, piuttosto è utile dire che la sua semplicità d'uso, causa della grandissima diffusione, gioca un ruolo chiave anche per la scrittura di codice insicuro, esposto ai più semplici fra gli attacchi esistenti.