Ieri è partito Sanremo 2009, e come ci si poteva aspettare accanto al sito "istituzionale" è stato affiancato un blog. àˆ interessante notare come sia stata scelta come piattaforma WordPress MU, versione del blog engine opensource adatta alla gestione di più blog.
Nella fattispecie si tratta di una versione non recentissima di WordPress MU, si tratta infatti della release 2.6.1, come leggibile dal meta tag:
<meta name="generator" content="WordPress 2.6.1" />
Non sorprende che sia stata scelta una piattaforma open source ma è "singolare" come in home page non ci sia neppure un link a WordPress.org.
Altrettanto "singolare" è la poca attenzione alla sicurezza del blog. Dirigendo il browser verso le directory dei plugin e dei temi si accede senza alcun problema alla lista dei componenti aggiuntivi installati e ai template utilizzati. Già , avete capito bene, i template. Infatti all'interno di wp-contents/themes, si trovano archivi tar.gz che contengono i template di molti blog di trasmissioni RAI: TG1, Giro d'Italia, Neapolis, Ambiente Italia.
Il blog di Sanremo si segnala per un mancanza di quei requisiti minimi di sicurezza che dovrebbero essere presenti in qualsiasi installazione. Una directory dei plugin che mostra una lista di quelli installati è un invito troppo ghiotto per chi è in cerca di eventuali punti deboli utili per effettuare un attacco. La possibilità del download dei temi utilizzati da molti blog RAI invece non comporta pericoli, ma certo consente a chiunque di poter ficcare il naso nei file PHP dei template, senza alcun problema.
Insomma, oltre alla poca correttezza nell'utilizzare un software open source senza neppure un link nel footer dell'home page, la sicurezza della piattaforma non è eccezionale. L'unica accortezza da segnalare è l'inibizione della cartella wp-admin tramite .htaccess a qualsiasi visitatore, un ostacolo per chi voglia provare un attacco "brute force" alla pagina di login della piattaforma.
AGGIORNAMENTO: Da qualche minuto le directory dei plugin e dei temi sono state rese inaccessibili dagli amministratori del blog.