L'ho fatto provare (versione 3.0) da un hacker professionale dagli USA - sul mio sito, e dopo 3 giorni si è arreso. Naturalmente è richiesto che il sistema operativo sia sempre aggiornato e che le password siano sicure, e inoltre, per evitare che un eventuale key-logger prenda le vostre credenziali, il copia-incolla della password al login, da un programmino che tiene le vostre password. Infatti il copia-incolla delle password è latino per i key-logger
Ogni volta che si installa un plugin, è (quasi) dovere di controllare il codice, perché potrebbe nascondere delle sorprese anche molto pesanti. Con un prodotto ganzo potreste permettere ad un hacker di installarvi una serie di funzionalità che gli permettono di tenere traccia della vostra attività, e dei vostri utenti, senza che vi accorgirete, ed accedere illimitatamente al database e fare letteralmente quel che vuole, compreso la cancellazione di tutte le tabelle.
Mi sono reso conto di questo potenziale pericolo, quando ho visto il codice di 'Chi era connesso oggi'. Il codice di questo prodotto è innocuo, ma effettua una modifica alla tabella 'user' (aggiunta e rimozione indice sul timestamp delle attività utente), che ha accesso una lampadina di allarme sulle potenzialità di un hacker senza scrupoli.
Vediamo un po' cosa potrebbe fare di veramente dannoso:
- Inviare l'elenco delle email di tutti gli utenti a uno spambot. Richiede circa 1 secondo per 5000 indirizzi.
- Inviare username, salt e i digest delle password; a quel punto gli account diventano parecchio deboli.
- Cambiare i dati per il destinatario delle sottoscrizioni a pagamento.
- Iscriversi alle sezioni protette, ad esempio al settore della vostra azienda.
- Cambiare il login dell'amministratore (al suo).
Quindi controllate prima il codice, e se non capite cosa c'è scritto, datelo a qualcuno che si intende e di cui vi fidate.
Messaggio vBulletin