Sicurezza e manutenzione del sito
Ho lasciato l’argomento a fine guida non perchรฉ meno importante (anzi!) ma perchรฉ per poter parlare di “manutenzione” il sito web deve almeno esistere ๐
Innanzitutto chiariamo un concetto base: WordPress come qualsiasi CMS o software ha bisogno di essere aggiornato, cosa significa?ย
Tanti confondono la parola “aggiornamento” con la modifica dei contenuti pesando che un piccolo sito vetrina possa essere “lasciato a se stesso”, senza nessun monitoraggio o manutenzione.
Niente di piรน sbagliato, gli aggiornamenti sono necessari sia per la sicurezza che per il corretto funzionamento del sito nel tempo con i nuovi browser, dispositivi, sistemi operativi.
Ovviamente non mi aspetto cheย un cliente sia giร a conoscenza di questo aspetto: sta alla serietร della web agency / webmaster avvisarlo, fargli comprendere l’importanza ed offrirgli il servizio piรน idoneo alle sue necessitร .
Se chi vi ha realizzato il sito non vi ha detto niente a proposito di licenze e manutenzione o, peggio, hanno bloccato volontariamente gli aggiornamenti siamo di fronte a incompetenza e malafede!
In questo capitolo tratteremo:
- Aggiornamento di WordPress: core, temi e plugin.
- Componenti obsoleti: perchรฉ sono pericolosi e bisogna sostituirli.
- Aggiornamento versione PHP – MySQL
- Sicurezza del sito web.
- Backup.
ย
Aggiornamento di WordPress
Il core di WordPress รจ il nucleo del sito, ovvero la parte che contiene tutte le funzionalitร di base del sistema.
ร importante aggiornarlo il prima possibile dopo la pubblicazione di una nuova versione per diversi motivi:
- Correzione di bug: le nuove versioni di WordPress includono spesso correzioni di bug che possono causare problemi di funzionamento o sicurezza del sito.
- Miglioramento delle prestazioni: le nuove versioni di WordPress possono includere miglioramenti delle prestazioni che possono rendere il sito piรน veloce e reattivo.
- Aggiornamento delle funzionalitร : le nuove versioni di WordPress possono includere nuove funzionalitร che possono migliorare l’esperienza degli utenti.
Temi e Plugin seguono “di pari passo” il core di WordPress e, per rimanere compatibili con le nuove versioni, necessitano di propri aggiornamenti.
Prestare attenzione ai plugin e temi premium: se non si rinnova la relativa licenzaย non si riceveranno piรน i necessari aggiornamenti!
Componenti obsoleti
I componenti obsoleti, come temi e plugin non piรน supportati, possono rappresentare un grave rischio per la sicurezza del sito web.
ร importante sostituirli con degli equivalenti ma aggiornati.
Un componente obsoleto รจ un componente che non riceve piรน aggiornamenti da parte degli sviluppatori.
Questo significa che non vengono corretti eventuali bug, vulnerabilitร di sicurezza e che, nel tempo, non sarร piรน compatibile con le nuove versioni di WordPress o con la versione PHP installata sul server.
Per identificare i componenti obsoleti, รจ possibile:
- Cercare a mano, componente per componente, la sua scheda su https://it.wordpress.org/ o sul sito dello sviluppatore: se il componente non รจ aggiornato da oltre 1 / 2 anni รจ da considerarsi obsoleto.
- Installare il plugin Better Plugin Compatibility Control:ย Il plugin aggiunge informazioni di compatibilitร della versione alla pagina dei plugin per segnalare allโamministratore, a colpo dโocchio, se un plugin รจ compatibile o meno con la versione WP corrente.
Purtroppo non funziona con i temi. - Utilizzare uno strumento di scansione della sicurezza.
Questi strumenti possono analizzare il sito web alla ricerca di componenti obsoleti e fornire una lista di componenti che devono essere aggiornati o sostituiti.
ย
Aggiornamento PHP e MySQL
Avevo giร scritto un articolo dedicato a come aggiornare la versione PHP su WordPress a cui vi rimando se volete approfondire.
Su questo aspetto รจ importante aver scelto un’ azienda di hosting valida che si occupi della dovuta manutenzione dei loro server.
Se infatti, normalmente, si puรฒ intervenire manualmente tramite il pannello (cPanel, Plesk, DirectAdmin, ecc) per la versione PHP l’aggiornamento del MySQL, sistema operativo l’utente non ha alcun possibilitร d’intervento e sta alla serietร dell’azienda provvedere.
ย
Sicurezza
Questo argomento si collega strettamente al precedente poichรฉ, un sito mantenuto correttamente aggiornato, su un server “serio” ha giร fatto il “primo passo” per essere in sicurezza ma non basta!
Se l’agenzia/webmaster che ha sviluppato il sito รจ davvero “professionale” ci si dovrebbe aspettare:
- Abbia installato un sistema per la protezione dallo spam.
- Abbia installato o suggerito un plugin per la “sicurezza” che vada a monitorare il traffico, bloccare i tentativi di accesso non autorizzati, ecc.
- Abbia utilizzato temi e plugin solo da fonti attendibili, come il repository ufficiale di WordPress o sviluppatori di fiducia.
Ovviamente niente materiale pirata o versioni obsolete come giร scritto precedentemente. - Non siano presenti utenti amministratori con il nome “admin” oppure con il nome del dominio…
- Le password relative a tutti gli utenti amministratori siano complesse.
- Il sito abbia il suo certificato SSL e sia stato correttamente sviluppato evitando contenuti misti http/https.
- Siano in grado d’intervenire in caso di problemi di sicurezza (molte volte ho visto situazioni in cui il sito web hackerato veniva dato come “irrecuperabile”ย prospettando il completo rifacimento da zero per pura incompetenza, malafedeย o entrambe le cose!).
- Abbia impostato unย regolare backup (lo vedremo tra poco).
Ovviamente alla sicurezza deve badarci sia l’agenzia / webmaster ma anche l’utente soprattutto se dispone degli accessi come amministratore mantenendo tutta la sua infrastruttura informatica in sicurezza, non lasciando password incustodite o impostandone di vulnerabili / troppo semplici, ecc.
Backup
Inizierei il discorso con questa citazione:
“I backup sono come l’assicurazione: non ne vuoi mai avere bisogno, ma ti ringrazierai quando ne avrai bisogno.” – Kevin Mitnick, hacker e autore.
Come avevo giร scritto in altri articoli un backup al momento giusto puรฒ “salvarti la vita” o, se preferite, salvare il vostro sito!
Inoltre anche il GDPR prevedere in maniera specifica che bisogna pianificare un regolare backup.
A livello riepilogativo possiamo affrontare il backup con:
- Metodo manuale con esportazione del database tramite pannello dell’hosting (phpmyadmin) o plugin e download dei file tramite FTP come spiegatoย nella guida “WordPress: eseguire il backup completo”.
- Tramite plugin come spiegato nella guida passo passo a Duplicator.
- Tramite il servizio di hosting (da verificare le modalitร e il numero dei backup)
Una volta effettuato il backup si dovrร salvare in “luogo sicuro” ovviamente molto meglio evitare lo stesso spazio web dove ubicato il sito optando per un disco fisso esterno, uno spazio cloud e cosรฌ via