L'importanza di aggiornare Wordpress

Gianni Ciampi
Pubblicato da Gianni Ciampi
il 13/03/19 12.59
Find me on:

The importance of being earnest updating WordPress

Sono tanti i motivi per cui è più che consigliabile tenere sempre aggiornato Wordpress (da adesso WP) all'ultima versione. Le funzionalità aumentano, vengono fixati bug, si migliorano le prestazioni e la velocità del sito web.

Si tratta di motivazioni tutte degne di nota e meritevoli di approfondimenti, sarebbero senz'altro sufficienti a motivare l’importanza di aggiornare WP ma esiste anche un'altra ragione che, per sua natura, finisce per essere la motivazione forse più importante: la sicurezza.

Perché Worpress è esposto ai rischi di attacco?

Come ogni altra applicazione che gira in ambito web, anche WP presenta criticità relative alla sicurezza informatica, quindi sicurezza dell’applicazione, sicurezza dei dati e del sistema stesso che ospita il sito. WP però si espone maggiormente ai rischi a causa della sua popolarità e del suo successo. Chiunque può scaricare WP, installarlo e quindi fruire della possibilità di utilizzare un CMS open source. Chiunque, compreso chi per diletto o per interesse è intenzionato a penetrare un sistema informatico. Mettiti nei panni di un ladro e immagina di dover scegliere se rapinare una gioielleria di cui non sai nulla e un’altra di cui conosci le planimetrie, la posizione delle telecamere e tutti gli altri sistemi di sicurezza. Ebbene su quale gioielleria ricadrebbe la tua scelta? Allo stesso modo un hacker può scaricare il file system di WP, la struttura del database e studiarli. Oltre a questo, essendo WP molto diffuso (si parla di circa 2/3 dei siti web mondiali sviluppati con questo CMS), il lavoro fatto per un sito web può dare i suoi frutti su molti altri siti. A essere oggetto di vulnerabilità non è solo il core della piattaforma ma anche i temi e i plugin. Anzi, forse proprio questi ultimi sono maggiormente passibili di attacco, anche a seconda di come sono stati sviluppati.

Quali sono i danni che un attacco hacker può causare in un sito gestito da Wordpress?

Potrebbe essere introdotto del codice malevolo all'interno del sito e quindi, per esempio, potrebbero comparire banner pubblicitari non voluti nelle pagine oppure essere vittima di un defacing. Si potrebbe esser vittime del furto o perdita di dati, cosa grave se si pensa alle disposizioni del GDPR di aprile 2018 che impone anche la corretta conservazione dei dati che gli utenti rilasciano ai gestori dei siti web per fruire di alcuni servizi. Mi pare che sia meglio evitare problemi di questo genere. Quindi cosa possiamo fare?

Come mantenere Wordpress sicuro?

Uno dei cavalli di battaglia di WP è la facilità di installazione e configurazione. Chiunque può realizzare un proprio sito web professionale e può preoccuparsi esclusivamente di produrre i contenuti. Beh, spiace dirlo, ma questo è un mito che ci espone a mille pericoli. La realtà è che il mantenere in sicurezza un sito internet è una cosa che necessita di professionalità e competenze da cui non si può prescindere pensando, erroneamente, che un CMS possa occuparsi di tutto. A tal proposito segnalo questo interessante articolo di Andrey "Rarst" Savchenko che ci ricorda che abbiamo delle responsabilità.

Ecco riassunti alcuni suggerimenti per rendere più sicura una installazione di WordPress:

  • aggiornare la versione di WP
  • attivare gli aggiornamenti automatici
  • aggiornare temi e plugin
  • eliminare (non solo disattivare) i plugin non utilizzati
  • cambiare periodicamente la password degli utenti amministratori
  • scegliere possibilmente password contenente numeri, lettere maiuscole, lettere minuscole e caratteri speciali ($%!@#_ ecc.)
  • cambiare la URL di default per il login dell’area di gestione
  • inibire le registrazioni
  • disabilitare i commenti ai post se non sono necessari
  • proteggere il sito utilizzando il protocollo SSL (https://...)
  • fare sempre un backup del sito e del database in modo da avere la possibilità di ripristinare la versione che abbiamo lasciato qualora l’aggiornamento della versione di WP o di un plugin provochi malfunzionamenti dovuti a incompatibilità o bug che non potevamo prevedere.

Aggiornare il core di WP, il tema e i plugin è importante quindi, ma teniamo a mente che l’applicazione gira in un ambiente che a sua volta deve essere stabile, debuggato e sicuro, e avere dei requisiti aggiornati. Verificare quindi la versione di PHP utilizzata e nel caso sceglierne una più aggiornata possibile (es. 7.2 o 7.3). chiedere inoltre al fornitore che ci eroga il servizio di hosting che mantenga il sistema operativo anch’esso aggiornato se non con la major version almeno con tutte le patch di sicurezza.

Un'altra buona abitudine è senz'altro scaricare un backup dell’applicazione a intervalli più o meno regolari in aggiunta a quelli relativi a aggiornamenti o modifiche strutturali del sito. La cadenza può dipendere da quando e quanto il sito web viene aggiornato nei contenuti o nella registrazione di utenti e servizi.

Non è raro che si perda tutto il lavoro fatto per non aver avuto cura di tenere una copia di ripristino del proprio WP.

Si parla di: cyber security, wordpress, ssl, bug fixing, cybersecurity, aggiornare wordpress, aggiornare server, aggiornamento php version, debug

Hai letto il post? CONTATTACI
Vuoi commentare questo articolo?

Ultimi post

Si parla di...

Visualizza tutto