Aggiorna WordPress, Plugin e Template
Per garantire al tuo sito una maggiore sicurezza, aggiorna sempre sia il “core” di WordPress che i singoli plugin o temi di terze parti.
Ogni nuova versione, infatti, oltre che implementare eventuali nuove funzioni, certamente chiude delle “falle” (i cosiddetti “bug“) nella programmazione del codice.
Anche i template posso avere delle falle quindi vanno sempre tenuti aggiornati.
Gli aggiornamenti automatici
Per default, dalla versione 3.7 in poi, il tuo sito WordPress si aggiornerà automaticamente quando viene rilasciata una release minore. Questo significa che se utilizzi WordPress 3.7.0 e viene rilasciata la versione 3.7.1 l’applicazione si aggiornerà da sola. Se invece venisse rilasciato WordPress 3.8 (una versione “major”), per default dovrai aggiornarlo manualmente.
E’ però possibile, modificare il file wp-config.php per autorizzare anche gli aggiornamenti “major”. Una procedura sconsigliata poiché per tali importanti aggiornamenti è suggerito, prima di procedere all’operazione, di predisporre un backup completo del sito e del data base.
Siteground spiega come intervenire sul codice.
Esistono plugin e servizi che svolgono il lavoro di aggiornamento per conto tuo, così che tu non debba avere il pensiero di verificare frequentemente l’uscita di nuove versioni di quanto da te installato.
Uno dei più sicuri mi sembra il servizio dell’ISP Aruba denominato “Hosting WordPress Gestito” che, con la versione smart costa 79 euro annui, oltre IVA, ovvero circa 40 euro annui in più del basico servizio di hosting.
Con la versione 5.5, WordPress, tuttavia, ha previsto, per l’amministratore del sito, la possibilità di attivare l’aggiornamento automatico dei singoli plugin e temi direttamente dal cruscotto amministrativo di WordPress.
Un risparmio, quindi, in termini di tempo e costi.
Naturalmente gli aggiornamento automatici, i cosiddetti “aggiornamenti non presidiati“, nascondono le proprie insidie. Tuttavia, tra il rischio di un sito bloccato temporaneamente per un aggiornamento non andato a buon fine e quello di mantenere, per un ritardato aggiornamento, una vulnerabilità sfruttabile da un hacker è preferibile scegliere il primo.
In proposito, il blog di Wordfence propone in merito un interessante post.
In particolare, vi si spiega che gli aggiornamenti automatici in WordPress 5.5 hanno solo l’opzione “off” o “on”. I proprietari del sito non avranno la possibilità di selezionare diversi tipi di aggiornamenti, come ad esempio applicare solo gli aggiornamenti di sicurezza, o solo l’aggiornamento per le versioni minori.
In caso di “aggiornamenti non presidiati” sarebbe importante determinare “cosa è cambiato”. Ogni volta che si verifica un problema nelle operazioni IT, la prima domanda da porsi quando si cerca di risolvere il problema è “Cosa è cambiato?“. Se si sono verificati due o più aggiornamenti non presidiati, sono cambiate più cose e può diventare molto più difficile isolare la causa alla radice del problema.
Per tale motivo, ti suggerisco, a questo punto, tanto di autorizzare gli aggironamenti automatici quanto di installare un plugin che svolga questo lavoro di Audit.
A tale proposito, anche per non rallentare il sito, è sempre meglio limitare il numero dei plugin installati. I plugin sono, probabilmente, il punto più critico della sicurezza di WordPress, in molti casi ve ne sono alcuni che creano backdoor o comunque aprono le porte ad utenti malintenzionati.
Come per i plugin, il nostro sito deve avere installato solo temi che usiamo. Ogni sito WordPress può avere, ovviamente, solo un tema attivo; oltre ad esso lascia installato soltanto un altro tema perché in caso di emergenza può rilevarsi utile.
Commenti più recenti