• Homepage
  • Articoli
  • Guida
  • Perché i plugin di WordPress defunti rappresentano una minaccia e come proteggere il tuo sito

Perché i plugin di WordPress defunti rappresentano una minaccia e come proteggere il tuo sito

Pubblicato: 2019-10-13

Chiariamo subito una cosa: WordPress come CMS appena installato non è particolarmente vulnerabile e rimane un'opzione valida se si desidera creare un sito sicuro. Tuttavia, a causa della popolarità di WordPress, è spesso un bersaglio per gli hacker che cercano l'accesso a siti Web popolari. Il fatto che gli hack siano piuttosto rari è una testimonianza del lavoro svolto dagli sviluppatori e dalla community di WordPress.

Il problema che spesso introduce vulnerabilità in un'installazione di WordPress è l'uso improprio dei plugin: in particolare, l'uso di plugin che hanno smesso da tempo di essere aggiornati. Perché questi plugin mettono in pericolo il tuo sito e come puoi proteggerti da esso? In questo blog cercheremo di chiarire questo punto e di dare un'occhiata ad alcuni suggerimenti.

Perché i plugin obsoleti sono pericolosi

Ogni plugin che aggiungi al tuo sito WordPress (anche se è un plugin progettato per migliorare la sicurezza) aggiungerà tecnicamente un punto di vulnerabilità. È un concetto semplice: codice aggiuntivo da una fonte di terze parti (anche affidabile) può potenzialmente lasciare l'intero sistema ulteriormente esposto. Gli standard di sicurezza moderni sono piuttosto elevati, con i siti Web richiesti per mantenere i dati degli utenti strettamente protetti mentre bloccano le transazioni tramite standard come PCI . Un solo anello debole può spezzare la catena e causare danni incalcolabili al tuo sito, attività e reputazione.

Il più delle volte un plug-in aggiunto non è un problema perché ha i propri aggiornamenti di sicurezza, proprio come fa WordPress e lo sviluppatore elaborerà una patch subito dopo aver scoperto un problema. Tuttavia, questo non è sempre il caso. Quando un plugin di WordPress viene abbandonato, l'ultima versione aggiornata diventa sempre più datata e rimane installata su molti sistemi. Questo plug-in potrebbe anche rimanere disponibile per il download su WP.org fino a quando lo sviluppatore non si ricorderà di portarlo offline.

Per fortuna, è ragionevolmente semplice risolvere questo problema: trova il plug-in e disabilitalo o disinstallalo . In genere consigliamo di disinstallare il plug-in, piuttosto che disabilitarlo, a meno che tu non abbia buone ragioni per pensare che possa essere aggiornato in un prossimo futuro. Dovrai anche fare attenzione a come il plug-in obsoleto interagisce con altri plug-in e il tuo sito Web, poiché potrebbero sorgere problemi dopo l'eliminazione di un plug-in. Ad esempio, se elimini un plug-in che si occupa di limitare la quantità di tentativi di password che un utente può fare, ciò potrebbe causare potenziali problemi di sicurezza e dovrai trovare un sostituto adeguato, se necessario.

Come sostituire la funzionalità necessaria

Se hai rimosso un plug-in obsoleto, ma trovi che ha svolto un ruolo importante nel funzionamento quotidiano del tuo sito e non riesci a trovare nulla di simile sul mercato. Cosa dovresti fare? WordPress ti dà la libertà di reperire plugin da più fonti (non solo dagli elenchi di WP.org), ma questo può metterti in una posizione potenzialmente precaria quando usi questi plugin.

Per la maggior parte delle persone, in particolare per coloro che gestiscono le proprie attività online, le restrizioni del moderno modello SaaS sono confortanti. Ad esempio, l'utilizzo di un CMS ospitato è diventato estremamente popolare per i siti di eCommerce in quanto offre un buon mix di opzioni di personalizzazione e sicurezza garantita. Anche se in linea di principio puoi fare di più con WordPress, avere così tante scelte diverse può creare confusione.

Se ti trovi nell'improbabile posizione in cui ritieni sia necessario eliminare un plug-in e non riesci a trovare alcun sostituto valido per colmare tale lacuna, hai due opzioni realistiche per affrontarlo. Assumi uno sviluppatore WordPress per programmare una sostituzione o prova a riprodurre la funzionalità utilizzando i sistemi esistenti (strumenti come Zapier e IFTTT possono essere utilizzati per ottenere una notevole automazione se riesci a fare i conti con loro).

Scegli con cura i tuoi plugin

L'importanza dell'esperienza degli sviluppatori significa che non tutti i plugin sono creati uguali. Competenza, reputazione e affidabilità generale dello sviluppatore sono solo alcuni dei fattori che fanno la differenza tra un plugin creato da un noto sviluppatore con una solida politica di monetizzazione . Anche se potrebbe non piacerti spendere soldi per i plugin, i pagamenti fanno andare avanti gli sviluppatori e consentono loro di aggiornare continuamente il loro software. Questo è in confronto ad altri plugin che potresti utilizzare che sono stati realizzati da un hobbista, con poca intenzione di mantenerlo.

Il modo più sensato per procedere è considerare attentamente lo sviluppatore di un plug-in prima di installarlo e iniziare a fare affidamento su di esso. Assicurati di controllare le loro recensioni. Ricerca il loro track record quando si tratta di aggiornare il valore e la coerenza. Hanno un blog che puoi seguire? Se rimani con gli sviluppatori che traggono profitto dal loro lavoro, puoi essere abbastanza sicuro che continueranno ad aggiornare e mantenere il plug-in, il che contribuirà a ridurre la possibilità che il tuo sito venga violato tramite un plug-in obsoleto.

Uno dei modi migliori per garantire che i tuoi plugin rimangano aggiornati è utilizzare UpdraftCentral . Questo potente telecomando per WordPress non solo ti consente di gestire e aggiornare centralmente i tuoi temi, plugin e core su tutto il tuo sito con un solo clic, ma anche di eseguire il backup e controllare tutti i tuoi siti su cui è installato UpdraftPlus da una posizione centrale nel Nube. Se sei troppo occupato o hai troppi siti per aggiornare in modo affidabile, puoi anche utilizzare Easy Updates Manager . Questo servizio mantiene automaticamente i siti aggiornati e privi di bug.

Come proteggere il tuo sito

Anche se scegli con cura i tuoi plug-in, tieni d'occhio i plug-in obsoleti che non vengono aggiornati da un po' e agisci per rimuoverli, se possibile, quando li individui. Tuttavia, ci sarà sempre un potenziale pericolo invisibile poiché uno sviluppatore potrebbe smettere di impegnarsi per aggiornare i propri plug-in, il che potrebbe portare a vulnerabilità senza patch nonostante gli aggiornamenti vengano rilasciati.

A causa di questi potenziali problemi di sicurezza, devi fare di più per proteggere il tuo sito. Uno dei modi migliori per farlo è eseguire regolarmente il backup del tuo sito utilizzando UpdraftPlus . Assicurati di creare sempre un backup prima di installare o aggiornare un plug-in e di pianificare regolarmente nuovi backup per difenderti da eventuali problemi imprevisti. Se qualcosa va storto a causa di un plug-in vulnerabile, puoi utilizzare UpdraftPlus per ripristinare un backup esistente, a quel punto puoi rimuovere il plug-in offensivo e continuare normalmente.

In sintesi, i plug-in WordPress defunti sono una minaccia perché possono consentire alle vulnerabilità di insinuarsi nel tuo sito WordPress altrimenti sicuro. Per rimanere al sicuro, sii selettivo, stai in guardia, agisci quando necessario e mantieni il backup del tuo sito con UpdraftPlus .

Leggi di Rodney

Il post Perché i plugin di WordPress defunti rappresentano una minaccia e come proteggere il tuo sito è apparso per la prima volta su UpdraftPlus. UpdraftPlus – Plugin di backup, ripristino e migrazione per WordPress.