I plugin di WordPress sono una gran comodità, ammettiamolo. Con il loro aiuto puoi fare a meno di toccare il codice: ti basterà individuare il plugin di cui hai bisogno nella lista fornita WordPress, installarlo, completare la configurazione… e il gioco è fatto.
Se volessimo fare un paragone tra la creazione di siti WordPress e la cucina potremmo dire che i plugin sono ingredienti pronti all’uso, quelli che prendi già puliti, tagliati e confezionati al supermercato. Ti permettono di risparmiare un sacco di tempo grazie al lavoro che qualcun altro ha già fatto al posto tuo.
Quando fai la spesa, però, devi sempre prestare attenzione a quello che compri. I prodotti sono di qualità? Sono freschi? Da quale paese provengono? Anche con le estensioni per WordPress ci vuole una buona dose di prudenza, così come quando maneggi un coltello troppo affilato.
Un aspetto da tenere sotto controllo, ad esempio, sono i plugin abbandonati, l’equivalente degli ingredienti scaduti nelle ricette del web design. I programmatori non rilasciano più nuove versioni e smettono di fornire assistenza tecnica. Continuare a usarli significa sottoporre il tuo sito a grossi rischi, anche e soprattutto da un punto di vista della sicurezza.
Quando un plugin è abbandonato?
Non esiste una definizione ufficiale, ma nel mondo WordPress in molti tendono a considerare abbandonato un plugin (o un tema) che non è stato aggiornato negli ultimi due anni.
È un lasso di tempo decisamente generoso, considerando che i plugin più popolari ricevono aggiornamenti per risolvere problemi (bug) o migliorare le funzionalità una o più volte al mese!
La pagina di un plugin abbandonato riporta una segnalazione come questa:
In questo esempio, addirittura il plugin non è stato aggiornato per ben 4 anni:
Basta pensare che 4 anni fa non esisteva ancora Gutenberg e la maggior parte degli hosting utilizzava ancora PHP versione 5.4 per rendersi conto che molto probabilmente questo plugin manderà in errore il nostro caro sito WordPress.
Un’altra situazione a cui fare molta attenzione è quando un plugin viene rimosso dalla directory di plugin WordPress.
Le motivazioni possono essere diverse:
- Lo sviluppatore ha deciso di togliere il plugin;
- Il plugin è stato rimosso per violazione delle linee guida (es. pubblicità, link di spam, descrizione truffaldina);
- il plugin è stato rimosso per problemi di sicurezza a cui lo sviluppatore non ha risposto;
Un esempio famoso è quello di Ginger, plugin tutto italiano per gestire la la legge Europea sui cookie che aveva guadagnato una certa popolarità.
Il plugin non è più disponibile per il download come indicato nella pagina:
Perché gli aggiornamenti dei plugin sono importanti
Nel nostro blog ripetiamo spesso quanto sia importante mantenere aggiornate tutte le componenti di un sito. Magari pensi: “Ok, non ho scaricato l’ultima versione ma comunque tutto funziona bene, quindi me lo tengo così”. Purtroppo è un ragionamento sbagliato che può portare a conseguenze molto gravi.
Se gli sviluppatori non pubblicano nuove versioni delle loro estensioni da molto tempo – diciamo almeno due anni – ci sono alte possibilità che non seguano più quel progetto. Vuol dire che, in caso di incompatibilità con sistemi più recenti o di un attacco malware al plugin, rimarrai completamente senza supporto.
Esiste una relazione diretta tra strumenti obsoleti e minacce alla sicurezza: più vecchio è il codice con cui sono stati scritti, più alto è il rischio che vengano violati. Vediamo insieme alcune situazioni in cui la mancanza di aggiornamenti può causare dei seri problemi.
1. Gli avvisi di sicurezza vengono ignorati
Gli hacker gestiscono i loro attacchi attraverso malware che cercano in automatico eventuali falle nel codice di qualsiasi pagina web. Se trovano una breccia in un plugin, la sfrutteranno per infiltrarsi in tutti i siti che lo utilizzano prima che i produttori possano correre ai ripari. Capisci che, se l’attacco colpisce uno strumento abbandonato ma ancora usato da molti utenti, può diventare una catastrofe.
Per fortuna esistono piattaforme come WPVulndb che conducono test di sicurezza con degli script simili a quelli dei malware. Quando scoprono una vulnerabilità avvertono i responsabili e danno loro il tempo di correggere prima di diffondere un rapporto pubblico. Se gli sviluppatori non rispondono, i report vengono pubblicati comunque e diventano – per assurdo – una specie di libretto di istruzioni per gli hacker.
2. Temi e strumenti utilizzano un’estensione che non viene più aggiornata
A volte i temi di WordPress implementano delle componenti o anche solo delle porzioni di codice realizzate da terze parti. Se quegli strumenti non vengono aggiornati diventano un pericolo per tutti i siti che hanno installato quel tema. Un esempio famoso tra gli specialisti del web è il caso TimThumb del 2011.
TimThumb era uno script di codice per il ridimensionamento delle immagini diffuso in numerosi temi. Quando un malware è riuscito a intrufolarsi nel suo codice si è scatenata un’infezione a catena che ha contagiato migliaia di pagine web. I programmatori che lo avevano aggiunto all’interno dei loro prodotti sono dovuti intervenire sui codici per rilasciare il prima possibile delle nuove versioni “pulite” per gli utenti.
Ancora oggi ci capita di lavorare a dei siti con malfunzionamenti che nascono da questa estensione: succede se un progetto viene abbandonato a sé stesso senza misure di sicurezza.
3. I plugin causano pericolosi conflitti di sistema
WordPress funziona in un ambiente di lavoro dinamico basato su un codice e un linguaggio aggiornati molto di frequente. Se i produttori non adeguano i loro strumenti a queste continue modifiche, nascono conflitti che impediscono il corretto funzionamento dei siti e li espongono ad attacchi esterni.
Se ci accorgiamo che un plugin montato sul nostro sito non viene più aggiornato, la prima cosa da fare è eliminarlo e cercare un sostituto sicuro e affidabile, con modifiche recenti e con un sistema di supporto attivo.
I controlli di sicurezza di WordPress
WordPress mette a disposizione un lungo elenco di plugin sicuri, raggiungibile sia dal pannello di back-end che dalla directory ufficiale. Per rientrare in questa lista, le componenti devono rispettare una serie di criteri di qualità e possono essere rimosse nel caso in cui venga meno qualcuno dei requisiti.
Quando servizi come WPvulndb riscontrano delle anomalie nelle estensioni e non ricevono risposte dagli sviluppatori, contattano WordPress per cercare un altro canale di comunicazione. Se non arrivano risposte nemmeno da lì, il plugin viene rimosso dalla lista.
Non tutti i parametri di inclusione riguardano la sicurezza, per cui alcuni strumenti che spariscono dall’elenco continuano a essere affidabili al 100%. Se non trovi più il tuo plugin nella directory, fai una ricerca sul web per capire come mai è stato rimosso: in caso di problemi di vulnerabilità, sostituiscilo il prima possibile.
Affidati agli esperti per scoprire i plugin abbandonati
I plugin sono comodi e ti aiutano molto ma, per tornare alla nostra similitudine con la cucina, devi assicurarti che i tuoi ingredienti siano sempre di alta qualità e freschissimi. Insomma: monitorare la sicurezza di tutti gli elementi del tuo sito può trasformarsi in un vero e proprio lavoro.
Puoi farti aiutare da estensioni come Wordfence che controllano la sicurezza degli spazi web e, tra le altre cose, avvisano se un plugin in uso risulta abbandonato da almeno due anni o rimosso dalla directory di WordPress.
Ecco un esempio di segnalazione di WordFence:
Se però cerchi il massimo della protezione, dai un’occhiata ai servizi di WP-OK per la gestione WordPress in abbonamento. Il nostro team è sempre a tua disposizione per rendere il tuo sito sicuro e veloce.
