Il tuo sito WordPress va aggiornato. Cosa rischi se non lo fai
C’è una cosa che sento spesso, quando parlo con i miei clienti del loro sito web: “funziona, quindi tutto bene”. È una risposta comprensibile. Se il sito si apre, le pagine si caricano e il modulo di contatto risponde, sembra tutto a posto.
Il problema è che “funziona” e “è sicuro” non sono la stessa cosa.
WordPress: potente, diffuso, e per questo nel mirino
WordPress alimenta circa il 40% dei siti web mondiali. È una statistica che fa capire due cose: la prima è che è uno strumento solido e affidabile; la seconda è che è il bersaglio preferito di chi cerca vulnerabilità da sfruttare.
Non perché WordPress sia particolarmente insicuro. Anzi, il suo team di sviluppo lavora costantemente per tappare le falle non appena vengono scoperte. Il punto è che quelle falle esistono, vengono rese pubbliche, e chi ha intenzioni malevole inizia immediatamente a cercare i siti che non hanno ancora installato la correzione.
Non è fantascienza: sono processi automatizzati che scandagliano milioni di siti ogni giorno. Se il tuo ha una versione obsoleta di WordPress, di un plugin o di un tema, prima o poi qualcuno lo trova.
Cosa può succedere concretamente
Non voglio fare terrorismo psicologico, ma è utile sapere a cosa si va incontro. Un sito compromesso può essere usato per inviare spam (con conseguente blacklisting del dominio), può mostrare contenuti che non hai messo tu, può raccogliere dati dei tuoi visitatori senza che nessuno se ne accorga, può essere penalizzato da Google e sparire dai risultati di ricerca. In alcuni casi, le conseguenze toccano anche il piano normativo: un sito che espone dati personali a causa di una vulnerabilità non risolta è un problema anche sotto il profilo del GDPR.
Tutto questo, nella quasi totalità dei casi, si sarebbe potuto evitare con un aggiornamento fatto per tempo.
Il problema degli aggiornamenti “fai da te”
Qui viene la parte che mi preme chiarire, perché è quella che genera più malintesi.
Gli aggiornamenti di WordPress non sono come gli aggiornamenti di Windows, dove premi un pulsante e aspetti. Ogni sito è un ecosistema: WordPress ha la sua versione, ogni plugin ha la sua, ogni tema ha la sua, e tutte queste versioni si devono interfacciare con la configurazione del server (versione del PHP, memoria disponibile, eccetera). Quando si aggiorna una componente, bisogna verificare che le altre continuino a funzionare correttamente. A volte non è così, e un aggiornamento mal gestito può rompere qualcosa: un modulo che smette di inviare, una pagina che si visualizza storta, una funzione che sparisce.
Non sto dicendo che non puoi farcela da solo. Sto dicendo che farlo bene richiede metodo: un backup prima di ogni aggiornamento, una verifica del sito dopo, e la capacità di intervenire se qualcosa non va. Se hai tutto questo, ottimo. Se no, vale la pena pensare a chi delegare.
Da dove partire: capire lo stato del tuo sito
Prima di fare qualsiasi ragionamento su cosa fare, conviene sapere come sei messo. Ho costruito un tool gratuito che analizza il tuo sito su 13 parametri tecnici: versione di WordPress e dei plugin, certificato HTTPS, velocità di caricamento, cookie banner, analytics, scadenza del dominio e altro ancora. Nessuna password richiesta, nessun impegno. Ricevi un report via email con semafori chiari, verde/arancione/rosso, su ogni punto.
Puoi farlo adesso, ci vogliono 60 secondi: checkup gratuito del tuo sito.
Se dal report emergono criticità e non sai come affrontarle, possiamo parlarne. Il passo successivo, per chi vuole togliersi il pensiero una volta per tutte, è un contratto di manutenzione: aggiornamenti regolari, backup, monitoraggio e qualcuno a cui telefonare quando qualcosa non torna. Ma questo è un discorso che facciamo quando e se ha senso per te.
Le indicazioni di questo articolo si riferiscono a siti realizzati con WordPress, che rappresenta la stragrande maggioranza dei siti dei miei clienti. Siti realizzati con altre tecnologie hanno dinamiche parzialmente diverse.