Le 5 attività di manutenzione di WordPress che la maggior parte dei proprietari dimentica

Se chiedi a un proprietario di un sito WordPress cosa significhi manutenzione, di solito menzionerà gli aggiornamenti. Premere il pulsante di aggiornamento sui plugin, premere il pulsante di aggiornamento sul core di WordPress, fatto. Questo ne fa parte, ma una manutenzione fatta bene è più ampia e più silenziosa di così. È un insieme di piccoli controlli che mantengono piccoli i problemi piccoli, e alcuni di essi vengono saltati quasi universalmente. Ecco i cinque che vediamo trascurati più spesso, e cosa fanno per te quando non lo sono.

1. Testare i backup ripristinandone davvero uno

La maggior parte dei siti WordPress ha backup configurati da qualche parte. Molti meno siti hanno backup che funzionano davvero. La differenza diventa visibile solo il giorno in cui ne hai bisogno, che è il momento peggiore possibile per scoprire il problema.

I fallimenti comuni sono familiari. Il plugin di backup ha smesso di funzionare in silenzio tre mesi fa dopo un aggiornamento. La destinazione esterna ha esaurito lo spazio e ha rifiutato silenziosamente i nuovi caricamenti. I backup sono backup completi dei file ma escludono il database. I backup sono backup del database ma escludono la cartella dei caricamenti. I backup esistono ma sono cifrati e nessuno ha testato la chiave di decifratura.

La cura è ripristinare davvero. Scegli un backup recente, crea un sito di staging temporaneo e ripristinalo. Se funziona, lo sai. In caso contrario, hai il tempo di sistemare il processo mentre il sito in produzione è ancora in salute. Consigliamo di farlo almeno trimestralmente per qualsiasi sito critico per il business.

2. Rivedere chi ha accesso da amministratore

Gli elenchi utenti di WordPress si accumulano. Nell’arco di un paio d’anni, un singolo sito raccoglie un freelance che ha creato il modulo di contatto, uno sviluppatore che ha fatto un’integrazione una tantum, un collaboratore marketing che doveva pubblicare un articolo, il designer originale che ha impostato i colori del brand, e un paio di plugin che hanno creato silenziosamente i propri account utente. La maggior parte non viene mai rimossa.

Ognuno di quegli account è una via d’accesso al tuo sito. Se a uno di essi è stato dato accesso a livello di amministratore, può fare qualsiasi cosa, incluso importare involontariamente una compromissione dal proprio laptop. Se la password di un freelance finisce anni dopo in una violazione da qualche parte su internet, il tuo accesso da amministratore è nella lista.

Apri la pagina degli utenti una volta a trimestre. Chiunque non abbia bisogno di accesso oggi viene rimosso. Chiunque debba solo pubblicare contenuti non ha bisogno del ruolo di amministratore; gli serve al massimo il ruolo di editore. Applica il privilegio minimo come impostazione predefinita e rimuoverai molto rischio con pochissimo sforzo.

3. Pulire il database

Il database di WordPress cresce silenziosamente nel tempo. Le revisioni dei post si accumulano senza limite se non configuri WordPress per limitarle. Le bozze automatiche si ammucchiano. I transient mai ripuliti riempiono la tabella delle opzioni. I plugin lasciano i propri dati quando vengono rimossi. I commenti spam, se non usi un buon filtraggio, possono gonfiare la tabella dei commenti. I log di Action Scheduler di vari plugin possono arrivare a centinaia di migliaia di righe.

Niente di tutto questo rompe il sito immediatamente. Rende solo tutto leggermente più lento. I caricamenti delle pagine passano più tempo ad attendere le query al database. Le pagine di amministrazione impiegano più tempo a essere visualizzate. I backup crescono e impiegano più tempo a essere eseguiti. Nell’arco di un paio d’anni, un piccolo sito può ritrovarsi con un database molte volte più grande del suo contenuto reale.

Una pulizia trimestrale del database, idealmente con strumenti adeguati anziché con plugin aggressivi di cancellazione automatica, mantiene il sito snello. Configura i limiti delle revisioni dei post in wp-config.php. Svuota i cestini. Elimina le chiavi di opzioni inutilizzate lasciate dai plugin disinstallati. Reindicizza le tabelle lente. Poi fai un nuovo backup.

4. Verificare la radice del documento alla ricerca di file che non dovrebbero esserci

Questo è uno dei controlli più trascurati, ed è quello che ha segnalato una recente compromissione di un’agenzia di Sydney che abbiamo verificato. L’aggressore aveva depositato quindici file dannosi in cartelle che imitavano i nomi di pagine WordPress del sito. Nessuno aveva guardato la radice del documento da mesi. Se l’avessero fatto, i file sarebbero stati individuati in pochi minuti.

La radice del documento di un sito WordPress dovrebbe contenere i file del core di WordPress e ben poco altro. Se trovi cartelle che non riconosci, file .php al di fuori di wp-admin, wp-content e wp-includes, archivi di backup, dump .sql, o copie di sviluppo di file con nomi come wp-config.bak, qualcosa non va. Indaga su ogni file che non sai spiegare.

Un’occhiata mensile alla radice del documento, via SFTP o tramite il gestore file del tuo hosting, è un’attività di quindici minuti che intercetta una categoria di attacco che la maggior parte dei monitoraggi non rileva.

5. Ruotare salt, chiavi e password applicative

WordPress usa un insieme di chiavi segrete crittografiche e salt, definiti in wp-config.php, per firmare i cookie e proteggere i dati di sessione. Vengono generati quando WordPress viene installato e quasi nessuno li cambia mai più. Se sono trapelati a un certo punto, ogni token di sessione emesso da allora è tecnicamente ancora valido, e un aggressore che ne avesse catturato uno una volta potrebbe ancora usarlo.

Ruotarli una o due volte all’anno invalida ogni sessione esistente, costringe tutti a riconnettersi e ti offre un reset pulito. La stessa logica si applica alle password applicative usate da plugin e integrazioni, alle chiavi API dei servizi che si collegano al tuo sito, e a qualsiasi token una tantum che potresti aver emesso per migrazioni o test.

Ogni volta che un dipendente o un collaboratore se ne va, o ogni volta che sospetti che una credenziale possa essere stata esposta, la rotazione è essenziale. I cinque minuti che richiede sono il miglioramento di sicurezza più economico che farai mai.

Perché queste attività vengono dimenticate

Il filo comune tra queste cinque è che nessuna produce risultati visibili. Ripristinare un backup di prova, rimuovere il vecchio account amministratore di un collaboratore, ripulire le revisioni dei post, scansionare la radice del documento, ruotare le chiavi crittografiche. Il sito appare identico prima e dopo. Il lavoro è invisibile fino al giorno in cui fa la differenza tra riprendersi da un problema in un’ora o ricostruire il sito da zero.

È proprio per questo che vengono saltate. La ricompensa per averle fatte è l’assenza di un problema, e gli esseri umani sono pessimi nel dare valore alle assenze. Una buona routine di supporto le integra come abitudine, così la domanda se valga la pena farle oggi non si pone mai.

Hai bisogno di una mano?

Se vuoi che Defyn ti tolga queste attività dalle mani e le esegua con una cadenza regolare, mettiti in contatto. Le svolgiamo come parte del normale lavoro di supporto su ogni sito WordPress che gestiamo e saremo lieti di aggiungere il tuo alla routine.