Se chiedi a un proprietario di un sito WordPress cosa significhi manutenzione, di solito menzioner\u00e0 gli aggiornamenti. Premere il pulsante di aggiornamento sui plugin, premere il pulsante di aggiornamento sul core di WordPress, fatto. Questo ne fa parte, ma una manutenzione fatta bene \u00e8 pi\u00f9 ampia e pi\u00f9 silenziosa di cos\u00ec. \u00c8 un insieme di piccoli controlli che mantengono piccoli i problemi piccoli, e alcuni di essi vengono saltati quasi universalmente. Ecco i cinque che vediamo trascurati pi\u00f9 spesso, e cosa fanno per te quando non lo sono.<\/p>\n\n\n\n
La maggior parte dei siti WordPress ha backup configurati da qualche parte. Molti meno siti hanno backup che funzionano davvero. La differenza diventa visibile solo il giorno in cui ne hai bisogno, che \u00e8 il momento peggiore possibile per scoprire il problema.<\/p>\n\n\n\n
I fallimenti comuni sono familiari. Il plugin di backup ha smesso di funzionare in silenzio tre mesi fa dopo un aggiornamento. La destinazione esterna ha esaurito lo spazio e ha rifiutato silenziosamente i nuovi caricamenti. I backup sono backup completi dei file ma escludono il database. I backup sono backup del database ma escludono la cartella dei caricamenti. I backup esistono ma sono cifrati e nessuno ha testato la chiave di decifratura.<\/p>\n\n\n\n
La cura \u00e8 ripristinare davvero. Scegli un backup recente, crea un sito di staging temporaneo e ripristinalo. Se funziona, lo sai. In caso contrario, hai il tempo di sistemare il processo mentre il sito in produzione \u00e8 ancora in salute. Consigliamo di farlo almeno trimestralmente per qualsiasi sito critico per il business.<\/p>\n\n\n\n
Gli elenchi utenti di WordPress si accumulano. Nell’arco di un paio d’anni, un singolo sito raccoglie un freelance che ha creato il modulo di contatto, uno sviluppatore che ha fatto un’integrazione una tantum, un collaboratore marketing che doveva pubblicare un articolo, il designer originale che ha impostato i colori del brand, e un paio di plugin che hanno creato silenziosamente i propri account utente. La maggior parte non viene mai rimossa.<\/p>\n\n\n\n
Ognuno di quegli account \u00e8 una via d’accesso al tuo sito. Se a uno di essi \u00e8 stato dato accesso a livello di amministratore, pu\u00f2 fare qualsiasi cosa, incluso importare involontariamente una compromissione dal proprio laptop. Se la password di un freelance finisce anni dopo in una violazione da qualche parte su internet, il tuo accesso da amministratore \u00e8 nella lista.<\/p>\n\n\n\n
Apri la pagina degli utenti una volta a trimestre. Chiunque non abbia bisogno di accesso oggi viene rimosso. Chiunque debba solo pubblicare contenuti non ha bisogno del ruolo di amministratore; gli serve al massimo il ruolo di editore. Applica il privilegio minimo come impostazione predefinita e rimuoverai molto rischio con pochissimo sforzo.<\/p>\n\n\n\n
Il database di WordPress cresce silenziosamente nel tempo. Le revisioni dei post si accumulano senza limite se non configuri WordPress per limitarle. Le bozze automatiche si ammucchiano. I transient mai ripuliti riempiono la tabella delle opzioni. I plugin lasciano i propri dati quando vengono rimossi. I commenti spam, se non usi un buon filtraggio, possono gonfiare la tabella dei commenti. I log di Action Scheduler di vari plugin possono arrivare a centinaia di migliaia di righe.<\/p>\n\n\n\n
Niente di tutto questo rompe il sito immediatamente. Rende solo tutto leggermente pi\u00f9 lento. I caricamenti delle pagine passano pi\u00f9 tempo ad attendere le query al database. Le pagine di amministrazione impiegano pi\u00f9 tempo a essere visualizzate. I backup crescono e impiegano pi\u00f9 tempo a essere eseguiti. Nell’arco di un paio d’anni, un piccolo sito pu\u00f2 ritrovarsi con un database molte volte pi\u00f9 grande del suo contenuto reale.<\/p>\n\n\n\n
Una pulizia trimestrale del database, idealmente con strumenti adeguati anzich\u00e9 con plugin aggressivi di cancellazione automatica, mantiene il sito snello. Configura i limiti delle revisioni dei post in wp-config.php. Svuota i cestini. Elimina le chiavi di opzioni inutilizzate lasciate dai plugin disinstallati. Reindicizza le tabelle lente. Poi fai un nuovo backup.<\/p>\n\n\n\n
Questo \u00e8 uno dei controlli pi\u00f9 trascurati, ed \u00e8 quello che ha segnalato una recente compromissione di un’agenzia di Sydney che abbiamo verificato. L’aggressore aveva depositato quindici file dannosi in cartelle che imitavano i nomi di pagine WordPress del sito. Nessuno aveva guardato la radice del documento da mesi. Se l’avessero fatto, i file sarebbero stati individuati in pochi minuti.<\/p>\n\n\n\n
La radice del documento di un sito WordPress dovrebbe contenere i file del core di WordPress e ben poco altro. Se trovi cartelle che non riconosci, file .php al di fuori di wp-admin, wp-content e wp-includes, archivi di backup, dump .sql, o copie di sviluppo di file con nomi come wp-config.bak, qualcosa non va. Indaga su ogni file che non sai spiegare.<\/p>\n\n\n\n
Un’occhiata mensile alla radice del documento, via SFTP o tramite il gestore file del tuo hosting, \u00e8 un’attivit\u00e0 di quindici minuti che intercetta una categoria di attacco che la maggior parte dei monitoraggi non rileva.<\/p>\n\n\n\n
WordPress usa un insieme di chiavi segrete crittografiche e salt, definiti in wp-config.php, per firmare i cookie e proteggere i dati di sessione. Vengono generati quando WordPress viene installato e quasi nessuno li cambia mai pi\u00f9. Se sono trapelati a un certo punto, ogni token di sessione emesso da allora \u00e8 tecnicamente ancora valido, e un aggressore che ne avesse catturato uno una volta potrebbe ancora usarlo.<\/p>\n\n\n\n
Ruotarli una o due volte all’anno invalida ogni sessione esistente, costringe tutti a riconnettersi e ti offre un reset pulito. La stessa logica si applica alle password applicative usate da plugin e integrazioni, alle chiavi API dei servizi che si collegano al tuo sito, e a qualsiasi token una tantum che potresti aver emesso per migrazioni o test.<\/p>\n\n\n\n
Ogni volta che un dipendente o un collaboratore se ne va, o ogni volta che sospetti che una credenziale possa essere stata esposta, la rotazione \u00e8 essenziale. I cinque minuti che richiede sono il miglioramento di sicurezza pi\u00f9 economico che farai mai.<\/p>\n\n\n\n
Il filo comune tra queste cinque \u00e8 che nessuna produce risultati visibili. Ripristinare un backup di prova, rimuovere il vecchio account amministratore di un collaboratore, ripulire le revisioni dei post, scansionare la radice del documento, ruotare le chiavi crittografiche. Il sito appare identico prima e dopo. Il lavoro \u00e8 invisibile fino al giorno in cui fa la differenza tra riprendersi da un problema in un’ora o ricostruire il sito da zero.<\/p>\n\n\n\n
\u00c8 proprio per questo che vengono saltate. La ricompensa per averle fatte \u00e8 l’assenza di un problema, e gli esseri umani sono pessimi nel dare valore alle assenze. Una buona routine di supporto le integra come abitudine, cos\u00ec la domanda se valga la pena farle oggi non si pone mai.<\/p>\n\n\n\n