Siti web e sicurezza - I consigli di PJ Hooker

Siti web e sicurezza - I consigli di PJ Hooker

Indice dei contenuti

PJ-sicurezza-webSicurezza by PJ Hooker - La sicurezza di un sito web interessa molti temi e i metodi per prevenire malfunzionamenti e perdita di informazioni, sono spesso la principale causa, che portano ad esporre il proprio sito a questi rischi. Infatti i plugin che vengono installati nei nostri blog fatti con Joomla o Wordpress, sembrano, nelle loro descrizioni, “aumentare la sicurezza”, ma di fatto nel migliore dei casi, rallentano il sito perchè hanno funzioni inutilizzate e nel peggiore presentano dei bug dovuti al mancato aggiornamento dello sviluppo. Cerchiamo ora di fare un po’ di chiarezza per capire dove focalizzare l’attenzione sul vostro sito. Wordpress e Joomla sono due CMS (Content Management System) sviluppati in PHP, un linguaggio di programmazione … che solo i webmaster, di solito, vedono. Tramite questo linguaggio PHP, si accede ad un database, come MySQL, per organizzare, modificare ed inserire nuovi contenuti. Detto questo, chiunque ha accesso alla modifica di questi file php, può in pochi minuti, copiare o cancellare o inserire migliaia di contenuti di qualsiasi genere. I webmaster conoscono bene il loro mestiere, ma questo codice è visibile, in Wordpress, anche direttamente nel menù laterale, sotto la voce Aspetto > Editor.

Gli aggiornamenti

Scoperto il mistero chiamato PHP, vediamo cosa bisogna considerare. Innanzittutto Wordpress è il CMS maggiormente utilizzato e il suo ciclo di vita si evolve trovando bug e pubblicando gli aggiornamenti, oltre ad essere graficamente “nuovo”, ma è solo una questione di stile. Così, se per qualche motivo non aggiorniamo il nostro sito, ogni volta che lo comunica, siamo soggetti al rischio che è appena stato trovato e, per fortuna, risolto. Gli aggiornamenti di Wordpress sono numerosi, circa uno ogni mese (dal rilascio della versione 4.2 Bud Powell di April, è programmato il 4° aggiornamento per fine Agosto - guarda la storia degli aggiornamenti), ma questo non include gli aggiornamenti dei plug-in, che sono dei piccoli software sviluppati separatamente, che visto il numero, sono fuori dal controllo di Wordpress. Una regola che può essere definita come “un ottimo consiglio” è proprio quella di disabilitare quei plug-in che da molti mesi non vi notificano degli aggiornamenti.

I temi di Wordpress

Non solo i plug-in modificano Wordpress, ma anche i temi e, a meno che qualcuno sviluppi un tema personalizzato per voi, cercate sempre di scegliere un tema nuovo, semplice, che rispecchi le vere proprie esigenze e se vi accorgete che dopo qualche mese non ci sono degli aggiornamenti del tema, iniziate a cercarne un’altro. Per la scelta dei temi, è inoltre consigliato andare sui siti che vendono temi, perchè oltre ad avere un tema aggiornato, c’è un supporto e dei webmaster a cui poter commissionare delle modifiche specifiche. Anche se sono temi a pagamento, il costo non è elevato e con 70-80 €, si possono avere i temi più gettonati.

Gli strumenti indispensabili

Quando viene creato un sito web l’operazione primaria da fare è attivare i due strumenti gratuiti di Google: Webmaster tools e Analytics. Questi non sono direttamente legati alla sicurezza di un sito, ma permettono a Google di effettuare un monitoraggio continuo sui vostri contenuti e oltre a agevolare la presenza nei motori di ricerca, permette da una parte di intercettare subito un possibile malfunzionamento  del sito e dall’altra aprire un canale di accesso di supporto e segnalazioni direttamente con Google. I webmaster, utilizzano approfonditamente questi due strumenti, ma sono comunque delle bacheche, che possono essere visualizzate in ogni momento dal proprietario del sito, magari anche dal proprio smartphone.

I plug-in sociali

Se siete amanti dei social network, ci sono plug-in di tutti i tipi. Una breve nota, alla luce della cookie policy, riguarda proprio questi plug-in, perchè, di fatto, raccolgono i dati di ogni visitatore e il principio di questa nuova policy è basato proprio su questa questione. I plug-in sociali sono proprio l’esempio di come è gestita male (o mal interpretata) la possibilità di creare strumenti gratis da applicare ai propri siti. Quando andate ad aggiungere un plug-in, provate a cercare Facebook: il risultato ultimamente apparso è 2.255 - Io dico che quelli validi non superano la decina e alla fine scelgo sempre lo stesso.

I plug-in da amministratore

Copia, migra, backup, bulk, sono le parole chiave che nei titoli dei plug-in, indicano: “fai qualcosa di rischioso, che il tuo webmaster farebbe in 2 minuti, senza”. Queste operazione, per prevenire la perdita di dati, sono da programmare spesso e a volte sono anche delle operazioni eseguite come opzione dall’hosting che ospita il vostro sito. L’installazione di questi plug-in rendono il sito vulnerabile, anche da voi stessi, che per inesperienza e numero di impostazioni/opzioni disponibili, ma nello stesso tempo semplicità di esecuzione dei comandi, possono invalidare il lavoro fatto negli ultimi mesi. I plug-in amministratore, ma anche amministare i permessi degli utenti. Se infatti il vostro sito/blog/e-commerce è gestito da più persone, quando si aggiunge un utente bisogna fare attenzione alla quantità di permessi affidati. L’opzione “editor” citata all’inizio non è abilitata per tutti gli utenti, ma solo quelli con determinati permessi. In particolare ci sono: gli amministratori, gli editori, gli scrittori e gli amici (per maggiori informazioni a riguardo leggi qui).

La soluzione finale!

Anche se può sembrare una soluzione folle, la seguente è tra tutte quella che “un webmaster” consiglia … semplicemente perchè è il metodo che usa: quando si ha un sito è necessario averne in tutto 3!

  • il primo sito, chiamato anche di produzione, è il sito ufficiale che i visitatori vedono e ha i contenuti sempre aggiornati;
  • un secondo sito accessible, ma in una cartella nascosta, creato per fare i test, detto anche di staging. Ogni qualvolta si vuole apportare una modifica alla struttura del sito si esegue prima su questo doppione; si può utilizzare questo sito per provare i plug-in e magari testarli fino a vedere se tarda ad arrivare il prossimo aggiornamento; si può usare anche per testare le nuove grafiche e fare dei miglioramenti, senza compromettere il funzionamento del sito ufficiale; i siti di test, possono essere molteplici, visto che oggi giorno con una spesa di 100€ all’anno, si possono installare decine di siti sullo stesso spazio;
  • il terzo sito è l’esatta copia di quello ufficiale, ma su un hosting diverso; anche questo non è raggiungibile, ma è pronto ad essere o copiato o direttamente pubblicato, visto che un cambio di DNS ha un tempo di aggiornamento di un paio d’ore; quindi un sito identico parallelo nel caso ci siano problemi con l’hosting o per via di qualche attacco informatico, che alla fine di questi consigli, è sempre possibile.

Questa soluzione finale, dal punto di vista tecnico, una volta progettata e avviata, mantiene tranquilli sia il cliente e i suoi collaboratori, sia il webmaster, visto che proprio quest’ultimo quando si trova a risolvere i problemi, ha più possibilità di riuscita e costi inferiori, nel caso l’organizzazione del sito, prevede una struttura di questo tipo; dal punto di vista economico, il servizio di hosting necessario si aggira intorno alle 200€/anno, proprio per stare larghi e scegliere degli hosting di prestigio, se l’obiettivo rimane comunque il solo sito internet. Nel caso in cui si optano per soluzioni di “ufficio virtuale” un webmaster può accompagnarvi nel mondo del cloud, con costi sempre accessibili, ma con soluzioni estremamente vantaggiose.


Graziano De Maio - Web Developer e SEO Specialist

Autore: Graziano De Maio

Web developer e SEO specilalist. Sono un consulente Seo – Web designer – Creo e fornisco assistenza su siti con Joomla e WordPress, sviluppo ecommerce con Woocommerce. Svolgo corsi Seo, Web Marketing, Joomla e WordPress di gruppo e one-to-one in azienda.