Sei modi comuni in cui gli utenti di WordPress rompono i loro siti Web

Pubblicato: 2019-12-05

WordPress può sembrare semplice all'esterno, ma all'interno è un sistema complesso che serve contemporaneamente i tuoi contenuti, gestisce le transazioni dei clienti e gestisce enormi quantità di dati. E sebbene WordPress sia una piattaforma incredibilmente stabile, non è infrangibile.

Anche se stai attento a gestirlo, a volte puoi trovarti con un sito danneggiato. In questo post, esamineremo sei dei modi più comuni che possono accadere.

1. Utilizzo di troppi plugin

Gli utenti di WordPress hanno l'imbarazzo della scelta: c'è un ampio numero di plugin disponibili per i gestori di siti web. Non esiste un numero magico di plugin che dovresti o non dovresti installare, ma è importante capire che ognuno ha un impatto sul tuo sito. Come mai?

  1. Ogni plugin sta caricando codice PHP, il linguaggio di programmazione con cui WordPress è in gran parte scritto. Questo potrebbe andare benissimo... a meno che il codice non sia scritto male e non sia sicuro.
  2. Ogni plugin sta caricando CSS, JavaScript e risorse come immagini, che possono rallentare il tuo sito web.
  3. Ogni plug-in richiede aggiornamenti per sicurezza e funzionalità, che potrebbero causare problemi.

Ogni plug-in che installi aumenta la possibilità che si verifichi un problema. Più plugin hai, più è probabile che uno "mattoni" il tuo sito. Un sito web diventa un "mattone" quando non può più fornire la funzionalità per cui è stato creato.

Gli aggiornamenti dei plug-in possono bloccare un sito Web con codice errato, perché sono in conflitto con un altro plug-in o tema o si scontrano con le impostazioni del server. In queste situazioni, non è raro vedere messaggi di errore come: "Errore durante la creazione della connessione al database", "Errore interno del server" e "Timeout della connessione". Potresti anche vedere stringhe di codice sul tuo sito.

Esempio di errore di connessione al database.
I problemi del plug-in possono causare errori imprevisti del sito Web.

Prima di installare un plug-in, chiedi se utilizzerai la maggior parte delle funzionalità che offre. In caso contrario, potrebbe essere meglio cercare plug-in più piccoli e più semplici per fornire solo le funzionalità di cui hai bisogno. Meno codice plug-in in esecuzione su una determinata pagina Web significa meno rischi.

Plugin come Jetpack forniscono molteplici preziose funzionalità che ti consentono di installare un plug-in per svolgere una varietà di attività invece di diversi plug-in singoli, ognuno dei quali comporta i propri rischi. E puoi sempre disattivare tutte le funzionalità di Jetpack che non ti servono! Plugin come Jetpack sono ideali per ridurre il rigonfiamento dei plug-in utilizzando un'unica soluzione per soddisfare molte esigenze.

2. Installazione di plugin o temi da fonti non attendibili

È importante scaricare plugin e temi solo da fornitori affidabili. WordPress.org è uno di questi, ma per il resto devi assicurarti di acquistare plugin premium dai loro sviluppatori ufficiali.

I temi o i plug-in premium "annullati" o "craccati" vengono spesso modificati per includere codice dannoso, che può fare ogni sorta di cose brutte e alla fine rompere o deturpare il tuo sito web.

I plug-in che si basano su servizi Web di terze parti e il cross-site scripting (XSS) tramite cookie possono lasciare il tuo sito aperto alla possibilità di "cookie poisoning" (per cui i cookie inviati dal tuo sito vengono intercettati e vengono aggiunti malware prima di essere restituiti al tuo sito) o un'iniezione SQL (per cui gli hacker possono ottenere l'accesso diretto al database del tuo sito). Inutile dire che nessuna di queste è una buona notizia per il tuo sito Web o per i tuoi utenti.

Anche i prodotti premium senza una chiave di licenza non riceveranno alcun aggiornamento, lasciando il tuo sito vulnerabile. Dovresti sempre controllare la frequenza con cui viene aggiornato il plug-in (è più probabile che i vecchi plug-in non siano sicuri) e leggere le recensioni. Fortunatamente il repository di WordPress.org lo rende facile!

Jetpack, tuttavia, è stato creato da Automattic, uno dei principali contributori di WordPress e la società dietro WordPress.com. Ciò significa che è sempre aggiornato e fornisce soluzioni affidabili e affidabili per i proprietari di siti Web.

3. Modifica del codice del tuo sito web

Ci siamo stati tutti. Stai cercando un problema che stavi cercando di risolvere sul tuo sito web e trovi una potenziale soluzione che ti dica di copiare e incollare del codice. Se sei un programmatore esperto e hai un discreto know-how HTML, questo potrebbe andare bene. Se non lo sei, questo può essere pericoloso per due motivi:

  1. Se non capisci esattamente cosa sta facendo il codice, non puoi comprendere appieno le conseguenze o l'impatto che potrebbe avere sul tuo sito.
  2. Potresti essere tentato di inserire il codice nel file functions.php del tuo tema, di modificare il codice sorgente di un plugin o di modificare il core di WordPress. Sono tutte pessime idee. Se ti capita di rimuovere qualsiasi codice originale mentre lo fai, il tuo sito web potrebbe non funzionare.

Se devi installare il tuo codice, assicurati sempre di comprenderne lo scopo e testarlo lato client o su un sito Web di staging, se possibile.

4. Essere hackerato

WordPress è il sistema di gestione dei contenuti più utilizzato al mondo. Sebbene questo offra un ampio ecosistema con molti plugin e temi e una community stellare, la sua ubiquità rende WordPress un obiettivo ovvio per chiunque voglia hackerare un sito web.

Le vulnerabilità dei plug-in vengono rilevate quotidianamente e la maggior parte, ma non tutti, gli sviluppatori sono molto veloci a correggere i propri plug-in. Sfortunatamente, se non mantieni aggiornati i tuoi plugin, il tuo sito web diventa un bersaglio per gli hacker. Anche i siti Web che non generano molto traffico possono essere violati.

Gli hacker utilizzano spesso i bot per entrare nel tuo sito, il che automatizza l'intero processo. Se il tuo sito web è trovabile su un motore di ricerca, è trovabile da un hacker. Il database delle vulnerabilità di WPScan è una buona risorsa per controllare gli ultimi bug. Come vedrai, nuove vulnerabilità si trovano frequentemente, a volte in plugin con migliaia o milioni di installazioni. Per proteggere il tuo sito, implementa una soluzione di sicurezza come Jetpack, che offre scansioni di sicurezza, prevenzione degli attacchi di forza bruta, monitoraggio dei tempi di inattività e aggiornamenti automatici dei plug-in.

5. Software server non aggiornato

Il server che contiene il tuo sito Web ha un sistema operativo e un software sottostante che lo alimenta, proprio come il tuo computer. Come tutti i software, deve essere costantemente aggiornato. Molte persone non si rendono conto che questi aggiornamenti accadono, perché il loro host web lo fa per loro dietro le quinte.

Ma cosa succede se il tuo host web non applica gli aggiornamenti rapidamente? Molti siti Web eseguono ancora PHP 5.6, nonostante non ricevano più aggiornamenti di sicurezza. Anche PHP 7.1 raggiungerà la fine del suo ciclo di vita a dicembre 2019.

Ci sono diversi aspetti negativi nell'avere un software server non aggiornato:

  • Problemi di sicurezza: le versioni precedenti del software potrebbero presentare delle vulnerabilità.
  • Problemi di velocità: PHP 7.3 è molto più veloce delle versioni precedenti.
  • Problemi di compatibilità: alcune funzioni PHP sono disponibili in PHP 7.3 ma non in PHP 5.6. Se un plug-in supporta solo 7.3 e stai eseguendo 5.6, ciò può causare problemi. (Per aiutarti, il repository dei plug-in di WordPress mostra la versione minima di PHP richiesta sulla pagina di ciascun plug-in.)

6. Accesso utente mal configurato

Se disponi di un sito Web che consente a più utenti di accedere e aggiungere o modificare contenuti, aumenterai il rischio di danneggiare il tuo sito. Dare troppe autorizzazioni a troppe persone apre la possibilità che qualcuno possa causare un problema attraverso l'input involontario dell'utente.

Troppo spesso, i proprietari di siti Web concedono a tutti i contributori l'accesso a livello di amministratore. Questo è incredibilmente pericoloso, poiché tutti questi amministratori appena coniati possono:

  • Installa e aggiorna i plugin.
  • Modifica il codice del tuo sito web.
  • Modifica il tema e il web design.
  • Aggiungi o elimina pagine/post/prodotti/qualsiasi altro tipo di post.
  • Accedi ai dati riservati (inclusi i dati finanziari, per i negozi online).

Uno qualsiasi dei precedenti può potenzialmente danneggiare un sito. Agli utenti dovrebbero essere fornite le esatte autorizzazioni di cui hanno bisogno per svolgere il proprio lavoro, niente di più. WordPress viene fornito con alcuni ruoli utente integrati, ma puoi anche crearne uno personalizzato utilizzando il codice o un plug-in come Editor ruoli utente o Membri. E WooCommerce fornisce un'ottima guida per comprendere i ruoli degli utenti di WordPress dal punto di vista della sicurezza.

Jetpack Activity fornisce trasparenza per un sito Web con più utenti. Registra le azioni intraprese sul tuo sito, inclusi tentativi di accesso, pagine pubblicate o aggiornate, installazioni di plug-in, modifiche alle impostazioni e altro. Puoi vedere chi ha eseguito ciascuna azione e quando ciascuna è avvenuta e ripristinare un backup del tuo sito da quel momento esatto, se necessario.

Cosa fare se il tuo sito WordPress si rompe

Alla fine, i siti Web continueranno a non funzionare. Che tu sia uno sviluppatore web esperto o un creatore di siti web alle prime armi, probabilmente prima o poi romperai il tuo sito web.

Il modo migliore per garantire tempi di inattività minimi è disporre di una strategia di backup off-site completa. Non fare affidamento solo sul tuo host per i backup, perché:

  • Potresti non avere il controllo sui backup. Il tuo host può eseguire il backup del tuo sito Web solo una volta alla settimana, ma cosa succede in un sito affollato in cui i dati cambiano ogni ora? I backup in tempo reale sono fondamentali! Se hai un negozio eCommerce, gli ordini possono essere effettuati in qualsiasi momento della giornata. Senza backup in tempo reale, potresti perdere i dati dei clienti nel periodo tra il backup e l'arresto anomalo del sito.
  • Non puoi mai essere troppo supportato. Non è saggio riporre il 100% della tua fiducia nel tuo host; possono anche essere compromessi. Un approccio multiforme ai backup riduce il rischio.
  • Recuperare un backup dal tuo host non è sempre così semplice come sembra. Potrebbe essere necessario contattare l'assistenza e chiedere loro di ripristinare un backup, che può richiedere molto tempo e, a seconda dell'host, essere un processo difficile. Se il tuo sito web è una fonte di reddito, ogni minuto in cui è inattivo potrebbe significare una perdita di entrate.

Esistono anche molte soluzioni di backup dei plugin di WordPress, sia gratuite che a pagamento. I plugin forniscono sicuramente opzioni valide, ma non tutti i plugin di backup sono uguali. Alcuni inconvenienti comuni:

  • Per impostazione predefinita, alcuni plugin eseguono il backup sul tuo server web. Se il tuo server ha un errore irreversibile, anche i tuoi backup potrebbero andare persi.
  • Alcuni plug-in ti consentono di eseguire il backup dei tuoi dati su un account esterno, come Amazon S3 o Dropbox. Sebbene questa sia un'ottima idea, è necessario disporre di un account con un provider esterno, il che potrebbe comportare costi aggiuntivi.
  • Molti plug-in di backup gratuiti mancano di funzionalità come i backup in tempo reale. Le versioni Premium possono essere sia costose che richiedono account separati per i backup fuori sede.

Tuttavia, Jetpack è un'ottima soluzione per i backup di WordPress. Indipendentemente dal tipo di sito che hai, Jetpack ha una solida opzione di backup. I backup giornalieri sono un'ottima opzione per ristoranti, blog e portfolio e includono un periodo di archiviazione di 30 giorni, in modo da poter accedere facilmente agli ultimi 30 giorni di backup. I negozi di eCommerce, le testate giornalistiche, i siti di appartenenza e i forum online vorranno backup in tempo reale con un archivio illimitato, in modo da poter ripristinare il tuo sito Web in qualsiasi momento.

Screenshot dell'operazione di backup dal registro attività.
Le funzionalità di backup ti consentono di "riavvolgere" un sito Web a una data precedente.

Ogni modifica significativa al tuo sito web viene salvata automaticamente. Qualcuno ha appena scritto una recensione? Hai aggiunto un nuovo prodotto? Hai aggiornato un plugin che ha danneggiato il tuo sito? È stato eseguito il backup.

Ciò fornisce non solo una grande tranquillità, ma anche una solida piattaforma off-site per i tuoi backup. Jetpack include anche una funzione di migrazione che ti consente di spostare l'intero sito su un altro host o server. Se il tuo server deve affrontare un guasto catastrofico o desideri semplicemente spostare il tuo sito su un altro host, Jetpack ti copre.

La rottura di un sito Web è un evento comune. Anche per i proprietari di siti Web più attenti, qualcosa al di fuori del tuo controllo può andare storto. Disporre di soluzioni di backup sia in loco che fuori sede è un ottimo modo per ridurre i rischi. E con costi relativamente minimi, non c'è motivo di rischiare la sicurezza del tuo sito.

Scopri di più su Jetpack Backup o confronta i piani per esplorare altri vantaggi dell'attivazione di Jetpack sul tuo sito Web WordPress.