Secondo le statistiche aggiornate del WPScan Vulnerability Database, le vulnerabilità di un plugin pesano quasi per il 25%.
Fonte: WPScan Vulnerability Database
WordPress di default non aggiorna in automatico i plugin per i quali il programmatore/produttore rilascia una nuova versione aggiornata.
WordPress lo segnala solamente tramite un pallino roso con un numero, sia nella bacheca di amministrazione (alla voce “Bacheca”, il primo menu in alto), oppure alla voce “Plugin”.
Tale numero sta ad indicare il numero di plugin per cui è disponibile una versione aggiornata da installare.
La segnalazione avviene grazie ad un processo cron (wp_update_plugins) che viene eseguito dal sistema ogni 12 ore (2 volte al giorno), che va a verificare per ogni singolo plugin installato nel sistema, se il produttore ha rilasciato nuove versioni aggiornate dei propri plugin.
Se si ha un unico sito da gestire e se ci si collega spesso alla bacheca di amministrazione, l’aggiornamento dei plugin può essere fatto manualmente direttamente dall’amministratore del sito.
Nel caso si abbiano molti siti da gestire, l’aggiornamento manuale può diventare molto oneroso in termini di tempo e di impegno.
Come posso proteggere il mio sito?
Come avrete sicuramente intuito, ci sono dei plugin che permettono di impostare l’aggiornamento automatico di tutti i plugin installati, senza nessun intervento da parte dell’amministratore del sito.
I plugin più popolari in termini di numero di download e di valutazioni positive sono:
1) Easy Updates Manager
Il plugin è molto semplice da configurare e fa egregiamente il suo lavoro. Da notare che con questo plugin è possibile configurare non solo l’aggiornamento automatico dei plugin, ma anche WordPress, i temi e le traduzioni in lingua di tutti i componenti.
Per una spiegazione sulla configurazione veloce e semplice, visionare il video messo a disposizione dal programmatore:
2) Companion Auto Update
Anche questo plugin è molto semplice da configurare e come il plugin sopra, permette anche lui di aggiornare non solo i plugin ma tutti i componenti installati (WordPress, plugin, temi e traduzioni).
Conclusioni
Mantenere aggiornati i propri plugin è un’operazione piuttosto semplice. L’inconveniente maggiore in questo approccio automatizzato, è il fatto che può capitare che l’aggiornamento di un plugin blocchi temporaneamente il sito, blocco dovuto spesso ad un baco presente nel codice del plugin.
In questo caso l’approccio migliore, per non avere brutte sorprese (!), è poter disporre in parallelo di una replica del sito (sito di “staging” nel gergo tecnico) dove installare preventivamente i plugin e testarli. Una volta testati e verificato che non ci siano problemi di sorta, si può procedere all’installazione nel sito principale (di produzione).
In conclusione, mantenere aggiornati i plugin del proprio sito è solo un piccolo tassello della strategia per rendere sicuro il proprio sito WordPress.
Anche se Internet fornisce tante informazioni il fai-da-te è assolutamente sconsigliato!
La messa in sicurezza di WordPress è un attività che richiede molta competenza e abilità, per cui è meglio affidarsi ad un professionista qualificato in grado di pianificare la corretta strategia in base alle vostre necessità!
