Gli stereotipi sulla sicurezza di WordPress – Sgaravato

Cos’è WordPress?

WordPress è senza dubbio il CMS (Acronimo di Content Management System) più famoso ed utilizzato al mondo.
I CMS permettono di realizzare un sito web dinamico, ovvero composto da file di struttura e dati richiamati da database, anche ai meno avvezzi ai rudimenti di programmazione di pagine web e codici HTML, javascript e php.
WordPress è dotato di un’interfaccia grafica estremamente intuitiva, che permette di gestire articoli (o post), pagine ed aggiungere funzioni complesse tramite delle piccole “app” chiamate plugin. In particolare wordpress consente la realizzazione e la relativa distribuzione di blog e siti internet ricchi di contenuti multimediali e testuali, con una gestione generalmente meno complessa dei siti realizzati tramite codice scritto ex novo dal programmatore.

Un CMS open source, sviluppato da una comunità di milioni di persone e costantemente migliorato dal lavoro dei contributori esperti e dei programmatori che lo usano quotidianamente. Il fatto che alle spalle di WordPress esista un’intera community costituisce un vantaggio non da poco, poiché ciò consente di reperire tantissimo materiale sempre aggiornato, anche gratuito utile a migliorare e a sfruttare al meglio ciascuna funzione del CMS più popolare ed usato al mondo. La community garantisce inoltre l’accessibilità free ad uno dei sistemi più efficienti a livello globale, come da valutazione di Open Hub (la più famosa comunità mondiale di mappatura dello sviluppo software open source) richiederebbe oltre 300 anni di vita per scrivere le oltre 1,000,000 di righe di codice che sono state necessarie per realizzare wordpress, per un costo stimato di oltre 20 milioni di dollari.

Su cosa si basa la sicurezza di un sito internet?

Nel pensiero comune si ritengono siti con il livello massimo di “sicurezza” quelli realizzati senza connessioni database e senza script di sorta, definiti anche in gergo siti “statici”. Questo è parzialmente vero, visto che la mancanza di azioni complesse eseguite dal sito web (come anche solo la possibilità di compilare ed inviare un form di contatto) limita la possibilità di creare falle, o “bug”, che possono essere sfruttate per vari scopi dai malintenzionati. Tuttavia neppure i siti “statici” sono completamente al sicuro: tutti i siti sono “bucabili”, in quanto dipende non solo da come è fatto il sito ma anche (e soprattutto) dai livelli di sicurezza dei server di hosting.

Per quanto riguarda i CMS, vengono erroneamente considerati più sicuri i CMS proprietari, ovvero quelli realizzati da piccole o medie aziende che non fanno parte dell’élite dei CMS mondiali come wordpress, joomla, drupal, ecc… Questi CMS vengono percepiti come “più sicuri” solo perchè meno persone ne conoscono i sistemi ed i funzionamenti: tutti i cms si basano comunque su linguaggi noti come html, php, javascript, asp, aspx ed in caso di attacco designato su uno specifico sito web la differenza fra un CMS proprietario o meno è praticamente nulla.

La prima e più profonda forma di sicurezza online viene sempre attivata a livello server: un’impostazione corretta dei sistemi di sicurezza della macchina che ospita il vostro sito web può prevenire attacchi bruteforce, spam, cracking, phishing, o addirittura prevenire falle dovute alla vostra inesperienza (in caso di sito web self-made).

Prima di pensare al CMS, scegliete con cura il vostro hosting provider e settate correttamente il server.

È il primo mattone delle fondamenta che definiscono la sicurezza del vostro sito web e dei dati contenuti in esso.

1. Dovrai rassegnarti all’idea di dover scegliere il tema del tuo sito da una selezione di temi compatibili con WordPress

Falso: i tempi sono un insieme di pagine che definisce la struttura visiva e funzionale del sito web. Esistono molti temi gratuiti, altri temi più complessi a pagamento ma la realtà dei fatti è che è possibile creare un tema da zero tramite codice php o personalizzare completamente un tema pre-esistente.

Noi stessi creiamo template e design differenti a partire da semplici disegni in pdf realizzati dai nostri grafici e ux designers a partire dai risultati dei test neuroscientifici.

2. Non è facile apportare modifiche su un sito già realizzato in WordPress

Falso: modifiche a testi e immagini sono rapide.

In qualsiasi sito, wordpress o no, è richiesto tempo per inserire testi modificati in chiave SEO (modificare il testo, ricalcolare il posizionamento, modifica delle meta, ecc…), stessa cosa per quanto riguarda le immagini.

Per facilitare la modifica e l’inserimento dei testi da parte degli utenti vengono utilizzati compositori visuali e addirittura le ultime versioni di wordpress presentano un editor a blocchi che può essere facilmente gestito da un utente minimamente preparato.

Grazie alla sua ampia diffusione, wordpress ha inoltre molteplici vantaggio in caso di cambio gestore: essendo conosciuto praticamente da tutti facilita processi come la migrazione del sito web, la gestione o addirittura la modifica dello stesso da parte di un nuovo webmaster, senza magari la necessità di un rifacimento completo.

3. Devi sapere che WordPress non è gratuito

Come già detto al punto 1, i temi premium hanno un costo ma fanno risparmiare moltissimo tempo di implementazione e spesso garantiscono ottime performance in termini di velocità di caricamento, comunque esistono anche molti temi gratuiti che possono essere un’ottima base di partenza. L’alternativa è la realizzazione di un tema ad hoc che richiede però conoscenze mid level di programmazione.

In caso siano necessarie funzioni specifiche complesse e/o interattive è possibile affidarsi a plugin, anche a pagamento, che devono essere selezionati fra quelli realizzati da creator affidabili e che ne curano la compatibilità con i browser e garantiscono costanti aggiornamenti, con un costo spesso molto più contenuto rispetto alla realizzazione di funzioni create con codice ad hoc.

4. La Sicurezza del tuo sito non è garantita

I siti statici, realizzati esclusivamente in html e css, proprio per il sistema “primordiale” con cui sono letteralmente scritti, sono statisticamente meno attaccati rispetto ai siti che utilizzano funzioni complesse e database. Questo non vuol dire che siano inattaccabili: tutti i siti web sono in qualche modo “bucabili”, in quanto dipende non solo da come è fatto il sito ma anche (e soprattutto) dai livelli di sicurezza dei server dove il sito è hostato. I siti creati con i cms aggiungono estrema comodità alla gestione dei contenuti ma sono effettivamente meno sicuri di quelli in html statico, proprio perchè numericamente subiscono più attacchi delle controparti primordiali. Per quanto riguarda i cms proprietari, danno l’impressione di essere più sicuri solo perchè meno persone ne conoscono i sistemi ed i funzionamenti, ma non vuol dire che non siano “bucabili” in poco tempo da un hacker qualsiasi.

Come già detto, la prima forma di sicurezza viene attivata sul server: scegliete un buon hosting o lavorate sulle impostazioni di sicurezza del server e limiterete di molto le possibilità di riuscita di un attacco hacker.

5. La Velocità del tuo sito potrebbe non essere ottimizzata

Non è del tutto vero: è molto importante sapere quali plugin devono essere installati o eventualmente essere in grado di poterne creare ad hoc per le singole esigenze. Installare plugin su plugin per far eseguire al sito anche le operazioni più semplici può rallentare di molto la velocità di navigazione.

È per questo che gli utenti esperti usano pochissimi plugin su wordpress.

Ad ogni modo, le soluzioni per la velocità (gestori cache, cdn, ottimizzazione css e js) andrebbero applicate a qualsiasi sito, a prescindere che siano stati realizzati con cms open source (wordpress, joomla, drupal,…), cms proprietari o in raw code.

6. Il Posizionamento si basa sull’utilizzo dei plugin

Falso. Il posizionamento si basa su un insieme di tecniche che partono dalla realizzazione tecnica del sito ed arrivano ai contenuti inseriti. In wordpress, ad esempio, la gestione dei tag image è semplice e viene fatta direttamente da cms, senza installazione di plugin, mentre per i meta-tag è sufficiente creare lo spazio adatto a contenerli (non servono plugin).

Chiaramente è necessario conoscere le tecniche SEO per posizionare correttamente un sito web, sapere come minimo creare un testo efficace ed i relativi meta-tag. Ma tutto questo non dipende da wordpress o dai plugin, va semplicemente applicato ad ogni sito web.

Conclusioni e curiosità

WordPress è il secondo sistema più utilizzato al mondo per realizzare i siti web.

A Febbraio 2020 wordpress è stato usato per il 35.8% del totale dei siti web mondiali in costante crescita, contro il 42.7% dei siti web senza cms, in costante calo.

Nel 2011 questi valori erano del 13.1% per wordpress e del 76.4% dei siti senza cms.

L’accanimento contro i CMS, e contro WordPress in particolare, ricorda molto un’altra grande battaglia del web, ovvero lo scontro iniziato a fine anni ’90 fra il linguaggio asp (poi asp.net) di Microsoft, che era considerato lo standard, ed il codice open source php. Php veniva considerato poco sicuro e spesso snobbato dai programmatori asp, ma venne infine consacrato come linguaggio sicuro e stabile grazie alla realizzazione di alcuni dei siti più famosi al mondo: facebook.com e wikipedia.org.

Nel 2000 asp era a tutti gli effetti lo standard per i siti web dinamici e php il linguaggio usato dagli “smanettoni improvvisati”.

Ad oggi php è usato per il 79% dei siti web, contro il 10.5% di asp.net

Ecco alcuni link di siti che usano il CMS WordPress!

https://news.microsoft.com/

https://www.sonymusic.com/

https://www.bloomberg.com/professional/

https://www.amc.com/

https://group.renault.com/en/

https://nypost.com/

http://www.bbcamerica.com/

https://www.rollingstone.com/