Stavo per mettermi a scrivere un ponderoso articolo sulla strutturazione dei contenuti, quando la telefonata di un cliente mi ha sollevato dall’incombenza:

“Pronto? Sono X e chiamo per il sito WYZ”, mi dice (ovvio che le iniziali me le sia inventate, inutile andare a guardare il portfolio).
“Buongiorno X, come va?” rispondo, mentre una vocina in testa mi diceva “Ahia…”
“Il sito non va! Non appaiono più le pagine!”

Mentre la vocina diventa una sirena d’allarme urlante, chiedo al cliente tutti i dettagli e contemporaneamente vado sul sito incriminato a vedere cosa stesse accadendo: per farla breve, non c’era più un link che funzionasse!

Chiedo al cliente se avesse fatto delle modifiche o inserito online delle nuove risorse, e mi viene risposto che in effetti avevano caricato del nuovo materiale, ma che non sembrava ci fossero stati problemi.
Lo tranquillizzo sul fatto che saremmo intervenuti subito, mentre con Skype allerto il resto della squadra: puntare, cliccare e… scatta il “mannaggia” collettivo!

Iniziamo la procedura per prevenire gli infarti: accediamo al backend senza problemi per constatare che i contenuti siano effettivamente disponibili e integri, belli tranquilli nel loro database… Primo sospiro di sollievo!
Non ci sono tracce di intrusioni o altro che possa far pensare ad un accesso non autorizzato… Secondo sospiro di sollievo e niente infarto!
Backup? Presente e aggiornato, procediamo con l’effettuare qualche controllo.

controllo-sicurezza
I plugin e le funzionalità aggiuntive sono funzionanti, ma a questo punto diventano anche i principali indiziati: alcuni plugin, sia gratuiti che commerciali, hanno la possibilità di aggiornarsi automaticamente.
Se da un lato questo è molto comodo perché permette l’applicazione immediata degli ultimi aggiornamenti, dall’altro toglie un po’ di spazio di manovra a chi sviluppa il sito: non è sempre necessario aggiornare tutto, è bene farlo in alcuni casi, meglio essere più prudenti negli altri; per cui, aggiornare:

  • quando lo sviluppatore del plugin ha riscontrato problemi di sicurezza che vanno corretti;
  • quando il plugin è chiaramente obsoleto;
  • quando, con l’aggiornamento, si ottengono nuove funzionalità che sono effettivamente necessarie e migliorative per il nostro sito.

Nel nostro caso specifico, abbiamo eseguito un flush della cache che serve a velocizzare la presentazione delle pagine agli utenti, ricostruito il file .htaccess e controllato che non fossero stati effettuati aggiornamenti automatici che avrebbero potuto modificare alcune impostazioni.

Dopo queste operazioni, che hanno richiesto pochi minuti, il sito è tornato a funzionare regolarmente. L’ipotesi che ci è sembrata più plausibile è che un aggiornamento del server abbia momentaneamente reso indisponibile un modulo utilizzato dal sito, e che questo problema sia stato immagazzinato nella cache delle pagine.
Lo terremo sott’occhio (col backup sottomano) per evitare altre sorprese, mentre indaghiamo meglio.

Ma un’altra cosa vogliamo condividere: in questo caso si trattava di un sito che gira su WordPress. Come mantenere il controllo sugli aggiornamenti dei plugin e della piattaforma stessa, disabilitando la possibilità che vengano eseguiti in automatico?
Non è una cosa troppo complicata, basta aggiungere la riga seguente al file wp-config.php:

define( 'WP_AUTO_UPDATE_CORE', false );

Personalmente, preferisco inserire questo codice appena prima della riga

/* That's all, stop editing! Happy blogging. */

per avere un file più ordinato. Con questa piccola aggiunta, continueremo a vedere le notifiche dell’aggiornamento disponibile, ma decideremo noi se procedere o meno.
Stesso dicasi per i plugin; per evitare l’aggiornamento automatico, in maniera da avere un maggior controllo di quel che accade sul sito, basta aggiungere, stavolta al file functions.php:

add_filter( 'auto_update_plugin', '__return_false' );

Naturalmente, ci sono dei plugin che servono proprio per questo… Ma, a parte il controsenso, volete mettere la soddisfazione?