Gli infiniti problemi che crea installare un plugin creato da un ignorante

difendersi dai plugin Wordpress

Qui di seguito riportiamo una classica richiesta di un cliente disperato:

Dopo che il mio sito ha trascorso ore alternandosi tra il caricamento lento e la totale assenza di risposta di caricamento, ho deciso di confrontarmi con il mio provider Hosting in chat.

Tutto quello che potevano dirmi almeno inizialmente era che il problema sembrava essere correlato a uno dei plugin sul mio Sito. Ora non so più che fare.

Aiutatemi!

Dopo una breve intervista dei tecnici con il cliente, egli ci rivela: avevo installato un nuovo plug-in solo poche ore prima. Proprio nel momento in cui il mio sito ha iniziato a comportarsi …male. Ah ah.

Rapidamente (beh, in realtà un po’ anche troppo lentamente per lui) effettuiamo l’accesso al sito e disattiviamo il plug-in in questione. Bingo. Sito tornato alla normalità.

È successo praticamente a chiunque abbia utilizzato WordPress, sempre i soliti: problemi di plug-in che causano il malfunzionamento del tuo sito web.

Eppure molti di noi continuano a installare e disinstallare plug-in, abbandonandoli poi selvaggiamente, ignorando i potenziali rischi associati a questa pratica.

Ancora peggio, alcuni sanno benissimo in cosa si stanno potenzialmente impelagando e alimentano comunque un”insaziabile fame di plug-in, con poca considerazione per le insidie ​​che li aspettano dietro l’angolo.

In breve, la maggior parte degli utilizzatori di WordPress è troppo sprezzante con i propri siti web.

In questo post vorremmo evidenziare i potenziali pericoli dei plugin (soprattutto quelli gratuiti) e fornire quello che speriamo sia, un argomento convincente contro la proliferazione sfrenata di plugin sul tuo sito WordPress.

Quanti danni può davvero fare un plug-in?


Per dirla semplicemente, un plugin per WordPress è un programma che estende le funzionalità principali del Content Management System (CMS) di WordPress. Lo sviluppo dei plugin è iniziato perché i programmatori volevano aumentare le funzionalità di WordPress senza alterarne la struttura principale.

In questi giorni, con quasi 28.000 plugin gratuiti in circolazione, WordPress può fare quasi tutto ciò che puoi sognare (e se non può, probabilmente qualcuno ci sta lavorando).

plugin gratis wordpress

I plugin rappresentano il cuore pulsante di WordPress. Hanno giocato un ruolo enorme nella sua crescita esponenziale che lo ha portato a diventare Re del regno dei CMS. Senza i suoi plugin, WordPress è una piattaforma relativamente limitata.

Un plug-in può essere molto potente in termini di effetti sul tuo sito Web e, a tutti gli effetti, viene trattato come parte di WordPress, può quindi influire sull’intera installazione di WordPress.

Ad esempio: il nostro blog ha recentemente rallentato la velocità su Pagespeed a causa di un solo plug-in. Non commettere errori: quei pochi file possono avere un impatto straordinario.

Tenendo questo in mente, gli utenti di WordPress devono rendersi conto che stanno mettendo la salute dei loro siti Web nelle mani dello sviluppatore, ogni volta che installano un plug-in.

Se lo sviluppatore è affidabile in quello che fa e ha una mentalità responsabile, le possibilità d’incorrere in problemi sono scarse (sebbene sia tutt’altro che garantito).

Ma purtroppo non tutti gli sviluppatori sono responsabili dei plugin che creano.

Quando installiamo un plugin, tutto può succedere. La velocità di caricamento del tuo sito web può essere seriamente compromessa.

Può anche mandare in crash del tutto l’intero sito web. In effetti, alcuni sviluppatori senza scrupoli creano plug-in malicious (o hackerano plug-in altrimenti affidabili) senza altro scopo che alimentare i propri scopi a discapito degli altri. Queste sono le possibilità che affrontiamo ogni volta che clicchiamo su “Attiva“.

Il problema con WordPress

WordPress.org è fantastico per molte ragioni, ma non è privo d’insidie. Al momento in cui scrivo ci sono un numero enorme di plugin su WordPress. Tuttavia, un grande numero di questi plugin sono:

  • Obsoleti,
  • Bacati,
  • Eccessivamente sviluppati,
  • Non sicuri,
  • Una combinazione di 2 o più delle precedenti voci.


Anche i plugin più grandi e luminosi possono risentirne. Ad esempio, nel maggio 2013 Sucuri ha annunciato un difetto di sicurezza all’interno dei popolarissimi plugin W3 Total Cache e WP Supercache. Questi due plugin hanno oltre 7,5 milioni di download tra di loro, il che mostra quanti danni possono causare tali difetti.

Allo stesso modo, in un recente post abbiamo discusso dei bug all’interno del plugin SEO di Yoast, ampiamente utilizzato. Joost de Valk, uno sviluppatore rispettato e si è mosso rapidamente per affrontare i problemi, ma WordPress.org ha dimostrato che molte persone stavano ricevendo le versioni SEO di Yoast come “incompatibili“.

SEO di Yoast è tornata al meglio ora, ma queste storie dimostrano che nessuno, nemmeno gli sviluppatori più rispettati, sono infallibili nel mondo dei plugin di WordPress. Questo dimostra che si deve sempre avere un atteggiamento aperto quando si ha un fault al proprio sito web, senza pensare mai a chi bisogna dare la colpa, ma segnalare ai propri consulenti WordPress, che possono intervenire con strumenti tecnici su una macchina che a volte può diventare complessa.

WordPress può trasformarsi in una benedizione o una maledizione: è senza dubbio uno strumento che dovrebbe essere usato con cautela e coscienza.

Problemi di sicurezza WordPress

Abbiamo scritto molto sulla sicurezza di WordPress: sul blog di Sito WP, e WP Assistenza.

Abbiamo parlato con un numero enorme di esperti sull’argomento, comprese le persone che lavorano direttamente sul core di WordPress, e la risposta schiacciante è la seguente: il core di WordPress è estremamente sicuro. Tuttavia, le cose iniziano a complicarsi con l’influenza esterna (dei plugin e degli esseri umani).

Se un utente WordPress decide d’impostare la propria password con “password”, c’è poco che WordPress possa fare per difendersi dagli attacchi brute force o da un malware che poi effettua un redirect su un sito spam.

Questo non è un problema all’interno di WordPress, però, è un problema con l’ignoranza dell’utente finale.

Allo stesso modo, se un utente WordPress decide d’installare un plug-in che ha un difetto di sicurezza, il core non è responsabile di ciò che accade dopo.

Ogni singolo plugin che installi rappresenta un potenziale rischio per la sicurezza.

I plugin premium sono sicuri? Siamo Sicuri?

Siamo sicuri che se fosse condotto uno studio, si scoprirebbe che il rapporto tra plug-in buggy/troppo sviluppati/pericolosi e plug-in “sani” sarebbe molto migliore tra i plug-in premium. Tuttavia, ciò non significa che tutti i plugin premium siano perfetti e non dovresti presumerlo.

SitoWP consiglia di acquistare solo da sviluppatori che hanno una solida e consolidata reputazione.

Ad esempio, se scarichi un plug-in da WooThemes (gratuito o meno), puoi essere certo che è stato scritto in modo coscienzioso ed è estremamente improbabile che abbia un impatto negativo sulla velocità, la funzionalità o la sicurezza del tuo sito.

D’altra parte, se ti imbatti in un sito Web di cui non hai mai sentito parlare che vende quello che sembra un ottimo plug-in, dovresti procedere con cautela.

Quindi cosa dovresti fare?

Non stiamo dicendo che ciò che devi fare è disinstallare tutti i tuoi plugin, e poi strisciare in un angolo della stanza e adottando la posizione fetale, ma magari dovresti considerare attentamente il valore di ogni plugin che hai installato sul tuo sito.

Potrebbe essere un rischio per la sicurezza di WordPress, potrebbe prosciugare le tue risorse o potrebbe essere difettoso e troppo sviluppato. Ma se non c’è, non può essere niente, nemmeno un rischio potenziale.

Di recente abbiamo rieditato il blog e siamo riusciti a rimuovere il 60% dei plugin installati con una riduzione minima della funzionalità.

Sostituito alcune funzionalità del plug-in con frammenti di codice semplici (e trasparenti) e scoperto che molte altre funzioni non avevano davvero bisogno di un plug-in.

Ad esempio, sebbene i plug-in che ti consentono d’inserire facilmente codici di monitoraggio analitici all’interno del tuo sito siano ottimi per i principianti, chiunque abbia già creato un tema child in precedenza non dovrebbe avere problemi a inserire quei codici all’interno di header.php.

Quando ti rimane una piccola serie (si spera) di plugin, dovresti eseguire un secondo controllo per assicurarti di averne davvero bisogno di tutti. Potresti sorprenderti se esamini l’elenco in modo obiettivo.

Infine, dovresti fare un’ultima spazzatina.

Poniti le seguenti domande chiave per ciascun plug-in:

  • Chi l’ha sviluppato?
  • Quando è stato aggiornato l’ultima volta?
  • È ben supportato?

Dovresti sapere cosa fare a seconda delle risposte a queste domande e quindi applicare dei parametri per scegliere un plugin.

Conclusioni


Il tuo sito è sicuro ed efficiente solo quanto il codice che lo compone. Idealmente, tutti i tuoi plugin dovrebbero provenire da sviluppatori fidati.

Ci sono anche molti plug-in gratuiti là fuori che sono sia sviluppati responsabilmente che scritti in modo eccellente, ma fai i tuoi compiti e assicurati di evitare i plug-in dannosi.

D’altra parte, ci si può fidare della maggior parte dei plugin premium, ma ciò non significa che tutti possano esserlo. Non saltare mai alle conclusioni.

Se tutto il resto fallisce, torna alla regola d’oro: poco ma buono, significa molto.