Manutenzione di un sito WordPress

wordpress_maintenance

I siti web richiedono manutenzione continua.

Non è possibile installare e configurare un sito e poi non preoccuparsene più per anni, perchè questo può comportare gravi problemi, a partire dal malfunzionamento, cattiva indicizzazione, sino ad arrivare a illeciti legali,  anche gravi, di cui può essere responsabile il proprietario del sito.

Quella che segue è una checklist che fa riferimento principalmente alla manutenzione di WordPress self hosted, ma con qualche adattamento può essere utilizzata anche per altri CMS.

Parlerò essenzialmente della manutenzione relativa agli aspetti di sicurezza, quindi quella di cui non si può e non si deve fare a meno. Questa manutenzione va fatta prima di essere infettati: se avete un’infezione in corso dovete prima di tutto ripulire il sito.

Ho preparato un modulo Google che vi permette di controllare l’avanzamento della vostra manutenzione: Checklist per manutenzione sito WordPress. Potete tenerlo aperto in una finestra o nello smartphone man mano che fate i controlli. Se volete potete inviarlo a ReteLab, altrimenti potete usarlo come checklist senza inviarlo e i dati non verranno salvati.

Se preferite stamparlo ho preparato anche un pdf stampabile: Checklist stampabile per manutenzione siti WordPress.

qui di seguito la descrizione dettagliata delle attività di manutenzione.

Attività preventive

Queste sono le attività da fare il prima possibile se non avete mai fatto manutenzione WordPress.

Backup

Fate subito un backup di sito e database.

Potete farlo dal pannello di controllo del vostro hosting, con plugin appositi, oppure tramite ftp e phpMyAdmin. Se non avete competenze installate un plugin di backup (spiegato più sotto nell’articolo).

Salvate il backup in luogo sicuro (non il server su cui si trova il sito che state backuppando).

Il backup è essenziale, perché durante l’aggiornamento e la manutenzione molte cose possono andare storte, e se non siete esperti l’unico modo di risolvere velocemente è ritornare alla situazione di partenza ripristinando il backup.

Aggiornamento

Aggiornamento all’ultima versione di:

  • WordPress;
  • Plugins;
  • Temi;
  • Traduzioni.

Ormai si tratta solo di schiacciare un pulsante, non ci sono scuse per non farlo.

NOTA IMPORTANTE: se non avete seguito le linee guida di WordPress, e avete modificato file core di WordPress, oppure temi standard senza creare child, oppure avete modificato il codice dei plugin, con l’aggiornamento perderete le modifiche fatte.

Sicurezza

Installazione, attivazione e configurazione plugins di sicurezza. I migliori sono Sucuri, Wordfence, iThemes security.

Non installatene più di uno perché vanno in conflitto e appesantiscono il sito.

Se non sapete configurarli o non sapete interpretare i risultati, dovrete farvi assistere da qualche esperto oppure sottoscrivere un piano su Sucuri: Sucuri antimalware service o servizi simili.

Se il plugin lo permette, effettuate un hardening del sito (bisogna sapere quello che si fa altrimenti si possono generare dei problemi).

Verificare che le password ftp, del pannello di controllo e di WordPress siano sicure (lettere e numeri, se possibile simboli, maiuscole e minuscole, almeno 16 caratteri, non utilizzate da nessuna altra parte).

Pulizia

La pulizia è essenziale perché elimina i possibili punti di attacco. Meno temi e plugins avete, minori sono le possibilità di esporre vulnerabilità, quindi tenete solo quelli necessari e disattivate e cancellate gli altri.

  • Eliminazione dei temi inutilizzati (tranne quelli di default WordPress, al momento twentythirteen, twentyfourteen, twentyfifteen che dovrete tenere).
  • Eliminazione dei plugin inutilizzati;

Queste attività sono necessarie perchè anche se disabilitati, i temi e plugins possono essere utilizzati per condurre attacchi, quindi tenerli significa esporsi a rischi senza avere alcun vantaggio.

Per eliminare quelli che non servono bisogna accertarsi che siano disabilitati, e poi si possono eliminare da interfaccia di WordPress o da FTP.

sono necessarie anche queste attivitità:

  • Eliminazione aree di test o cloni;
  • Eliminazione di files zip, files temporanei archiviati, files di log enormi, vecchi backup, etc

Più il sito è snello, più è facile e veloce fare il backup.

Rinnovo licenze plugin e temi commerciali

Alcuni temi e plugin richiedono di pagare un abbonamento, che deve essere rinnovato alla scadenza per poter ricevere gli aggiornamenti.

Controllo degli utenti

  • Verificare che gli admin siano solo quelli effettivamente necessari. Togliere il ruolo di admin a chi non ne necessita.
  • Verificare che non ci siano utenti non voluti: nel caso in cui se ne trovino, se siete nel dubbio che vi servano o no togliere i ruoli anziché cancellarli (selezionare: “nessun ruolo per questo utente”), questo perché magari hanno articoli o altro assegnati a loro.
  • Verificare che non ci siano utenti malware / spammer: cancellarli subito;
  • Verificare che ogni utente abbia solo il ruolo minimo necessario;
  • Chiedere agli utenti con privilegi elevati di usare password sicure.

Check e eliminazione files estranei, pulizia file modificati

Tramite Sucuri o altri plugin, verificare che nella cartella del vostro sito non siano presenti files estranei o modificati.

Nel caso in cui ne vengano trovati: se avete conoscenze tecniche potete controllarli e ripulirli, altrimenti dovrete rivolgervi a specialisti (o sottoscrivere piani professionali Sucuri o simili).

Attività automatiche

Queste attività sono vitali e non possono essere eseguite manualmente: servono dei tools automatici.

Backup

Utilizzate plugin automatici di backup, come indicato sopra, oppure utilizzate servizi di hosting che garantiscano il backup. Ho già scritto diversi articoli sul backup, quindi non mi dilungo. Potete cercarli inserendo “backup” nella casella di ricerca in alto.

Non utilizzate plugins che fanno il backup sul sito stesso: non servono a nulla e lo appesantiscono. Usate plugin professionali che archiviano i backup su server esterni. I migliori sono: Vaultpress, Backupbuddy, Updraft Plus.

Uptime check

Verifica che il vostro sito sia costantemente online: esistono diversi tools, come Pingdom o Uptimerobot che offrono questo servizio gratis o a prezzi modici. Anche qui, potete trovare servizi di hosting che lo offrono incluso nel pacchetto.

Malware check

Sucuri è il punto di riferimento, ma esistono anche soluzioni più economiche come Wordfence o iThemes security .

Attività da fare quando si riceve notifica

Queste attività sono vitali e devono essere eseguite al più presto non appena si riceve la notifica

  • Aggiornamenti di sicurezza di WordPress;
  • Aggiornamenti di sicurezza dei plugins;
  • Aggiornamenti di sicurezza dei temi;
  • Verifiche in seguito a segnalazione di attività di spam o malware;
  • Verifiche in seguito a segnalazioni di utenti del sito;
  • Verifiche in seguito a notifiche di sicurezza dei plugin o servizi antimalware.

Attività ricorrenti

Da fare settimanalmente o mensilmente.

  • Controllo dei files di log;
  • Verifica funzionamento form di contatto;
  • Verifica funzionamento commenti;
  • Verifica e correzione broken links (per esempio usando broken link checker – NOTA: è un plugin molto pesante per il server, disabilitatelo senza cancellarlo appena avete effettuato il controllo, perché molti hoster potrebbero disabilitarvi l’account per eccessivo uso di risorse)
  • Verifica funzionamento versione mobile del sito;
  • Controllo sezioni del sito (sia su desktop che su mobile):
    • Home;
    • categorie;
    • archivi;
    • risultati di ricerca;
    • pagine di errore;
    • singolo post;
    • singola pagina;
  • Controllo aree della pagina  (sia su desktop che su mobile):
    • Header;
    • Menu;
    • Content;
    • Sidebar;
    • Footer.

Conclusioni e considerazioni

La manutenzione di un sito WordPress è importantissima, e soprattutto per gli aspetti di sicurezza, a cui è orientato questo articolo, non se ne può fare a meno.

Chi lascia un’automobile senza manutenzione e con le chiavi inserite, è responsabile dei danni che questa può causare, perché la negligenza è considerata penalmente una colpa. La stessa cosa succede con gli oggetti e i servizi di cui si è proprietari o di cui si ha disponibilità: quindi anche per i siti web la manutenzione periodica non è assolutamente da sottovalutare, sia per motivi legali, che per motivi di performance e affidabilità del sito.

Non ci si può disinteressare della manutenzione neanche se non si aggiorna più il sito con nuovi contenuti: anche in quei casi è necessario pensare alla manutenzione periodica, perché di giorno in giorno vengono scoperte nuove vulnerabilità.

La maggior parte di queste attività sono eseguibili da chiunque: se però non avete tempo, voglia o capacità, potete rivolgervi ad esperti (noi di Nexnova lo facciamo e potete contattarci o scriverci a info@nexnova.net).

Potete anche sottoscrivere piani di hosting WordPress managed, che sono più cari ma si preoccupano di tutte queste incombenze al posto vostro: anche in questo caso potete contattarci  oppure rivolgervi ai fornitori di hosting WordPress managed più affidabili, come WpEngine, Synthesis, Pagely.

Se il sito è già infetto vi conviene prima di tutto procedere ad una pulizia o rivolgervi ad un professionista che lo faccia. Anche per questo potete contattare noi di Nexnova.

Segnalatemi nei commenti aggiunte e suggerimenti: integrerò la procedura.

Riferimenti utili

4 commenti su “Manutenzione di un sito WordPress”

  1. Ciao a tutti!
    Vorrei confrontarmi con voi: premetto che non sono una professionista ma so realizzare siti in wordpress. Devo realizzarne alcuni per degli amici, a un prezzo naturalmente basso. L’unico problema che ho è che non so come gestire la manutenzione.
    Io sviluppo il sito, se il cliente riesce se lo gestisce lui altrimenti lo faccio io (e a pagamento). Ma per la manutenzione come faccio?
    Non mi sembra giusto il discorso: io so fare siti solo in wp, e wp necessita assolutamente di manutenzione per la sicurezza, quindi mi devi pagare anche quella.
    Che ne pensate? Voi come fate?
    Grazie!

Lascia un commento