Pubblicato il 30/12/2023 da alnao nella categoria Wordpress

Come già visto in diversi articoli, WordPress mette a disposizione una lista lista di plugin nel repository ufficiale, la maggior parte dei quali gratuita anche se la maggior parte dei plugin prevede una versione gratuita e una versione avanzata a pagamento. I plugin sono di diverse funzionalità e finalità, vista la numerosità può essere difficile trovare il plugin giusto a seconda delle esigenze di costruzione e spesso si fa fatica a trovare quello che serve.

Quando si usa il repository ufficiale o anche resposity di terzi bisogna sempre prestare attenzione a cosa si installa in un sito, i plugin più datati potrebbero non essere compatibili con le ultime versione del framework e, putroppo, alcuni plugin sono malevoli e possono creare danni. La via più semplice e sicura è scegliere i plugin non solo in base alla funzionalità ma anche al numero di utilizzi: se un plugin è usato da migliaia di utenti è considerabile più sicuro di un plugin usato da pochi utenti, il numero di utenti e il ranking di ogni plugin può essere notato direttamente nella lista dei plungin nella pagina di ricerca:

Questo articolo vuole essere una descrizione breve ma completa dei principali plugin disponibili per migliorare la sicurezza del sito e gestire le componenti base. Il consiglio è quello di prestare sempre attenzione alla sicurezza del sito: la sicurezza non deve mai essere trascurata quando si parla di siti web esposti pubblicamente e possibili bersagli di attacchi da parte di mala intenzionati:

  • Uno dei punti più vulnerabili di un sito costruito con il framework WordPress è la pagina di login della sezione amministrativa che di default è <dominio>/wp-admin, grazie al plugin WPS Hide Login è possibile cambiare l’url di ingresso in modo da impostare un enpoint personalizzato. Grazie a questo plugin nel menù di amministrazione viene messa a disposizione una nuova voce nel sotto-menù “impostazioni” dove è possibile impostare l’url specifico.
  • Un’altro dei punti vulnerabili di un sito WordPress sono i servizi Rest, si tratta di servizi creati di default dal framework messi a disposizione per permettere la manutenzione del sito dall’esterno. Queste API sono esposte di default dal framework su alcuni url del sitocome https://<url-sito>/wp-json/wp/v2/ e https://<url-sito>/wp-json/wp/v2/users. Grazie al plugin Disable WP Rest API è possibile nascondere queste API e limitarne l’accesso solo agli utenti amministrativi che hanno effettuato la login alla sezione amministrativa.
  • Di default il framework permette di creare più utenti con ruoli specifici come amministratore o editor, il plugin PublishPress Permissions permette di aumentare le operazioni abilitate con la possibilità di autorizzare o negare funzionalità specifiche anche su elementi come singoli post o singole pagine, con questo è possibile creare un gruppo di autorizzazioni assegnando gli utenti e il plugin aggiunge un tab “Imposta le autorizzazioni specifiche” con la quale si può abilitare un gruppo specifico.
  • Esistono diversi modi per eseguire il backup di un sito fatto in wordpress: il metodo più semplice è quello di eseguire copia di tutte le due componenti. Per prima cosa bisogna eseguire una copia del databse mysql con il comando mysqldump e poi una copia dei file prendendo tutto il contenuto del filesystem dove è posizionato il sito. Questo metodo risolta molto veloce e semplice se il sito è di piccole di dimensioni. Un secondo metodo molto usato è eseguire il backup del db dalla console di amministrazione, all’interno della voce “Strumenti” è presente una funzionalità di Backup che permette di copiare in sicurezza tutti i dati del dabatase senza l’uso del comando mysqldump, questo metodo sicuramente è indicato per chi non ha molta dimestichezza con i comandi da riga di comando del database. Il metodo più efficace tuttavia è l’uso di plugin dedicati, in particolare il Duplicator di Snap Creek è disponibile nella sezione plugin con una versione base gratuita. Il plugin aggiunge una sezione sezione nel menù, la funzionalità principale permette la gestione dei bakcup/pacchetti: oltre alla lista dei pacchetti creati, è possibile creare un nuovo pacchetto con una procedura guidata molto semplice e intuitiva. All’interno dei pacchetti creati, oltre ai componenti grafici e al database in formato sql, viene creato anche un file installer.php, utilizzabile per effettuare il ripristino del pacchetto con procedura guidata che in pochi passi permetterà di installare la copia nel sito con pochi click.
  • Talvolta è necessario cambiare l’url del sito web, questo può essere necessario non solo per un cambio di dominio ma anche in fase di copia di un sito da un dominio ad un altro. E’ possibile usare il plugin duplicator per eseguire copia e ripristino di un sito ma una volta copiato il path generale del sito viene cambiato dal plugin ma eventuali link interni alle pagine e agli articoli non viene cambiato. Per eseguire il cambio su tutti gli articoli e su tutte le pagina è possibile usare il plugin Better Search Replace, nella unica pagina di questo plugin è possibile impostare i filtri di ricerca e di sostituzione come un cerca-sostituisci delle normali applicazioni desktop ma questa operazione viene effettuata nelle tabelle del sito.
  • Grazie ai plugin specifici come 301 Redirects – Easy Redirect Manager è possibile impostare le regole di Redirect con codice HTTP 301 e 302 direttamente da console, queste servono per oscurare una pagina temporaneamente oppure impostare regole per elementi rimossi o spostati, grazie a questo plugin è possibile vedere anche le varie statistiche e le regole in maniera molto intuitiva. Da notare che le questo tipo di regole possono essere configurate nei webserver ma non tutti hanno la possiblità di modificare i file di configurazione del webserver e spesso può risultare una cosa molto complessa e delicata, per questo è preferibile usare i plugin di WordPress.
  • Nelle ultime versione di WordPress gli utenti hanno a disposizione un editor avanzato chiamato WordPress Editor detto anche block editor, esiste anche una versione più semplice chiamata classic editor ed è possibile passare da una versione ad un’altra con un semplice bottone. Esiste il plugin Classic Editor che permette di definire l’editor classico come predefinito visto che il framework di default presenta sempre l’editor più recente.

MENU