Risveglio con il brivido questa mattna, arriva un messaggio da Aruba.it che l’hosting di un mio cliente dove è ospitato il sito su piattaforma WordPress viola le norme e le regolamentazioni sull’utilizzo.
Nella mail mi hanno indicato il file che sta generando il problema, l’ho già visto altre volte su altre piattaforme WordPress di colleghi, in pratica il cms è stato bucato sfruttando qualche vulnerabilità di plugin oppure di WordPress stesso.
Indagando più a fondo scopro che la versione di WordPress installata è ancora vecchia, parliamo della 3.5, i plugin vanno aggiornati praticamente tutti, il cliente non ha fatto nulla per mantenere in forma il proprio WordPress.
Confesso che questa situazione mi è già capitata altre volte, il cliente non sa come si aggiorna WordPress, non sa che deve aggiornarlo e non sa che se non lo fa è a rischio di “ingressi” non autorizzati.
Risolviamo il problema
Per risolvere questo problema, l’unico modo è quello di attivare gli aggiornamenti automatici di plugin e piattaforma, così il cliente non deve fare nulla ed in qualche modo si riesce a mettere un po’ di sicurezza basilare sul sito.
Come aggiornare wordpress in automatico?
Bisogna inserire due righe di codice php all’interno del file wp-config.php, queste permettono di aggiornare la piattaforma ed i plugin senza dover intervenire ogni volta dal backend di wordpress.
Per aggiornare in automatico la piattaforma WordPress il codice da usare è questo:
define('WP_AUTO_UPDATE_CORE', true);
Per aggiornare in automatico i plugin il codice da usare è invece questo:
add_filter( 'auto_update_plugin', '__return_true' );
La prima riga di codice va inserita in qualsiasi posizione del file wp-config.php, inseriscilo per comodità dove ci sono già le altre definizioni simili come ad esempio dopo il codice define(‘WP_DEBUG’, false);.
La seconda riga di codice va invece inserita alla fine del file wp-config.php come ultima istruzione, appena dopo la riga require_once(ABSPATH . ‘wp-settings.php’);, nell’immagine vedi dove inserire i codici.
In questo modo il tuo wordpress si aggiorna in automatico e puoi mettere un “tappo” a qualche falla che nel tempo può essere scoperta e che può portarti a rendere vulnerabile il tuo sito web.
Consiglio vivamente di aggiungere queste due righe nel file, anche se non sei un esperto, prevenire è meglio che curare, infatti ora mi metto a pulire il sito del cliente da tutta la sporcizia e poi attivo l’aggiornamento automatico di tutto.
Salve quindi bisognerebbe mettere queste due righe di codice e fare aggiorna in automatico?
Basta solo aggiungere queste due righe di codice poi fa tutto wordpress, non è necessario fare altro, nessun altra impostazione, solo inserire le righe nel wp-config.php