Come Rilevare i Plugin WordPress Abbandonati Che Potrebbero Mettere a Rischio il Tuo Sito

Pubblicato: di Alejandro Granata
Come Rilevare i Plugin WordPress Abbandonati Che Potrebbero Mettere a Rischio il Tuo Sito thumbnail

“È aprile. Cosa fa l’albero di Natale in soggiorno?”

Hai trascorso ore a decorare l’albero di Natale e a illuminarlo con luci scintillanti.

Ma quello era a dicembre.

La vita è diventata frenetica e, prima che te ne accorgessi, è arrivata la primavera. E ora, il povero albero si protende nell’angolo, perdendo aghi – un pericolo di incendio polveroso più che un centro festivo.

Questo è ciò che accade con i plugin WordPress abbandonati.

Li installiamo per un motivo, ma con il tempo, vengono dimenticati. Se lasciati senza controllo, i plugin abbandonati diventano rischi per la sicurezza, esponendo il tuo sito a potenziali minacce.

Troviamoli e rimuoviamoli.

Cos’è Un Plugin Abbandonato?

Oh sì, prima dobbiamo ancora capire cosa sia esattamente un plugin abbandonato.

Un plugin abbandonato è un plugin di WordPress che il suo sviluppatore non mantiene o aggiorna più. WordPress considera un plugin abbandonato se non ha ricevuto aggiornamenti per oltre due anni.

Tali plugin possono diventare incompatibili con le ultime versioni di WordPress, portando a potenziali vulnerabilità di sicurezza e problemi di funzionalità.

Perché I Plugin Abbandonati Sono Un Grande Problema

I plugin abbandonati sono come bombe a orologeria per il tuo sito WordPress. Nel 2023, il 97% di tutte le nuove vulnerabilità di WordPress ha avuto origine dai plugin, mentre solo lo 0,2% è stato trovato nel core di WordPress stesso. Ciò significa che quasi ogni problema di sicurezza che colpisce i siti WordPress proviene da plugin e temi — non dal software principale.

Il report sulla vulnerabilità di WordPress di SolidWP viene aggiornato quotidianamente su qualsiasi nuova vulnerabilità nell’ecosistema WordPress. Vedrai quasi sempre nuove vulnerabilità per i plugin, ma raramente per il nucleo di WordPress.

Screenshot dell'annuncio dell'aggiornamento WordPress Core 6.7.2 che evidenzia 35 correzioni di bug. Una spunta verde indica l'assenza di nuove vulnerabilità nel core.

Questi sono migliaia di imprenditori che hanno affrontato:

  • Perdita di entrate durante i periodi di inattività del sito.
  • Dati dei clienti compromessi.
  • Reputazione danneggiata e fiducia perduta.
  • Google che etichetta il loro sito come “potenzialmente dannoso”.
  • Ore (o giorni) spesi per sistemare il disastro.

Quando gli sviluppatori abbandonano i loro plugin, smettono di correggere le falle di sicurezza — creando punti di ingresso perfetti per gli hacker.

Pensa a questo:

  • Nessun aggiornamento di sicurezza = esposizione del tuo sito a vulnerabilità note.
  • Nessun test di compatibilità con le nuove versioni di WordPress = funzionalità compromessa.
  • Nessuna correzione di bug = comportamenti imprevisti che possono compromettere il tuo sito.

Ora, il WAF di Wordfence ha bloccato 3 milioni di attacchi provenienti da circa 14.000 IP che miravano a vulnerabilità dei plugin solo nella prima metà del 2023.

Ma supponiamo che tu sia stato fortunato e il plugin abbandonato che hai sia completamente sicuro da usare.

Dobbiamo ancora occuparci dei problemi di prestazione.

Ogni nuovo aggiornamento di WordPress migliora la velocità, riduce le ridondanze nel sistema e rende il sito web complessivamente più reattivo, aggiungendo ulteriori funzionalità.

Ma se il plugin abbandonato appesantisce il sito web, questi miglioramenti della velocità potrebbero non essere mai notati, e sarebbe facile pensare che WordPress sia il colpevole in questo caso (anche se non lo è mai).

C’è anche una forte possibilità che il plugin causi un conflitto con una versione più recente di WordPress e ti ritrovi con un sito web non funzionante.

Sfortunatamente, quando ciò accade con i plugin abbandonati, sei completamente solo. Nessun sviluppatore a rispondere alle domande, nessun supporto della comunità, nessun aggiornamento della documentazione. Il 15,7% di tutti i plugin vulnerabili è stato completamente rimosso dal repository dei plugin di WordPress a causa dell’abbandono.

Questo lascia i proprietari di siti web che gestiscono inconsapevolmente software obsoleto e non aggiornato che gli hacker possono sfruttare.

In poche parole — allontanati da questi plugin il prima possibile.

Ricevi contenuti direttamente nella tua casella di posta

Iscriviti ora per ricevere tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

Come Identificare I Plugin Abbandonati

È ora di prendere le tue lenti di ingrandimento metaforiche e iniziare a cercare indizi che rivelino plugin che stanno raccogliendo polvere nel tuo dashboard di WordPress.

Ecco alcune cose che aiutano a identificare se un plugin abbandonato è presente sul nostro sito web.

1. La Data di “Ultimo Aggiornamento”

Il segnale di allarme più evidente è nascosto in bella vista.

Nel tuo pannello di controllo WordPress, vai su Plugins > Installed Plugins.

Dashboard di WordPress che mostra la pagina dei Plugin installati. La voce di menu 'Plugins' è evidenziata in blu con un contorno viola e frecce che la indicano.

Poi clicca su Visualizza Dettagli per aprire i dettagli del plugin dove vedrai la data di “Ultimo Aggiornamento”.

Finestra dei dettagli del Plugin UpdraftPlus WP Backup & Migration in WordPress. Un contorno viola evidenzia la sezione 'Ultimo aggiornamento: 2 settimane fa'.

UpdraftPlus è un plugin popolare e viene aggiornato molto frequentemente. Al momento della scrittura di questo testo, è stato aggiornato solo due settimane fa ed è sicuro conservarlo poiché esiste uno sviluppo attivo.

Ma potresti avere ancora un plugin più vecchio sul tuo sito web, come quello qui sotto, aggiornato NOVE anni fa:

Finestra dei dettagli del Plugin Pubblico Content XLerator WP in WordPress. Un avviso indica che il plugin non è stato testato con la versione corrente di WordPress. Un contorno viola evidenzia 'Ultimo aggiornamento: 9 anni fa.'

Qualsiasi plugin non aggiornato da oltre un anno merita la tua attenzione, mentre quelli non toccati per due anni rientrano nella categoria ufficiale di WordPress “abbandonati” e dovrebbero essere rimossi dal tuo sito web il più rapidamente possibile.

Se ci sono pagine che utilizzano ancora la funzionalità del plugin (magari è un vecchio plugin di moduli e hai ancora alcuni moduli), sostituisci la funzionalità con plugin più recenti il più rapidamente possibile.

2. Controlla la Data di Aggiornamento nella Ricerca del Plugin

Supponi di voler installare il tuo prossimo plugin di WordPress. Vuoi controllare anche le ultime date di aggiornamento nei risultati di ricerca.

Prendiamo lo stesso plugin abbandonato dall’esempio sopra. Se vai su Plugins > Aggiungi Nuovi Plugin e lo cerchi, vedrai la schermata qui sotto:

Schermata di aggiunta Plugins di WordPress che mostra il Plugin Pubblico Content XLerator WP. Un contorno viola evidenzia 'Ultimo aggiornamento: 9 anni fa.' Il plugin ha meno di 10 installazioni attive ed è non testato con la versione attuale di WordPress.

Noterai che mostra la data dell’ultimo aggiornamento direttamente nei risultati di ricerca, così puoi decidere se installare o meno il plugin.

Se non sei sul tuo Dashboard di WordPress, ma stai cercando plugin nel directory dei plugin di WordPress, puoi cliccare su qualsiasi plugin e vedere la versione e la data di “Ultimo aggiornamento” nel pannello delle informazioni a destra.

Pagina della directory dei plugin di WordPress per 'Embed Plus for YouTube Gallery, Livestream, and Lazy Loading with Facades.' Un contorno viola evidenzia i dettagli del plugin, inclusa la versione 14.2.1.3, ultimo aggiornamento 3 mesi fa, più di 100.000 installazioni attive e compatibilità con WordPress fino alla versione 6.7.2.

Questo dovrebbe darti abbastanza informazioni per decidere se vale la pena prendere in considerazione il plugin o meno.

3. Guarda i Ticket di Supporto

Supponi di vedere un plugin che è stato aggiornato di recente ma ha solo poche installazioni attive. Come puoi essere sicuro che il plugin sia attivamente sviluppato?

I ticket di supporto possono fornire un quadro chiaro.

Sulla pagina della directory dei plugin di WordPress, vai su qualsiasi plugin che stai considerando e clicca sul link Supporto proprio sotto il pulsante di download.

Pagina della directory dei plugin di WordPress per 'UsersWP – Form di login frontend, Registrazione utente, Profilo utente e Directory membri plugin per WP.' Un contorno viola evidenzia il link 'Supporto'.

In questa pagina, vedrai tutti i ticket di supporto aperti dagli utenti di WordPress.

Forum di supporto WordPress per 'UsersWP - Modulo di login front-end, Registrazione utente, Profilo utente & plugin Directory Membri per WP.' Mostra un elenco di argomenti di supporto recenti, numero di partecipanti, risposte e date degli ultimi post. I link laterali includono Domande frequenti, thread di supporto e recensioni.

Se noti che lo sviluppatore risponde attivamente, risolve le domande, e addirittura aggiunge nuove funzionalità su richiesta, puoi considerare tranquillamente di provare il plugin.

Ma a volte, potresti notare che le domande rimangono senza risposta per settimane e non c’è un vero sviluppo del plugin. In questi casi, è meglio tenersene alla larga e cercare qualcosa di più attivo.

4. Ascolta gli Avvisi Della Tua Dashboard

WordPress è come quel tecnico intelligente nel tuo team che tiene tutto sotto controllo.

Se il nucleo di WordPress, un plugin o un tema diventano obsoleti, c’è una nuova vulnerabilità o un possibile conflitto, ti invia indicazioni, notifiche e messaggi di errore per chiarirlo esplicitamente.

Dashboard di WordPress che mostra un avviso 'Aggiornamento PHP Necessario'. Il messaggio indica che il sito sta utilizzando una versione PHP non sicura e suggerisce un aggiornamento per una migliore sicurezza e prestazioni. Un contorno viola evidenzia il riquadro di avviso.

Puoi scegliere di ignorare questi avvisi e proseguire con l’azione che avevi pianificato — ma noi consigliamo di ascoltarli.

5. Esegui Controlli di Sicurezza Automatizzati

Ci sono molti modi per proteggere il tuo sito WordPress. Il modo più semplice è installare solo un plugin di sicurezza come Wordfence, Patchstack, Sucuri, ecc., e lasciare che capisca se qualcosa è buono per il tuo sito o meno.

Interfaccia di scansione della sicurezza Wordfence che mostra una scansione completata con il 100% di rilevazione su firme di malware standard, premium e controlli di reputazione. Non sono stati trovati nuovi problemi. Sono visualizzati vari controlli di sicurezza, inclusi spam, liste di blocco, modifiche ai file e scansioni di vulnerabilità.
Fonte

Questi plugin tengono traccia di ogni vulnerabilità di sicurezza, plugin abbandonati o obsoleti, e qualsiasi problema del nucleo di WordPress esistente. Se il tuo sito web mostra segni che corrispondono a uno di questi problemi, il plugin ti avviserà immediatamente dello stesso.

Eseguono anche scansioni automatiche in background per rilevare attori malintenzionati che tentano di sfruttare plugin obsoleti o abbandonati per ottenere accesso non autorizzato al tuo sito web, o per identificare plugin precedentemente sicuri che sono diventati infetti.

6. Il Test di Popolarità

E infine, se non vuoi preoccuparti delle tecnicità, lascia fare alla massa. I migliori plugin WordPress sono anche quelli con il maggior numero di installazioni attive.

Quando cerchi plugin nella directory dei plugin di WordPress, clicca sulla scheda Vista Avanzata sotto i dati del plugin (la sezione dove vediamo la data di “Ultimo aggiornamento”).

Pagina del plugin WordPress 'Advanced View' che mostra le statistiche, incluse le versioni attive, il grafico dei download giornalieri e la cronologia dei download totali. Un contorno viola evidenzia il conteggio totale dei download di 609,788,768. Sono mostrati anche i dettagli del plugin, le valutazioni e le versioni supportate.

La vista avanzata ti mostra le statistiche su quale versione dei plugin è in uso tra tutti gli utenti e quante volte il plugin viene scaricato su base giornaliera e settimanale, insieme al totale delle installazioni.

I plugin con un numero ridotto di installazioni attive (meno di 1.000), tendenze di download in calo o valutazioni costantemente scarse potrebbero essere in procinto di essere abbandonati — o lo sono già.

Per la maggior parte, se ti attieni ai migliori plugin di WordPress che sono attivamente utilizzati da molte persone, generalmente andrai bene. Questo perché gli sviluppatori così come gli utenti tecnicamente competenti sono alla ricerca di problemi nel codice e li risolvono non appena compaiono.

Hai Trovato Plugin Abbandonati? Ecco Cosa Fare

Hai scoperto l’equivalente di un albero di Natale dimenticato sotto forma di plugin nel tuo sito WordPress. E ora?

Ecco il tuo piano di salvataggio passo dopo passo per eliminare in sicurezza questi rischi per la sicurezza senza compromettere il tuo sito.

Passo 1: Trova un’Alternativa

Prima di toccare qualsiasi cosa, trova un sostituto. Cerca plugin attivi che offrano funzionalità simili a quelle dei tuoi plugin abbandonati.

Le migliori sostituzioni avranno:

  • Aggiornamenti negli ultimi 3 mesi
  • Compatibilità con la tua versione di WordPress
  • Valutazioni elevate (4+ stelle)
  • Una comunità di sviluppatori reattiva
  • Buona documentazione

Nota Per Nerd: A volte il sostituto perfetto non è affatto un Plugin! Molte funzionalità che una volta richiedevano Plugin sono ora integrate nel core di WordPress o nel tuo tema.

Passo 2: Crea un Backup Completo

Un backup è la rete di sicurezza del tuo sito web. Non saltarlo!

Crea un backup completo del tuo sito WordPress, inclusi file e database.

Puoi utilizzare plugin o gli strumenti di backup del tuo hosting, ma assicurati di sapere come ripristinare da questo backup se necessario.

Speriamo che il backup non sia necessario, ma sarà un salvavita se le cose andranno male.

Fase 3: Testa in un Ambiente di Staging (Quando Possibile)

Per i siti critici per gli affari, testa prima di agire. Se disponibile, clona il tuo sito in un ambiente di staging e sostituisci prima i plugin abbandonati lì.

Se il sito si interrompe, devi indagare su cosa è andato storto e come risolverlo in staging prima di iniziare a lavorare sul sito live.

Questo ambiente diventa il tuo parco giochi privo di conseguenze per testare adeguatamente i nuovi plugin con la tua configurazione specifica.

Passo 4: Sostituisci Con Cura il Plugin

Ora per l’evento principale. Ecco come sostituire quei plugin abbandonati.

  1. Attiva prima il nuovo plugin, senza ancora disattivare quello vecchio.
  2. Configura il nuovo plugin per abbinare le tue impostazioni a quelle del vecchio.
  3. Verifica che la funzionalità funzioni come previsto con entrambi attivi.
  4. Disattiva (ma non eliminare) il plugin abbandonato.
  5. Testa approfonditamente il tuo sito per assicurarti che nulla si sia rotto.

Quando sei sicuro che tutto funzioni come dovrebbe, elimina quel vecchio plugin WordPress.

Fase 5: Controllo Post-Sostituzione

Dopo il passaggio, esamina attentamente il tuo sito. Controlla il frontend e il backend del tuo sito per eventuali problemi.

Cerca problemi visivi, malfunzionamenti o messaggi di errore. E presta particolare attenzione alle funzionalità che dipendevano dal plugin sostituito.

Dovresti Mai Conservare Un Plugin Abbandonato?

Ammettiamolo — a volte hai bisogno di un plugin abbandonato di cui il tuo sito dipende assolutamente.

Potrebbe gestire una funzione unica (come un sistema specifico di raccomandazione di checkout) che nessun altro plugin può eguagliare, oppure potresti aver costruito integrazioni personalizzate attorno ad esso.

Allora, puoi (e dovresti) tenerlo? Beh… è complicato.

Mantenere un plugin abbandonato è rischioso. Dovresti solo considerare di mantenerlo se:

  • Il plugin svolge una funzione critica e non esistono alternative valide.
  • Il flusso di lavoro della tua azienda dipende dalle funzionalità personalizzate che offre.
  • Il plugin è relativamente semplice con una superficie del codice minima (puoi far revisionare il codice del plugin su GitHub da un sviluppatore).
  • Lo hai testato approfonditamente con la tua attuale versione di WordPress e funziona bene.

Se tutti questi elementi sono soddisfatti, puoi considerare di mantenere il plugin. Tuttavia, noi consigliamo ancora di trovare un modo per mantenere il codice con l’aiuto di uno sviluppatore o di liberartene appena possibile.

Le Precauzioni Di Sicurezza Extra Che Devi Prendere

Se decidi di mantenere quel plugin abbandonato, dovrai costruire una fortezza attorno ad esso.

  • Crea Un Firewall Specifico Per Il Plugin: Utilizza Plugin di sicurezza come Wordfence o Sucuri per creare regole di firewall personalizzate che mirano specificamente a potenziali vulnerabilità nel tuo plugin abbandonato. Questi agiscono come tua prima linea di difesa contro gli attacchi che mirano a debolezze note.
  • Implementa Verifiche Regolari Del Codice: Assumi uno sviluppatore per esaminare periodicamente il codice del plugin alla ricerca di vulnerabilità di sicurezza. Sì, questo comporta dei costi, ma è significativamente meno costoso che affrontare un sito violato e le sue conseguenze.
  • Configura Un Monitoraggio Migliorato: Configura avvisi per qualsiasi attività insolita relativa al plugin. La rilevazione precoce può significare la differenza tra un problema minore e una violazione della sicurezza a tutto campo che compromette l’intero sito.
  • Isola Quando Possibile: Se fattibile, esegui il plugin abbandonato su un subdominio separato o in un ambiente separato, limitando il suo accesso ai dati sensibili e alle funzioni del tuo sito principale — pensalo come una zona di quarantena.

Passi Proattivi Per Prendere il Controllo della Salute dei Plugin 💪

Per quanto scontato, prevenire è meglio che curare.

Ecco come creare un ecosistema di plugin sano che mantiene il tuo sito WordPress sicuro e performante al meglio.

Pianifica Audit Regolari dei Plugin

Pensa a questo come al controllo trimestrale del tuo sito.

Segna sul calendario una revisione approfondita dei plugin ogni tre mesi. Durante questi audit, valuta la cronologia degli aggiornamenti recenti di ogni plugin, lo stato di compatibilità e se ne hai ancora realmente bisogno.

Questa manutenzione di routine previene i problemi dei plugin prima che inizino e mantiene il tuo sito snello.

Scegli Plugin Con Storici Affidabili

Non tutti i plugin sono creati uguali. Quando aggiungi nuovi strumenti al tuo sito, cerca questi indicatori di affidabilità:

  • Aggiornamenti regolari (almeno trimestrali)
  • Ampia base di utenti attivi (più di 10.000 installazioni)
  • Supporto degli sviluppatori reattivo (controlla la rapidità delle risposte alle domande)
  • Documentazione dettagliata e roadmap dello sviluppo chiara

Adotta la Filosofia del “Meno è Meglio”

Il tuo sito WordPress non è una vetrina di raccolta di plugin. Ogni plugin aggiunge codice, complessità e potenziali problemi di sicurezza.

Chiediti: “Questo plugin risolve un problema reale che ho in questo momento?”

Se non è così, non dovrebbe trovarsi sul tuo sito. Punta al numero minimo di plugin necessari per raggiungere i tuoi obiettivi.

Imposta Le Notifiche Di Aggiornamento Automatico

Rimani informato senza dover controllare costantemente la dashboard. Configura gli avvisi email per gli aggiornamenti dei plugin disponibili tramite gli strumenti del tuo host o un plugin di gestione.

Questi avvisi via email ti aiutano a tenere traccia di eventuali patch di sicurezza critiche o aggiornamenti di compatibilità, anche quando sei impegnato a gestire la tua attività.

Considera una Soluzione di Hosting WordPress Gestito

A volte, è meglio affidare le cose a un professionista così puoi concentrarti sulla tua attività.

Servizi come DreamPress gestiscono la maggior parte della manutenzione di WordPress, inclusi il monitoraggio della sicurezza e gli aggiornamenti, e aiutano anche in caso di guasti.

Il Tuo Sito Merita Più Che Ragnatele Di Plugin

Come quell’albero di Natale dimenticato, i plugin abbandonati potrebbero esserti stati utili una volta — ma il loro tempo è passato. Non puoi rischiare la sicurezza e le prestazioni del tuo sito WordPress con questi plugin abbandonati.

Ma, non tutti hanno tempo o competenze tecniche per monitorare i plugin alla ricerca di segni di abbandono.

DreamPress può occuparsi di tutto ciò per te. Gestisce gli aggiornamenti del core di WordPress, le patch di sicurezza e i backup del sito automaticamente e offre backup giornalieri automatici, caching integrato e supporto specializzato WordPress 24/7.

Ciò significa che puoi concentrarti sulla creazione di contenuti e sulla gestione della tua attività mentre DreamPress ti offre la tranquillità che il tuo sito sia ben curato.

Quindi vai avanti — regala al tuo sito WordPress la pulizia di primavera che merita, oppure lascia che i professionisti di DreamPress se ne occupino per te.

website management by DreamHost
Hosting WordPress

Hosting WordPress Inarrestabile

Soluzioni di hosting affidabili e velocissime, specificamente ottimizzate per WordPress.

Vedi di Più
Foto di Alejandro Granata

Alejandro Granata