Nella maggior parte dei post che trovi in giro per il web, compresi molti di questo sito, anche scritti da me, sembra che l’indicazione da seguire sia: aggiorna sempre tutto e subito all’interno della tua installazione di WordPress.
Così se esce un aggiornamento, l’utente modello dovrebbe cliccare subito su aggiorna, che si tratti di un tema, di un plugin o del core di WordPress.
Solo che poi succede quello che è successo a me, più di una volta.
A questo punto è bene mettere le carte in tavola, per farti capire cosa mi muove mentre scrivo questo articolo, che spero possa essere utile per te che stai leggendo.
Nel settembre 2016, una bella sorpresa: mi scrive in chat un amico che mi segnala un bel problema: guadagnareconunblog.com è in serp con snippet totalmente in giapponese.
Il 2 Settembre (maledetti, il giorno del mio compleanno!) il sito era stato attaccato, presumibilmente in maniera automatizzata.
Entrati all’interno del CMS, attraverso una falla della quale ti parlerò a breve, hanno contemporaneamente:
- Impostato il cloacking delle pagine: partendo da quelle meglio posizionate hanno impostato un sistema per il quale se l’utente viene da Google oppure è Google Bot viene mostrato un contenuto (quello in giapponese), mentre se si accede in maniera diretta o se accede un altro bot, tutto sembra regolare (in modo da non far notare nulla in un primo momento al proprietario del sito e ai tool)
- Creato migliaia di pagine nuove: mentre le pagine esistenti venivano di fatto reindirizzate, altre migliaia di pagine sono state aggiunte. Via FTP ho trovato tra i plugin una cartella con decine di sottocartelle e migliaia di file, che andavano a comporre le pagine che Google aveva cominciato ad indicizzare
Un bel casino!
Per dirla tutta, spero che lo step successivo non fosse ancora iniziato quando ho ripulito tutto: solitamente verso il sito vengono poi sparati un mare di link-spazzatura, che danno un boost nel brevissimo periodo, ma portano inevitabilmente a penalizzazione nel lungo periodo.
Ad oggi tool e search console non mi segnalano nulla di anomalo, ma chiaramente segue un periodo di massima allerta, con il file per il disavow pronto ad essere compilato.
EDIT: i link li hanno messi e ne hanno messi a pacchi, su site hackerati allo stesso modo. Ho aspettato e la maggior parte dei link sono scomparsi perchè i proprietari dei siti hanno risolto a loro volta il problema. Qualcuno l’ho contattato io per segnalare il problema.
Il problema? Forse la fretta nell’aggiornare
La premessa che ho fatto è doverosa per farti capire il resto.
Ma come? Io faccio sempre il possibile per tenere tutte le installazioni di WordPress aggiornate e succede questo (Ah, è successo pure da un’altra parte, sul sito di un altro progetto)?
Salvo poi scoprire che il problema era stato proprio nell’aggiornamento.
Oggi la versione di WordPress ufficiale è la 4.6.1, rilasciata il 7 settembre 2016; la 4.6 era stata rilasciata il 16 Agosto. L’ultima versione risolve una grave falla di sicurezza, che espone ad attacchi e rende il CMS poco sicuro.
Con tutta probabilità è proprio da li che sono entrati, in migliaia e migliaia di installazioni WordPress, creando danni analoghi a quello descritto che ha colpito questo sito. Una bella beffa.
Quindi non devo aggiornare subito?
La regola di aggiornare presto rimane sempre valida, ma ci sono alcune cosa da valutare:
- Tipologia di aggiornamento: se l’aggiornamento ha a che fare con la sicurezza, aggiorna subito, sempre e comunque. Se invece gli aggiornamenti riguardano dettagli, bug minori e cose che non ti interessano nell’immediato, puoi valutare di aspettare qualche giorno, valutare l’esperienza di chi ha aggiornato e successivamente aggiornare.
- Aggiornare non basta: altra regola d’oro è quella di fare dei backup regolarmente: devi assolutamente salvare il sito, per poterlo ripristinare in caso di problemi.
Per stare il più tranquillo possibile dunque, cerca di avere sempre un piano b e una copia funzionante del sito.
Se hai domande o considerazioni lascia il tuo commento, come sempre riceverai presto una risposta.