Aggiornamenti di inverno: sicurezza, SEO e privacy

L’attività di manutenzione del sistema prosegue anche nell’anno nuovo, e siamo felici di raccontarti alcuni degli aggiornamenti più importanti che abbiamo rilasciato sui siti web della nostra piattaforma in questi mesi.

WordPress 5.3.x

WordPress 5.3 è stato rilasciato a Novembre 2019, ma abbiamo preferito ritardarne l’installazione sui nostri/vostri sistemi per essere sicuri che tutto funzionasse a dovere.

Ecco alcune delle nuove funzionalità:

Sicurezza

In questa release di WordPress sono stati sistemati alcuni problemi di sicurezza:

  • Problema legato all’API, che permetteva ad un utente senza abbastanza privilegi di modificare il contenuto di una pagina
  • Attraverso la creazione di link particolari (non è stata resa pubblica la tecnica in modo da non diffonderla) era possibile fare del cross-site scripting (uno dei pericoli più comuni e dannosi)
  • La funzione wp_kses_bad_protocol() (che serve a “ripulire” l’input degli utenti) ora elimina la possibilità di fare del cross-site scripting tramite l’uso del carattere “:” in alcune stringhe javascript

Rotazione automatica delle immagini

Quando carichi un’immagine, verrà automaticamente ruotata per rispettare la sua posizione originale, che viene letta e ricavata fra i meta-dati (i dati aggiuntivi che la macchina fotografica quando scatta una foto) dall’immagine stessa.

Diagnostica di sicurezza del sito

Con la nuova release, gli strumenti di diagnostica del sito sono stati migliorati, rendendo più facile e veloce individuare eventuali problemi.

Verifica email amministratore

Periodicamente, quando esegui l’accesso all’area amministrativa, ti verrà richiesto di verificare che l’email amministrativa del sito sia corretta. La procedura è estremamente semplice e veloce (vedi immagine qui sotto)…

…e serve a far si che, nel caso non leggessi l’indirizzo in questione, tu ti possa ricordare di cambiarlo, così da evitare di perdere alcune comunicazioni importanti.

Compatibilità con PHP 7.4

Ad inizio anno è stata rilasciata la nuova versione di PHP (il linguaggio di programmazione con cui è costruito il tuo sito WordPress), e con cui la nuova versione di WordPress è ora al 100% compatibile.

Iubenda & Privacy

Iubenda è la soluzione “privacy e cookie policy” che consente una gestione dei cookie “a norma di legge”, bloccando effettivamente i cookie fino a che l’utente non ha dato il consenso al loro utilizzo.

Ci sono due novità importanti in questa versione:

la prima è la possibilità per l’utente accettare solo i Cookie di una certa categoria (per esempio solo quelli traccianti) come richiesto dal framework legislativo dell’Unione Europea.

La seconda è la possibilità per l’utente di rifiutare tutti i cookie, tranne quelli tecnici ovviamente, che sono necessari al corretto funzionamento del sito stesso.

SEO & Ottimizzazione per i motori di ricerca

La componente che gestisce l’ottimizzazione per i motori di ricerca è passata alla versione 13.0 e include diverse novità, principalmente legate alla cosiddetta snippet preview (l’anteprima che ti mostra come comparirà la pagina su Google).

Novità nella preview mobile

La preview mobile è stata aggiornata per adeguarsi al nuovo formato dei risultati di ricerca di Google. Ora viene infatti inclusa sia l’immagine in evidenza, sia la la favicon (l’icona) del sito. Inoltre la grandezza dei caratteri è stata modificata in modo da essere identica a quella del motore di ricerca.

Adeguamento alle normative europee

Alcune nuove normative Europee in materie di privacy dispongono che i titolari di un sito possano scegliere nel dettaglio che cosa mostrare su Google quando una loro pagina compare fra i risultati di ricerca. La nostra componente per il SEO è stata aggiornata in modo da permettere questa gestione granulare.

Notifica per gli utenti di Internet Explorer 11

Internet Explorer è un browser molto vecchio, poco sicuro, di cui Microsoft stessa scoraggia l’utilizzo. Se utilizzi questo browser, sappi che la parte amministrativa del SEO non funzionerà correttamente.

Sicurezza generale

Oltre ad aggiornare costantemente la parte applicativa del tuo sito (quindi WordPress, i plugin e i temi), una parte del nostro lavoro consiste anche nel mantenere funzionanti e prestanti le macchine (i server) su cui il sito è ospitato.

Trackback disabilitati

Sono stati disabilitati i trackback a livello di piattaforma. Questa è una vecchia funzionalità di WordPress, usata per segnalare agli amministratori di nuovi link in ingresso. Ormai nessuno la usa più, ed essendo potenzialmente pericolosa per il cross-site scripting, abbiamo preferito disabilitarla.

Migliorato il blocco di “enumerazione” degli utenti

Una delle tecniche preferite dagli hacker per bucare un sito web, è quello di provare a lanciare migliaia di tentativi di login con delle credenziali generate in modo sequenziale (così da tentare tutte le possibili combinazioni).

Anche se l’hacker non riesce a individuare le credenziali di accesso corrette, le migliaia di richieste al secondo possono mettere in ginocchio il sito e renderlo inaccessibile ai normali utenti.

Abbiamo quindi migliorato il codice che individua e blocca questi tentativi, prima che possano arrecare danni.

Compliance GDPR

il sistema di gestione della sicurezza sul nostro ambiente raccoglie qualche “informazione personale” sugli utenti (per esempio l’indirizzo IP con cui navigano e il paese di provenienza). Questi dati adesso vengono salvati per un periodo di tempo limitato (giusto quanto serve per prevenire gli attacchi informatici, si parla di qualche ora) e poi vengono eliminati.

e-Commerce

WooCommerce è il plugin che permette ti trasformare un sito in un negozio online completo di catalogo, carrello, sistema di pagamento e gestione di spese di spedizione.

La nuova major release di WooCommerce (versione 3.9.2) contiene principalmente modifiche “under the hood” (sotto il cofano, quindi invisibili per gli utenti normali), principalmente legate alla sicurezza e alla correzione di bug.

Ci sono tuttavia un paio di funzionalità degne di nota.

Integrazione del servizio MaxMind per la geolocalizzazione

E’ stato integrato un nuovo database per geolocalizzare gli utenti, chiamato MaxMind. Questa nuova funzione permette al sistema di riconoscere la provenienza geografica di un utente e fargli trovare il modulo dell’indirizzo già (parzialmente) compilato.

Bottone “visualizza password”

E’ stato aggiunto il bottone “mostra la password” nel form di login sulla pagina “Il mio account”, particolarmente utile per chi naviga da un dispositivo mobile.

Gravity Forms

Gravity Forms è il plugin che consente di costruire dei moduli per richieste di soggiorno, prenotazioni, preventivi e quant’altro, tramite una semplice interfaccia drag & drop.

In questa versione è stato corretto un bug che impediva al form di essere inviato correttamente quando si utilizzava re-captcha (il sistema antispam di Google) in determinate circostanze.

WPML

WPML è il plugin che permette di gestire un sito in molteplici lingue. Con il recente aggiornamento alla versione 4.8, è stata ottimizzata la compatibilità con PHP 7.4.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *