C'e una frase che i professionisti IT sentono piu di quasi ogni altra: "Funziona. Non toccarlo." Questa mentalita e ovunque nel business. Se il sito web sta funzionando, generando lead, elaborando ordini e non mostrando errori, perche rischiare di cambiare qualcosa? Perche aggiornare?
La risposta e semplice: perche gli attaccanti si aggiornano. Ogni giorno vengono scoperte nuove vulnerabilita nel software su cui gira il vostro sito web. Quando queste vulnerabilita vengono pubblicate, gli attaccanti le aggiungono ai loro strumenti automatici e iniziano a scansionare ogni sito su internet. Se il vostro sito esegue la versione vulnerabile, verra trovato. Non in mesi. In giorni, a volte ore.
Cosa Diventa Obsoleto e Perche Conta
Core del CMS (WordPress, Joomla, Drupal, ecc.)
Il vostro sistema di gestione dei contenuti e il fondamento del sito web. Quando una versione del CMS raggiunge il fine vita, smette di ricevere patch di sicurezza. Qualsiasi nuova vulnerabilita scoperta in quella versione non verra mai corretta.
Per un'analisi dettagliata delle vulnerabilita WordPress, vedete il nostro articolo sulle vulnerabilita WordPress e cosa ancora si rompe.
Linguaggio Lato Server (PHP, Node.js)
PHP, che alimenta la maggior parte dei siti CMS, ha il proprio ciclo di vita:
| Versione PHP | Fine Supporto Attivo | Fine Patch Sicurezza | Stato |
|---|---|---|---|
| PHP 7.4 | Nov 2021 | Nov 2022 | Fine vita. Nessuna patch di sicurezza. |
| PHP 8.0 | Nov 2022 | Nov 2023 | Fine vita. Nessuna patch di sicurezza. |
| PHP 8.1 | Nov 2023 | Dic 2025 | Solo patch di sicurezza. |
| PHP 8.2 | Dic 2024 | Dic 2026 | Solo patch di sicurezza. |
| PHP 8.3 | Dic 2025 | Dic 2027 | Supporto attivo. |
Se il vostro sito gira su PHP 7.4, state eseguendo una versione non supportata da oltre due anni. Ogni vulnerabilita scoperta in PHP 7.4 da novembre 2022 e permanentemente presente sul vostro server.
Plugin, Estensioni e Temi
I plugin sono il vettore di attacco numero uno nei siti CMS. Un plugin abbandonato e una porta permanentemente aperta. Segnali comuni:
- Ultimo aggiornamento da piu di 12 mesi
- Compatibilita non testata con le versioni recenti del CMS
- Forum di supporto con domande senza risposta per mesi
- Lo sviluppatore ha smesso di rispondere
Approfondite nella nostra guida sulle vulnerabilita dei plugin nei sistemi CMS.
Come le CVE Vengono Pubblicate e Sfruttate
La Timeline Tipica
- Scoperta: Un ricercatore di sicurezza scopre una vulnerabilita.
- Responsible disclosure: Il ricercatore contatta il vendor. Il vendor sviluppa una patch.
- Pubblicazione CVE: La vulnerabilita viene pubblicata con dettagli tecnici.
- Sviluppo exploit: Entro ore o giorni, qualcuno crea codice exploit funzionante.
- Scansione di massa: Entro giorni, scanner automatici iniziano a cercare la versione vulnerabile.
- Sfruttamento su scala: Le botnet aggiungono l'exploit alla rotazione. Ogni sito non aggiornato viene trovato e compromesso.
La finestra tra la disponibilita della patch e lo sfruttamento di massa si sta restringendo. Nel 2020 erano tipicamente settimane. Ora sono spesso giorni.
La Mentalita "Funziona, Non Toccarlo"
Questo approccio non e irrazionale. Viene dall'esperienza. Gli aggiornamenti hanno rotto cose in passato. Ma ecco il paradosso:
- Aggiornare puo rompere cose. Questo causa dolore immediato e visibile.
- Non aggiornare alla fine rompe cose peggiori. Una vulnerabilita non patchata porta a una compromissione. Questo causa dolore ritardato e grave.
La differenza e la visibilita. Un sito rotto dopo un aggiornamento e immediatamente visibile. Il costo e di solito ore di interruzione e qualche centinaio di franchi. Una compromissione da vulnerabilita non patchata puo non essere visibile per mesi. Quando viene scoperta, il danno e esponenzialmente peggiore.
Perche le Agenzie Evitano gli Aggiornamenti
Nessun Contratto di Manutenzione
L'agenzia ha costruito il sito, lo ha consegnato, ha inviato la fattura finale e si e mossa al progetto successivo. Gli aggiornamenti non sono responsabilita di nessuno.
Paura di Rompere il Lavoro Personalizzato
Molte agenzie costruiscono siti con codice personalizzato che dipende da versioni specifiche del CMS. Aggiornare il CMS puo rompere il codice personalizzato.
Nessun Ambiente di Test
Lo sviluppo software professionale usa ambienti di staging. La maggior parte dei siti costruiti dalle agenzie non ne ha.
Mancanza di Consapevolezza sulla Sicurezza
Non tutte le agenzie comprendono le implicazioni di sicurezza del software obsoleto.
Timeline Reale: Dalla Divulgazione all'Exploit
| Giorno | Evento |
|---|---|
| Giorno 0 | Ricercatore scopre una vulnerabilita critica in un plugin WordPress popolare (200.000+ installazioni). |
| Giorno 1 | Ricercatore segnala al developer del plugin. |
| Giorno 7 | Rilascio versione patchata. CVE pubblicata. |
| Giorno 8 | Blog di sicurezza pubblicano dettagli. Codice proof-of-concept su GitHub. |
| Giorno 9 | WPScan aggiunge la vulnerabilita. Scanner automatici iniziano a verificare. |
| Giorno 10-14 | Sfruttamento di massa. Botnet scansionano ogni sito WordPress. |
| Giorno 30+ | Sfruttamento a lungo termine continua. La vulnerabilita e nell'arsenale di ogni scanner. |
Aggiornamenti Automatici vs. Manuali
Aggiornamenti Automatici
WordPress supporta aggiornamenti automatici per le minor release (patch di sicurezza). Il vantaggio e la velocita. Lo svantaggio e che possono rompere cose senza che nessuno testi il risultato. Per la maggior parte dei siti aziendali, gli aggiornamenti automatici delle minor release sono un default ragionevole.
Aggiornamenti Manuali con Staging
Per siti business-critical, l'approccio ideale e: mantenere un ambiente di staging, applicare gli aggiornamenti li prima, testare le funzionalita chiave, poi applicare in produzione.
L'Approccio Minimo Praticabile
- Abilitare aggiornamenti di sicurezza automatici per il core del CMS
- Fare un backup completo prima di ogni aggiornamento
- Aggiornare i plugin mensilmente
- Rimuovere i plugin non utilizzati
- Monitorare il sito dopo gli aggiornamenti
Il Costo Nascosto del Non Aggiornare
- Degradazione delle prestazioni: Le versioni nuove includono spesso miglioramenti delle prestazioni.
- I problemi di compatibilita si accumulano: Piu aspettate, piu grande sara il salto.
- Impatto SEO: Google considera la velocita della pagina nel suo algoritmo di ranking.
- Compatibilita browser: I browser moderni abbandonano il supporto per standard vecchi.
- Supporto hosting: I provider alla fine smettono di supportare le vecchie versioni PHP.
Cosa Dovreste Fare Ora
- Controllate le vostre versioni software. Quale CMS? Quale versione PHP? Quali plugin? Quando sono stati aggiornati l'ultima volta?
- Stabilite un contratto di manutenzione. Qualcuno deve essere responsabile degli aggiornamenti con un calendario regolare.
- Date priorita agli aggiornamenti di sicurezza. Le patch di sicurezza dovrebbero essere applicate entro 48 ore dal rilascio.
- Rimuovete quello che non usate. Ogni plugin, tema e pagina di test inutilizzato e peso morto con potenziali vulnerabilita.
- Configurate il monitoraggio. Google Search Console, monitoraggio uptime e monitoraggio integrita file.
- Fate un assessment di sicurezza. Se il sito non e stato aggiornato da oltre un anno, avete probabilmente vulnerabilita esistenti. Contattate il nostro team per un audit di sicurezza del sito web.
L'approccio "funziona, non toccarlo" funziona finche non funziona piu. E quando smette di funzionare, il costo e ordini di grandezza superiore a quello che sarebbe stata la manutenzione regolare.
Vuoi sapere se il tuo sito è sicuro?
Richiedi un audit di sicurezza gratuito. In 48 ore ricevi un report completo.
Richiedi Audit Gratuito