Quando si gestisce un progetto basato su WordPress è necessario tenere conto della continua evoluzione di questa applicazione, un CMS Open Source alla cui implementazione partecipa una nutrita community di sviluppatori costantemente alla ricerca di bug e vulnerabilità da correggere. Tale discorso diventa ancora più importante considerando il vasto ecosistema di estensioni e temi che fanno capo a WordPress e il fatto che si tratta della piattaforma più utilizzata al mondo per la creazione di siti Web e Web application.
Diventa quindi fondamentale il discorso relativo agli aggiornamenti che nel caso di un’istanza di WordPress riguardano in particolare tre aspetti:
- gli aggiornamenti dell’ambiente di produzione e quindi del Web server, della versione di PHP utilizzata, del Database engine MySQL e di tutte le applicazioni e librerie che contribuisco a migliorare affidabilità e performance di un progetto;
- gli aggiornamenti a livello core, cioè quelli a carico della codebase di WordPress e installabili in base al ciclo di rilascio delle nuove minor e major release del CMS;
- gli aggiornamenti di plugin e temi che nel caso di progetti particolarmente articolati possono essere anche molto frequenti.
In tutti i casi elencati una strategia improntata all’installazione puntuale degli aggiornamenti disponibili si traduce in maggiore sicurezza e nella massimizzazione delle prestazioni.
Gli aggiornamenti automatici di WordPress
Dato il rapido avvicendarsi di aggiornamenti che caratterizza WordPress, il gran numero di siti Web che si basano su di esso e la conseguente attenzione degli utenti malintenzionati nei confronti del progetto, gli sviluppatori del CMS hanno introdotto il supporto per gli aggiornamenti in background alle minor release a partire dalla versione 3.7, questo significa che nel caso in cui lo desiderano gli utenti non hanno la necessità di istallarle manualmente, cosa che è necessaria invece per le major release.
Questa differenziazione non è casuale in quanto gli aggiornamenti sono sì fondamentali per un'istallazione sicura e performante, ma quando vengono effettuati apportano delle modifiche alla codebase dell’applicazione ed è possibile che queste ultime producano delle incompatibilità con il tema attivo, con i plugin installati o con alcune caratteristiche dell’ambiente di sviluppo. Tale rischio aumenta nel caso in cui l’aggiornamento determina il passaggio a una major release che, a differenza delle minor in genere sviluppate per l'applicazione di patch, introducono nuove funzionalità a livello di core.
Dal punto di vista di uno sviluppatore il sistema degli aggiornamenti in background di WordPress può essere gestito editando il file di configurazione del CMS, wp-config.php, e agendo sulla costante AUTOMATIC_UPDATER_DISABLED che se settata su true consente addirittura di disabilitare definitivamente tutti gli aggiornamenti automatici:
define( 'AUTOMATIC_UPDATER_DISABLED', true );Un’impostazione di questo genere è però giustificabile soltanto nel caso in cui si vogliano installare manualmente tutti gli aggiornamenti e a patto che si abbia il tempo e le competenze per farlo. E' però possibile optare per una soluzione più flessibile basata sulla costante WP_AUTO_UPDATE_CORE che generalmente viene settata su true in fase di sviluppo, mentre in quella di deployment consente i soli aggiornamenti alle minor release.
# Disabilita gli aggiornamenti automatici del core
define( 'WP_AUTO_UPDATE_CORE', false );
# Abilita gli aggiornamenti automatici del core sia per le minor che per le major release
define( 'WP_AUTO_UPDATE_CORE', true );
# Abilita gli aggiornamenti automatici del core per le minor release
define( 'WP_AUTO_UPDATE_CORE', 'minor' );Discorso simile può essere effettuato anche per plugin e temi i cui aggiornamenti automatici sono attivabili o meno tramite i filtri auto_update_plugin e auto_update_theme configurabili, ad esempio, in questo modo:
# Abilita gli aggiornamenti automatici dei plugin
add_filter( 'auto_update_plugin', '__return_true' );
# Abilita gli aggiornamenti automatici dei temi
add_filter( 'auto_update_theme', '__return_true' );A tal proposito è bene ricordare che per evitare incompatibilità con alcune applicazioni come WP-CLI le chiamate ad add_filter() non dovrebbero essere effettuate direttamente dal file wp-config.php, è infatti preferibile l’impiego di mu-plugins (must use plugins) che sono estensioni non elencate nell’apposita area della dashboard e hanno il compito di attivare comportamenti specifici all’avvio di WordPress.
Aggiornamenti di WordPress in un hosting gestito
Nonostante la possibilità di automatizzare almeno parzialmente gli aggiornamenti, la loro installazione rappresenta un compito impegnativo e non privo di incognite. Se poi la propria aspirazione è quella di dedicarsi ad altri aspetti della attività svolta online più legati al business, o il numero di siti Web basati su WordPress da gestire è molto elevato, allora la necessità di operare e monitorare gli aggiornamenti può tradursi in un dispendio elevato in termini di tempo e risorse.
Stando così le cose una soluzione basata sull’hosting gestito potrebbe rivelarsi ottimale. A tal proposito è possibile riprendere l’esempio dell’Hosting WordPress Gestito di Aruba che tra le sue funzionalità più utili offre gli aggiornamenti automatici di WordPress, dei plugin e dei temi.
A livello tecnico il servizio prevede delle procedure automatiche che verificano periodicamente la disponibilità di nuovi aggiornamenti per il core del CMS, le estensioni consigliate e i temi installati. E’ comunque utile precisare che il sistema monitora unicamente i plugin e temi gratuiti che sono stati pubblicati nelle directory ufficiali dell'applicazione, mentre l'aggiornamento delle estensioni e dei temi a pagamento è un’operazione a carico dell'utente. Ciò accede però anche quando si utilizzano i filtri auto_update_plugin e auto_update_theme.
L'utente riceverà un messaggio di posta elettronica nel caso in cui dovessero essere disponibili degli aggiornamenti per uno dei propri siti Web, o per più di un sito, e il processo di aggiornamento verrà avviato non prima che siano passate 24 ore dall’invio di questo messaggio. Ciò significa che se per caso sono stati programmati degli interventi rilevanti a carico del sito, gli aggiornamenti potranno essere bloccati e non verranno applicati almeno per le 48 ore successive.
Una volta superata una delle scadenze previste il sistema procederà autonomamente effettuando un backup del sito Web, istallando gli aggiornamenti e verificando che questi non abbiano dato luogo a incompatibilità o malfunzionamenti. Se dovessero essere riscontrate delle problematiche la copia di sicurezza precedentemente creata permetterà di effettuare un ripristino completo e di riportare la situazione alle normalità.
L’Hosting WordPress Gestito prevede che la versione installata del CMS sia sempre l’ultima messa a disposizione dagli sviluppatori del progetto. Nello stesso modo le estensioni e i temi istallati dovranno essere compatibili con tale release di WordPress. A questo proposito è stata creata una whitelist di plugin che non danno soltanto garanzia di compatibilità ma sono anche sicuri, regolarmente aggiornati dai loro autori, ampiamente collaudati, ottimizzati dal punto di vista dell’impiego di risorse e non creati al solo scopo di replicare funzionalità che WordPress mette a disposizione nativamente. Le estensioni che non rispettano tali criteri sono presenti invece in una blacklist e ne è vietata l’installazione.
La selezione accurata dei temi e dei plugin più adatti ad un progetto basato su WordPress è a sua volta un’operazione fondamentale, per questo motivo nel corso della guida verranno proposte delle lezioni appositamente dedicate a tali argomenti.