Una delle battaglie più antiche che combatto in Retorica è contro l’utilizzo indiscriminato di plugin e codice in generale trovati online. In particolare per quello che riguarda il mondo WordPress, online si trova veramente qualunque cosa. Tutte le casistiche sono state trattate almeno una volta, e qualcuno prima di noi ha creato un comodo plugin installabile in pochi minuti. Quello che però sfugge immediatamente al nostro controllo è cosa questo codice, che viene incorporato nel nostro sito, faccia realmente.
Oltre a gravi problemi di sicurezza si può andare incontro a gravi problemi di performance oltre che gravi o gravissime problematiche relative alla privacy dei nostri visitatori / clienti.
Il caso di studio
Prendiamo Rallyssimo come caso di studio. Il portale che parla di rally è partito per gioco qualche anno fa ed inizialmente veniva usato da noi di Retorica proprio per sperimentare soluzioni tecniche. Rapidamente è però diventato troppo grosso per compiere esperimenti. Ad oggi il sito raccoglie milioni di visite all’anno con picchi di 20000 persone al giorno.
Ovviamente per quanto ci sia un server virtuale dedicato dietro, quando ci si trova a fronteggiare picchi di 300/400 persone contemporaneamente su un articolo il problema relativo alle performance si fa sentire.
In quei momenti basta un plugin poco affidabile, poco efficiente o che semplicemente svolge un task un po’ troppo pesante ed il sito andrà irrimediabilmente offline.
Il problema e la sua esplosione
Durante le sue prime fasi di vita, come è normale che sia, Rallyssimo aveva pochissime visite e pochissimi articoli. Entrambe queste cose sono cresciute tanto nel tempo. Ciò che generava la criticità che analizzeremo era un plugin per la link building interna automatica.
Quando Alex decise di installarlo ricordo di averlo messo in guardia a seguito di alcuni pareri letti online. Il plugin in questione era pure non mantenuto, insomma non prometteva bene. Tuttavia i pochi articoli e le poche visite lasciavano il problema latente e difficile da individuare.
Mano a mano che il sito si riempiva però le performance degradavano fino al completo collasso! A quel punto erano passati 2 anni dall’installazione del plugin ed individuare la problematica ha richiesto la disattivazione graduale di tutti i plugin installati.
Il Rally di Montecarlo 2018 vs 2019
Vediamo concretamente come il codice poco ottimizzato del plugin fosse un vero e proprio freno per il progetto Rallyssimo. Lo facciamo prendendo come benchmark il Rally di Montecarlo. Confronteremo le visite del 2018 quando il plugin era ancora installato con quelle del 2019 quando il plugin era stato rimosso. Niente altro di rilevante è stato fatto sul sito, in particolare non è stata modificata l’infrastruttura server che c’è dietro.
In blue ovviamente il 2019 ed in arancione il 2018. Interessante vedere come praticamente tutte le statistiche sono raddoppiate!
Il risultato? Nel 2018 il sito è crashato più volte ed ha limitato l’afflusso di gente. Diciamo che l’hardware che c’è dietro era arrivato a saturazione. Nel 2019 non solo non siamo arrivati a saturazione ma le visite sono RADDOPPIATE!
Anche i tempi di caricamento delle pagine hanno giovato della rimozione del plugin.
E i tempi di risposta medi delle pagine sono calati in maniera sensibile. Insomma, stesse risorse lato server, un plugin in meno ed improvvisamente i limiti visti nel 2018 sono spariti. Tanto che con qualche ottimizzazione il sito potrà gestire almeno quattro volte più persone di quelle che ha dovuto fare questo gennaio!
Problematiche a cui si può andare incontro
Vediamo rapidamente quali sono le 3 tipologie di problematiche a cui si può andare incontro se si installano plugin senza la dovuta ricerca ed analisi.
Problemi di sicurezza
I plugin sono una delle principali fonti di vulnerabilità dei CMS come WordPress. Il motivo è che non c’è un reale controllo su come vengono sviluppati, né ci sono particolari vincoli sul mantenimento del codice. Spesso ci si trova ad avere a che fare con plugin vecchi e non aggiornati da anni. Questo è una fonte inesauribile di vulnerabilità ed una possibile causa di problematiche tecniche, come l’impossibilità di aggiornare il proprio sito o il proprio server.
Problemi di performance
Il codice di un plugin potrebbe essere eseguito durante il caricamento di tutte le pagine del nostro sito, e spesso è proprio così. Basta quindi una query non ottimizzata o una chiamata remota non asincrona per generare dei rallentamenti pazzeschi. A questo punto se i plugin usati sono pochi sarà facile individuare le cause delle scarse prestazioni del nostro sito web. Il compito potrebbe però diventare piuttosto arduo nel momento in cui il progetto dovesse raggiungere una certa complessità.
Ovviamente uno sviluppatore esperto può individuare e risolvere il problema, ma un utente normale che ha installato un innocente plugin dallo store ufficiale di WordPress potrebbe non sapere dove sbattere la testa.
Problemi di privacy
I problemi relativi alla privacy sono per certi versi i più subdoli. Questo perché spesso i plugin sono responsabili dei cookie salvati nei browser dei visitatori. Questa cosa ha acquistato importanza negli ultimi anni con la normativa sui cookie prima e il GDPR poi.
Ovviamente anche qui uno sviluppatore saprà come individuare deve e perché vengono salvati i cookie, cosa che potrebbe non essere così immediata per un utente comune.
Come affrontare questi problemi?
La cosa migliore è moderare o eliminare l’uso di codice sconosciuto. Se proprio non se ne può fare a meno, è bene leggere online review e parerei su quello che si sta per installare. Probabilmente se ci sono problematiche grosse qualcuno le avrà già segnalate.
Se poi siete appassionati di sicurezza e vi interessa approfondire l’argomento, vi consiglio di iscrivervi alla newsletter di portali come Wordfence (sempre rimanendo in ambito WordPress). Oltre ad aver sviluppato un plugin estremamente valido (questo si lo potete installare a cuor leggero), gli esperti di Wordfence attraverso il loro blog, pubblicano periodicamente articoli a tema sicurezza e segnalano le vulnerabilità scoperte in plugin e temi.
Il consiglio migliore è quindi quello di accendere il cervello prima di mettere mano al proprio sito, anche in questo caso, come spesso succede in informatica il problema principale per sicurezza, performance e privacy sta stra la sedia e la tastiera!