Manutenzione siti WordPress

Il Monitoraggio è un insieme di tecniche e di strumenti che ci consentono di rilevare subito eventuali errori o problemi di visibilità nel tuo sito. Vengono installate delle “sonde” che comunicano costantemente con i nostri sistemi e ci allertano in automatico dei possibili errori in tempi rapidissimi, con la garanzia di qualcuno che si prenda carico delle operazioni da eseguire al posto tuo.

Esistono diversi livelli di monitoraggio: si va dalla semplice verifica sul fatto che il sito sia Online e navigabile, fino al monitoraggio (e correzione) SEO dei rilevamenti da parte di Google.

La Manutenzione e il Monitoraggio sono un insieme di processi che richiedono tempo, strumenti e configurazioni per essere messi in atto.

Il Cliente che acquista il pacchetto, acquisisce tutta una serie di vantaggi tecnici e gestionali non indifferenti dalla messa in opera di una Manutenzione con Monitoraggio e questo lo pone al centro di un sistema di assistenza prioritario. Contestualmente Hardweb (che si occupa di avviare tutte le procedure) impiega tempo e risorse per avviare un servizio di questo tipo, pertanto un piano di manutenzione ha senso – economicamente e tecnicamente parlando – solo se si instaura un rapporto di collaborazione con una durata minima di 12 mesi.

Attivare la Manutenzione per un tempo più breve, nella maggior parte dei casi, non ci pone nella condizione di poter dare al cliente la corretta priorità e assistenza tecnica.

Se pensi di aver bisogno di un insieme di interventi di durata limitata ti consigliamo di contattarci per capire meglio le tue esigenze e valutare eventualmente uno o più interventi singoli di durata programmata, attraverso il servizio di Assistenza tecnica WordPress.

Il tempo di intervento e chiusura dei ticket di assistenza dipendono da quanto è complessa la richiesta del Cliente.

Generalmente se si tratta di modificare piccole sezioni o porzioni di un sito, il ticket viene evaso nell’arco delle 48/72h successive l’apertura del ticket, tranne nei casi di estrema urgenza in cui eccezionalmente potremmo intervenire anche nell’arco di poche ore.

Se invece vengono richieste molteplici modifiche in contemporanea, la difficoltà di intervento aumenta e di conseguenza anche i tempi per la loro risoluzione. Ad esempio se viene chiesto di creare nuove sezioni da zero, o di intervenire per risolvere problemi specifici, Hardweb dovrà avere il tempo di analizzare le migliori soluzioni, leggere eventuali log di errore, implementare e configurare i plugin o scrivere il codice necessario e in ultima fare i test. In questi casi quindi è davvero difficile fare una stima sulle tempistiche poiché la difficoltà di intervento non è più una somma di elementi, ma diventa una potenza di fattori, in special modo quando vi sono più componenti che devono combinarsi tra loro per ottenere il risultato voluto.

Un esempio concreto è quando si devono implementare 3 o 4 modifiche su un E-commerce, installando e/o configurando dei Plugin che devono integrarsi tra loro, come i metodi di pagamento e quelli di spedizione, dove ogni plugin installato aggiunge un livello di complessità più alto a causa dei problemi di compatibilità che potrebbero verificarsi tra le regole di comportamento stabilite dal Cliente e lo scopo per cui quei plugin sono realmente stati progettati. 

In sintesi lavorare a delle modifiche su un sito può essere estremamente semplice e veloce, ma cambiando anche una sola regola di comportamento del sito è possibile arrivare ad un livello di complessità esponenzialmente maggiore anche di 10 volte.

Immagina che un giorno vai a vedere il tuo sito web per fare delle modifiche e scopri che non si apre o non funziona bene, magari è molto lento a caricare le pagine o sono comparsi degli errori. La prima cosa che ti verrebbe in mente di fare è quella di contattare chi ti ha fatto il sito e chiedergli di darci un’occhiata.

Purtroppo però il “danno” a questo punto è in qualche modo già avvenuto.

La fase successiva quindi sarà quella di “quantificare il danno”, ponendosi delle domande chiave:

• Da quanto tempo il sito web è in quelle condizioni?
• Google se ne sarà accorto?
• Il sito è ancora ben posizionato oppure avrò perso indicizzazione a causa di questi problemi?
• Quanta visibilità e quanti clienti potrei aver perso nel frattempo?
• Il tecnico avrà tempo per sistemarlo subito e soprattutto quanto mi costerà?
• Come posso prevenire il verificarsi di queste situazioni in futuro?

La Manutenzione è obbligatoria per tutti quei siti web che fanno uso dei dati personali degli utenti, ossia un qualsiasi tipo di sito che registri dati personali nel proprio database. Il Titolare del sito web infatti è legalmente responsabile di come questi dati vengono gestiti e tenuti al sicuro.

Un esempio concreto sono gli E-commerce. 

Più sinteticamente possiamo dire che: SE dall’area amministrativa del tuo sito puoi accedere a uno o più dati personali degli utenti che hanno acquistato, o che si sono registrati, o che hanno compilato un Form (es. quando si usa il plugin “Flamingo” et similia) allora fai uso dei dati personali di quegli utenti e la manutenzione è obbligatoria, oltre naturalmente a tutto il corredo legale relativo alle Informative sulla Privacy, che per l’appunto informano l’utente sul numero e sul tipo di dati acquisiti (es.: nome, cognome, indirizzi ecc..), e sulle modalità in cui questi dati vengono trattati (finalità) e per quanto tempo, così come stabilito dalle vigenti normative sulla Privacy.

Come si evince da questa premessa, basta che sia presente anche un solo componente aggiuntivo sul sito per stravolgere completamente le modalità a cui il titolare dovrà attenersi per rispondere correttamente alle normative. Per questo motivo suggeriamo sempre una consulenza iniziale.

Ma perché la Manutenzione del sito web è obbligatoria?

Qui entriamo in uno scenario normativo complesso e che abbiamo cercato di riassumere in chiave di lettura semplificata, con l’aiuto di Cybersecurity360 (testata editoriale con approfondimenti, guide e casi studio sulla Cyber Security in Italia.)

L’articolo 32 del Regolamento 2016/679 (meglio conosciuto come GDPR) stabilisce che: “tenendo conto dello stato dell’arte e dei costi di attuazione, […], il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”.

Inoltre, il paragrafo 2 della norma opera un’importante specifica in proposito: “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati“.

Pertanto, dall’analisi dell’art. 32 del GDPR si evince l’obbligo per il titolare del sito web e il responsabile del trattamento (DPO), di predisporre adeguate misure tecniche allo scopo di ovviare ai rischi che possono presentarsi a causa di accessi illegali ai dati personali, proprio come avviene in caso degli attacchi hacker.

Non è casuale il riferimento allo “stato dell’arte” all’interno dell’articolo 32 del GDPR. Infatti, nel predisporre le tecniche organizzative adeguate per la tutela dei dati personali, i titolari e i responsabili del trattamento devono tenere debito conto dei progressi compiuti dalle tecnologie disponibili sul mercato. In altre parole NON si possono ignorare gli aggiornamenti di sicurezza disponibili per WordPress e i suoi componenti (Temi e Plugin), poiché ignorarli significa aumentare il rischio di subire attacchi esterni.

Importante considerare che tra le misure tecniche e organizzative adeguate rientra anche il principio di protezione dei dati personali fin dalla progettazione (privacy by design) di cui all’articolo 25 GDPR.

Ai sensi dell’art. 25 par. 1 del GDPR il principio di privacy by design si basa sulla predisposizione, da parte del titolare del trattamento di misure tecniche e organizzative adeguate a partire dalla fase di progettazione di un sito, un processo, prodotto o servizio, il quale implichi un trattamento di dati personali. In sintesi un piano di manutenzione dovrebbe essere attuato fin dalla costruzione del sito e non dopo mesi o anni.

Questo non significa necessariamente che si debba pagare un piano di manutenzione, ma che è necessario avere le competenze tecniche per capire quando e come vanno aggiornati i componenti del sito, operando una manutenzione regolare a tutti gli effetti, al fine di evitare possibili problemi di sicurezza che potrebbero intaccare la privacy dei dati trattati dal sito stesso, attuando così tutte le misure disponibili allo “stato dell’arte”.

Esempio pratico estratto da un caso realmente accaduto:

Se non si aggiornano i componenti del sito potrebbe succedere che questo subisca un attacco hacker e che i dati in esso contenuti vengano sottratti e divulgati nel dark-web, ossia il cosiddetto “data-breach”. Scoperto ciò il titolare ha l’obbligo per legge di informare il Garante per la privacy, fornendo tutti i dettagli del sinistro, e informare altresì i clienti interessati dal problema.

Ammettiamo di non volerlo fare per N motivi: Se per qualunque ragione quei dati sottratti venissero alla luce del sole (o fossero utilizzati per scopi fraudolenti) e si riesce a risalire al tuo sito come origine della divulgazione – contestualmente potrebbe essere chiamata in causa dal Garante una perizia sul tuo sito. Se si certifica che il tuo sito poteva essere aggiornato molto tempo fa e non è stato fatto – causando la falla che ha facilitato l’attacco haccker – si rischia seriamente di incorrere in diversi profili di responsabilità penale e civile per la non osservanza delle normative GDPR, con  sanzioni comminate dal Garante per cifre anche molto elevate. Tutto dipende dal numero dei dati sottratti e divulgati e dalla sensibilità degli stessi.

Viceversa se si dimostra che gli ultimi aggiornamenti disponibili erano comunque stati fatti, e che tutta la parte di sicurezza era stata attuata correttamente – anche avvalendosi di servizi esterni – si parla di incidente colposo (senza dolo) e solitamente il Titolare non incorre in alcun tipo di sanzione.

Per approfondire ulteriormente la questione in termini legali, vi suggeriamo di leggere questo articolo ufficiale di Cybersecurity360, che ha analizzato a fondo la questione sotto tutti i punti di vista, riportando anche un altro caso recentemente accaduto.

Il Servizio di Manutenzione e Monitoraggio (successivamente abbreviato come “Il Servizio”) è uno strumento proattivo di cui il cliente si avvale per ridurre un potenziale rischio nell’ambito della gestione e della sicurezza informatica di un sito web.

In caso di attacco hacker se si dimostra che gli ultimi aggiornamenti disponibili erano stati fatti, e che tutta la parte di sicurezza era stata attuata correttamente – anche grazie ad un piano di manutenzione – si parla di incidente colposo (senza dolo) e solitamente il Titolare non incorre in alcun tipo di sanzione.

Naturalmente nel campo informatico la sicurezza al 100% è quasi impossibile da raggiungere! Si possono attuare tutte le misure preventive per avvicinarsi il più possibile ad una sicurezza del 99,9% ma ci sarà sempre quello 0,1% di rischio legato alla natura imprevedibile e variabile dei fattori informatic, ovvero: il rischio non c’è finché non viene scoperto un bug da qualcuno.

Pertanto Hardweb in totale trasparenza con i propri Clienti ed in linea con i propri principi etici, specifica che:

Il Servizio garantisce di base (per qualunque piano) una serie di procedure e accorgimenti tecnici eseguiti in modo metodico, preciso e con cadenza regolare (tipicamente mensile o settimanale), le cui tempistiche possono essere anticipate o variare anche in relazione alla sopravvenuta scoperta di bug o falle di sicurezza nel sistema installato e che necessitano di interventi correttivi.

Il Servizio garantisce solo l’intervento tecnico sul sito web, portando il Cliente a ridurre il rischio generale e ad ottenere una consapevolezza più solida in relazione al “Security Assessment” aziendale, ma NON sostituisce in nessun caso una copertura assicurativa.

In ogni caso il Cliente che desidera una copertura totale anche dal punto di vista economico è tenuto a sottoscrivere un’assicurazione che copra eventuali danni causati da attacchi hacker, ransomware, data-breach et similia, che sia commisurata al rischio individuato (Risk Assesment).

Il Cliente (Titolare del trattamento) o chi per esso (DPO) è l’unico responsabile di eventuali data-breach ed è suo compito informare il Garante per la privacy ed i suoi utenti sulle modalità e sull’entità in cui il sinistro è avvenuto, anche avvalendosi della nostra consulenza per la produzione dei documenti tecnici.

Un sito web basato sul CMS WordPress è per definizione Open Source ed essendo per la maggior parte composto da codice sorgente prodotto e distribuito da terzi, può avere delle vulnerabilità di sicurezza – anche conosciute come vulnerabilità zero-day – più o meno note ma non risolte dal produttore, a causa delle quali il sito web (pur essendo totalmente aggiornato) potrebbe essere esposto a rischi , motivo per cui in nessun caso Hardweb potrà essere ritenuta responsabile.

Il Cliente che si avvale del servizio di Manutenzione e Monitoraggio esenta Hardweb da qualsiasi responsabilità di natura legale o economica, dovuta ad eventuali attacchi hacker subiti, in particolar modo per le vulnerabilità “zero-day” dovute a codice prodotto da terzi.

Il nostro servizio ha un tasso di soddisfazione superiore al 97%.
Significa che ogni 100 clienti solo 2 sono rimasti insoddisfatti del servizio di Manutenzione

In entrambi i casi il problema è nato per via delle tempistiche: il Cliente si aspettava tempi di intervento pressoché immediati per richieste che avevano tempi tecnici di evasione nettamente superiori. Noi ci permettiamo solo di dirvi fin da subito che se vi aspettate di poter decidere voi in quali tempi debba essere eseguito il lavoro degli altri, probabilmente dovete trovare un servizio che lo faccia (e non è il nostro).

Il web ha delle regole che vanno rispettate e ogni cosa richiede un suo tempo per essere fatta BENE!

Un conto è chiedere di cambiare dei prezzi su un listino in estrema urgenza, un altro è aspettarsi di vedere implementato un e-commerce in 3 giorni.

Tanto premesso: 

Hardweb offre un servizio tecnico e non un prodotto che può essere restituito, ma offriamo comunque a tutti i clienti la garanzia “soddisfatti o rimborsati” calcolando il rimborso in modo semplice, equo e trasparente:

Il cliente che decide di interrompere il servizio di manutenzione anticipatamente, non dovrà pagare alcuna penale e verrà rimborsato per la parte non utilizzata del servizio.

Esempio pratico per il calcolo del rimborso:

Un cliente decide di annullare anticipatamente un piano di manutenzione annuale di importo pari a 699 euro.

• La manutenzione è sempre stata eseguita correttamente.
• Nel corso della manutenzione il cliente ha richiesto 3 ticket di assistenza, correttamente evasi.

Hardweb conteggerà ogni ticket evaso, per un importo forfettario di € 100,00

Il cliente pertanto otterrà un rimborso parziale pari a:

699€ – (3 x 100€) = 399 €

A quei 399 € andranno sottratti i giorni di effettiva manutenzione e monitoraggio ottenuti dal servizio.

Quindi se il cliente ha usufruito (ad esempio) di soli 49 giorni di manutenzione, viene calcolato il valore giornaliero della manutenzione dividendo il totale per 365 giorni, ossia: 699 / 365 = 1,91 €

Moltiplichiamo quindi i giorni di effettiva manutenzione per il corrispettivo giornaliero:

49 giorni x 1,91 € = 93,59 €

Pertanto il rimborso finale sarà pari al rimborso parziale meno i giorni di effettiva manutenzione, ossia:

399,00 – 93,59 = 305,41 € (quota rimborso totale finale)

Spiegazione:

Questo meccanismo da un lato dovrebbe far capire al cliente quanto risparmia a livello pratico con una Manutenzione annuale, poiché un tecnico professionista che mette le mani su un sito prendendosene la responsabilità funzionale, fattura mediamente quella cifra per ogni intervento eseguito, altresì permette ad Hardweb di tutelarsi da chi (purtroppo è successo) intende approfittarsi di un servizio per un breve periodo ottenendo benefici tecnici ed economici enormi, per poi richiedere rimborsi insostenibili che rischiano di far chiudere un’attività seria e professionale come la nostra.

Per poter erogare correttamente tutti i servizi connessi alla Manutenzione e al monitoraggio, il cliente è tenuto a fornire un accesso alla propria piattaforma di hosting.

Questo non significa necessariamente fornirci “username e password” per farci accedere al vostro hosting, ma potrebbe non esserci un’alternativa (ad esempio se si sta su Aruba).

Generalmente le migliori piattaforme di Hosting consentono la modalità di “collaborazione”, dove il cliente può decidere di invitare una seconda utenza al fine di garantirgli l’accesso con determinati privilegi.

Alcune di queste piattaforme sono: Keliweb, vHosting, ServerPlan, Siteground, Register.

Se hai uno di questi hosting, o similare, è possibile creare un’utenza aggiuntiva (collaborazione) dalla propria area cliente, ed è sicuramente il metodo migliore in assoluto per dare un accesso a terzi, poiché permette al cliente di non dover mai fornire il proprio “username e password” e di poter decidere in qualsiasi momento chi ha accesso alla gestione del proprio Hosting.

La modalità di collaborazione quindi è spesso presente, ma non lo è ad esempio per Aruba e i servizi similari con il quale tale operazione non è possibile in alcun modo, costringendo il cliente a dover condividere con terzi le proprie credenziali.

Noi di Hardweb siamo convinti che la mancanza di questa caratteristica – in un servizio di Hosting – sia una cosa gravissima nel 2023, la quale genera problemi di sicurezza e gestionali enormi. Il nostro consiglio è sicuramente quello di migrare il più velocemente possibile da piattaforme simili, poiché generano ai tecnici perdite di tempo insostenibili.

Le operazioni di backup/ripristino/ottimizzazione infatti sono tutte operazioni che richiedono non solo gli accessi all’area admin di WordPress ma anche i dati del pannello di controllo (cPanel/Plesk/DirectAdmin) per poter svolgere operazioni di configurazione, aggiornamento e manutenzione, in tutti gli ambiti previsti: database, cache, webserver.

In ogni caso, il cliente è tenuto a fornire i dati di accesso all’hosting, viceversa Hardweb si riserva il diritto di rifiutare l’attivazione del servizio e di rimborsare il cliente con le stesse modalità stabilite al punto n.8.

Dopo aver ricevuto il pagamento e le relative credenziali per poter operare sul sito, verranno subito messe in atto tutte le misure di manutenzione tecnica, monitoraggio e sicurezza.

Spesso interveniamo sulle modifiche richieste entro poche ore o pochi giorni, in funzione della loro entità.

Tutte le altre operazioni quali ottimizzazione, aggiornamento e SEO, sono soggette ad analisi che richiedono tempo, pertanto possiamo dire che verranno eseguite nel tempo più breve possibile, generalmente tra i 10 e i 60 giorni dall’avvio del servizio e in relazione all’entità delle operazioni che saranno necessarie per portare a risultati concreti ed efficaci sul piano tecnico.