Il bello degli SSG - 2: la scordabilità

In un post di molto tempo fa avevo parlato dei vantaggi che i siti web generati staticamente offrono rispetto ai CMS, come il pur ottimo Drupal. In fondo al titolo avevo messo un numero 1, come per dire che il discorso non era finito, che ci sarebbe stata una seconda parte…

Oggi ho ricevuto questo avviso dalla mailing list che annuncia gli aggiornamenti di sicurezza di Drupal:

There will be a security release of 8.5.x and 8.6.x on February 20th 2019 between 1PM to 5PM America/New York (1800 to 2200 UTC). The risk on this is currently rated at 20/25 (Highly critical)

Not all configurations are affected. Reserve time on February 20 during the release window to determine whether your sites are affected and in need of an immediate update. Mitigation information will be included in the advisory.

Che cosa significa? Be’, in sostanza succede che domani sera fra le sette e le undici (per chi vive in Europa) tutti gli amministratori di siti Drupal dovranno stare in campana in attesa dell’uscita di un aggiornamento di sicurezza, verificare se è richiesto per i loro siti, e se è il caso, applicarlo.

Se amministrassi siti Drupal per lavoro anzichè per hobby, mi toccherebbe fare gli straordinari! Ma aspettare il mattino potrebbe costare caro: esistono gruppi di malintenzionati che nel momento in cui viene rilasciato un aggiornamento iniziano subito ad analizzarlo, scoprono il “buco” che l’aggiornamento permette di chiudere, e in poche ore hanno pronta una soluzione che attacca “a nastro” tutti i siti basati su Drupal (ma accade lo stesso con tutti i CMS più diffusi) e tenta di assumere il controllo di tutti quelli che nel frattempo non sono stati aggiornati.

Un bell’incubo eh? Ma questa è solo la ciliegina sulla torta: il software su cui qualsiasi CMS si basa è in continua evoluzione, ogni tanto gli aggiornamenti bisogna farli. Anche se i problemi di sicurezza non esistessero, prima o poi sarai costretto a cambiare server (magari senza attendere che si guasti…), e sul nuovo server troverai una nuova distribuzione Linux che ti obbligherà ad usare una nuova versione di Apache, che ti obbligherà ad usare una nuova versione di PHP, che ti obbligherà ad usare una nuova versione di Drupal, che potrebbe obbligarti a fare delle modifiche anche al tuo sito, anche solo per consentirgli di funzionare come prima!

Insomma, c’è lavoro da fare, e non si scappa. Per un sito utilizzato attivamente e costantemente aggiornato ha senso farlo, altrimenti si rischia di dover aggiornare il software più di frequente dei contenuti! Se, per esempio, il sito appartiene a un’associazione che organizza spettacoli solo nel mese di agosto, oppure a un gruppo musicale che si è sciolto, ma che ha una storia e una produzione che meritano di essere conosciute… ne vale ancora la pena?

Ecco quindi un altro vantaggio dei siti web statici: la tecnica per pubblicarli è la stessa da più di vent’anni. Una volta che il sito è ultimato, te ne puoi anche dimenticare. Continuerà a funzionare come sempre, e nessuno potrà modificarne i contenuti a tua insaputa.

Potrei dilungarmi oltre su questo argomento, ma ultimamente, mentre mi interessavo ad un nuovo SSG, Nikola, ho trovato che l’argomento “vantaggi dei siti web statici” e stato trattato molto bene (per quanto solo in inglese) all’inizio del manuale, che pertanto invito a consultare:

https://getnikola.com/handbook.html#why-static