wordpress Archivi - Bonaventura Di Bello

Una piattaforma di attacchi informatici per infettare i siti WordPress

Non c’è pace per chi si occupa di gestire la sicurezza dei siti WordPress, e gli attacchi si fanno sempre più serrati e frequenti, mettendo a dura prova sia gli sviluppatori, costretti a continui aggiornamenti e revisioni, sia i webmaster e tutti coloro che gestiscono i siti, ma anche le aziende che hanno creato plugin dedicati proprio alla sicurezza di WordPress, come Wordfence. Proprio quest’ultima ha appena pubblicato un articolo dove si parla di una nuova piattaforma utilizzata dai pirati informatici per tentare di penetrare nei siti WordPress e infettarli con codice malevolo o altro. Ho chiesto l’autorizzazione al sito ufficiale per tradurre e mettere a disposizione di tutti gli utenti italiani di WordPress che non conoscono abbastanza l’inglese per consultare l’articolo originale, trovate di seguito il testo, il cui originale è intitolato “An Attack Platform Infecting WordPress Sites” e contiene anche un video dimostrativo dove sono appunto mostrati alcuni esempi di attacco informatico a WordPress.

Una piattaforma di attacco per infettare i siti WordPress

Il team di Wordfence si ritrova spesso a indagare sui siti dei clienti che sono stati infettati con l’obiettivo di aumentare l’impegno nella ricerca e sviluppo e offrire un servizio sempre migliore attraverso il sistema di scansione principale utilizzato. Dall’esame dei siti ‘bucati’ si ottengono dei dati sulle modalità che hanno permesso ai pirati informatici di accedere al sito e permette al team di ottenere informazioni aggiornate sui nuovi strumenti di attacco. Nello stesso tempo, queste indagini permettono a Wordfence di aggiungere nuovi codici di riconoscimento al sistema di scansione e consentire così di migliorare ulteriormente il riconoscimento e l’intercettazione di nuovi attacchi.

Nel corso di una recente indagine su un’infezione di ampia portata il team ha individuato un insieme di strumenti di attacco riconducibili allo stesso script ‘meta’. Si tratta di uno script di appena due righe di codice ma in grado di permettere al pirata informatico un attacco molto potente. Una volta installato, questo script mette a sua disposizione ciò che il team di Wordfence ha definito come una vera e propria ‘piattaforma di attacco intregrata’.

Lo script è stato ‘decodificato’ attraverso un’operazione di ‘reverse engineering’ e si è scoperto che scaricava il resto del codice necessario da pastebin.com, un sito in cui chiunque può pubblicare anonimamente del testo. L’autore dello script aveva infatti pubblicato su pastebin.com il codice sorgente, che veniva appunto scaricato ed eseguito dalle due righe di codice inziali. Ciò permetteva, appunto, di avviare un’infezione di larga portata semplicemente con due righe di codice.

Una volta installata, la piattaforma di attacco metteva a disposizione del pirata informatico ben 43 strumenti scaricabili sempre da pastebin con un solo click. Fra le funzionalità messe a disposizione da questi trumenti abbiamo trovato:

Una shell di attacco completa che permette di gestire il filesystem, accedere al database attraverso un client SQL ben progettato, vedere le informazioni di sistema, creare un’infezione globale nel sistema, avviare attacchi DoS verso altri sistemi, individuare e infettare altri CMS, vedere e gestire gli account degli utenti sia sui CMS sia sul sistema operativo locale e molto altro.
Uno strumento di atacco a forza bruta via FTP.
Uno script di attacco a forza bruta per WordPress.
Strumenti per la scansione dei file di configurazione o di informazioni sensibili.
Strumenti per scaricare l’intero sito o parti di esso.
La capacità di effettuare scansioni alla ricerca di altre shell di attacco.
Strumenti destinati a specifici CMS e in grado di cambiarne la configurazione per ospitare del codice malevolo.

Nell’infezione su cui è stata svolta l’indagine la fonte pare fosse riconducibile a un gruppo di pirati informatici vietnamiti e a un membro del gruppo in particolare.

Per dare un’idea più precisa delle funzionalità offerte da questa piattaforma è stato realizzato un video dimostrativo dove una macchina virtuale di test viene infettata con il meta script composto da due righe di codice e quest’ultimo viene utilizzato per scaricare gli strumenti sopra descritti.

E’ importante sottolineare che la diostrazione è stata condotta in una macchina virtuale nuova e appena creata in cui sono stati inseriti alcuni strumenti di prevenzione di Wordfence atti a evitare ulteriori infezioni e attacchi. Fra questi ultimi, un sistema che forzava il traffico di rete in modo che potesse passare solo attraverso un proxy particolare per monitorare i dati in entrate e in uscita dalla macchina virtuale.

NOTA: il video è disponibile nella pagina dell’articolo originale.

Come si può notare dal video, i pirati informatici hanno in questo caso sviluppato sistemi di attacco altamente evoluti e strumenti in grado di compromettere e ‘bucare’ il sito. La priorità di chi possiede o gestisce un sito WordPress è, quindi, quello di prevenire l’accesso al sito da parte dei pirati informatici. Il Centro Didattico sulla Sicurezza di Wordfence è un buon punto di partenza per apprendere le basi necessarie a difendere il proprio sito. Il consiglio del team è anche quello di passare alla versione Premium di Wordfence se non è stato già fatto. In questo modo sarà possibile pianificare scansioni di controllo frequenti per la sicurezza del sito, aumentando così le possibilità di intercettare e bloccare in tempo eventuali attacchi.

Speriamo che il video dimostrativo e le informazioni fornite nell’articolo siano utili a un numero sempre maggiore di utenti di WordPress e vi invitiamo a condividere queste informazioni per il beneficio di tutti.

PER APPROFONDIRE: Articolo/tutorial sull’uso di Wordfence su WPAZ

FONTE: “An Attack Platform Infecting WordPress Sites” (con autorizzazione alla traduzione da parte degli autori, che ringrazio di cuore)

Hogan outlet online: siti infettati e siti truffa

Una premessa…

Dalla prima pubblicazione di questo articolo sono stati numerosi i commenti di persone truffate o comunque imbattutesi soprattutto nei siti pseudo-Hogan. Non si tratta nella stragrande maggioranza dei casi di semplici imitazioni delle famose scarpe, ma di vere e proprie truffe dove l’acquirente non solo perde i soldi dell’acquisto non ricevendo nulla, ma rischia addirittura di vedersi prosciugare la carta di credito.

Il consiglio, quindi, è di scorrere prima di tutto i commenti che trovate a fine articolo, verificando che il sito da voi individuato non sia già fra quelli menzionati (gli indirizzi vengono riscritti come nomesito_com per evitare link veri e propri da questa pagina), ed evitando quindi il sito o i siti se sono fra quelli già segnalati. Inoltre, se avete dei dubbi utilizzate appunto i commenti per chiedere informazioni riguardo al sito stesso, sarò ben felice di darvi il mio parere.

Infine, riguardo alle possibilità di denuncia alle autorità di questo genere di truffe purtroppo più che segnalare il sito alla Polizia Postale non si può fare, ma trattandosi di siti che in genere sono collocati all’estero, intestati a persone fittizie e spesso destinati a sparire nel nulla dopo un periodo di attività truffaldina, non c’è molto da sperare in quanto a risultato di eventuali denunce. Da parte mia proverò più che altro a fornire alle autorità anti-abuso che gestiscono i domini/indirizzi dei siti Web queste attività, sperando che possano almeno ‘censurarle’ al più presto.

“outlet hogan online”, una ricerca piena di… sorprese

In questo articolo voglio darvi un’idea di come agiscono i pirati informatici quando infettano dei siti (alcuni realizzati con WordPress, ma non necessariamente) per utilizzarli come ‘zombie’ affinché facciano da collegamento ad altri siti su cui si perpetrano delle vere e proprie truffe. La truffa, in questo caso, riguarda le scarpe Hogan, che dai siti linkati risultano essere contraffatte e in alcuni casi associate a transazioni su carta di credito non proprio corrette. Ma partiamo dall’inizio, per spiegarvi come mi sono accorto di questo fenomeno e come si è sviluppata la mia indagine che ha portato alla sorprendente scoperta.

Dall’agriturismo alle ‘nike air max pa cher’

ricerche con keyword 'nike air max pas cher' in Google Search Console — Ecco la frase ‘nike air max pas cher’ fra le ricerche di ottobre 2015 per il sito di agriturismo

Durante le mie analisi e ricerche SEO periodiche mi sono reso conto che nella mia ‘search console’ di Google avevo ancora i dati di un sito di agriturismo di un mio vecchio cliente che ha poi deciso di affidarsi a un ‘amico’ per gestire il suo sito, scelta che quasi inevitabilmente porta a dei risultati deludenti se non addirittura catastrofici. Ovviamente sarà mia cura non menzionare il nome del sito, né altri dati che possano ricondurre ad esso, ma proverò intanto ad avvisare l’ex cliente della cosa affinché possa almeno prendere provvedimenti visto che, al momento di scrivere, il sito non risulta ancora bannato da Google anche se, come vedremo, è stato già identificato come ‘infetto’ da Sucuri e inserito fra i siti di ‘spam’ da altri servizi di monitoraggio e sicurezza.

Ho intuito l’infezione da ‘scarpe di marca’ quando, fra le keyword di ricerca di Google Search Console, ho visto una serie di frasi come ‘nike air max pas cher’ seguite da altre parole che non c’entravano nulla con tale ricerca ma che riconducevano ad altre keyword presenti nei contenuti del sito (vedi immagine).

In questi casi, la prima cosa da fare è dare un’occhiata al codice sorgente delle pagine del sito, usando la solita opzione ‘Visualizza sorgente pagina’ del browser, in genere disponibile sia cliccando col tasto destro su una pagina qualsiasi del sito, sia usando l’apposito comando dal menu. Ovviamente nel codice della pagina ho subito individuato una serie di link e di parole chiave nascosti, preceduti dal comando:

<div style="position:absolute;filter:alpha(opacity=0);opacity:0.001;z-index:10;display:none">

che ovviamente serviva a renderli invisibili al visitatore ma non ai motori di ricerca, una pratica che come saprà chi si tiene informato sulla SEO è ormai fortemente deprecata da Google e comporta anche delle penalizzazioni, in quanto fa parte del famigerato ‘black hat SEO’. I link riguardavano tutta una serie di siti che, guarda caso, avevano un ottimo pagerank (3 o anche 4), ed erano quindi stati scelti per creare a loro volta dei link in uscita che passassero questo pagerank alla ‘destinazione’, in questo caso al circuito che porta ai siti di vendita delle scarpe Hogan contraffatte. I siti sfruttati per il loro pagerank erano ovviamente di vario tipo e non c’entravano nulla né con il sito dell’agriturismo né con le scarpe Hogan, per esempio si trattava di siti che offrivano servizi per il taglio degli alberi (statenislandtreeremoval.com) oppure siti di istituzioni scolastiche (antwerp.uibs.org), scelti appunto solo per sfruttare subdolamente il loro pagerank e posizionarsi.

Dalle scarpe Nike alle scarpe Hogan il passo è breve

Fra i link ai siti appena menzionati ho anche notato delle URL di siti italiani, cui era stata affiancata la frase chiave ‘outlet hogan online’, il che mi ha spinto a verificare cosa contenessero a loro volta quei siti. Uno di questi era affittolocationmilano.com, che ovviamente aveva un pagerank pari a tre, quindi ottimo candidato per questo genere di nefandezze SEO. Controllando il sito con Sucuri Sitecheck ho visto che non risultava ancora né infettato né blacklistato (almeno al momento in cui ho fatto la verifica), quindi l’infezione doveva essere recente o comunque il meccanismo utilizzato era ben congegnato.

Non soddisfatto, ho voluto verificare se il sito presentasse un qualche segno di cattiva gestione della sicurezza o addirittura una traccia di vulnerabilità, quindi l’ho esaminato con WhatWPThemeIsThat per sapere quale era il tema utilizzato, ed è risultato che si trattava del tema Nevada di United Themes, alla versione 1.6.3 che, andando a controllare sullo storico degli aggiornamenti nella scheda ufficiale su ThemeForest, risultava invece già arrivato alla versione 1.8.1 e con una serie di aggiornamenti al plugin Slider Revolution che il tema appunto integra. Questo plugin, come sa chi si tiene aggiornato sulle vulnerabilità di WordPress, era salito alla ribalta lo scorso dicembre per una seria vulnerabilità che ha compromesso moltissimi siti. Non avevo bisogno di altro per capire che il webmaster cui è stato affidato il sito non si curava affatto della sicurezza, e che i pirati informatici di cui sopra avevano fatto presto a individuarne le vulnerabilità e sfruttarle per i loro scopi, in questo caso per creare link ai siti che vendono scarpe Hogan contraffatte. Da tutto ciò si evince come a volte non sia sufficiente un controllo al volo su servizi come Sucuri Sitecheck per capire se un sito è stato già compromesso, ed è invece molto più importante agire preventivamente per scongiurare tale evenienza con aggiornamenti e backup periodici e con misure di sicurezza appropriate.

Hogan outlet online e i siti ‘zombie’

A questo punto sono sato assalito da un atroce sospetto, e ho provato a cercare ‘hogan outlet online’ su Google, il che ha fugato ogni dubbio quando mi sono visto comparire, già nei risultati della prima pagina, una serie di siti che chiaramente non avevano a che fare con le scarpe Hogan ed eventuali outlet online che le commercializzassero.

Tutti i siti avevano, nei metadati del titolo, frasi come “Scarpe Hogan Outlet“, “Scarpe Hogan Sito Ufficiale Online” oppure “2015 Hogan Outlet Scarpe Hogan“, mentre nella descrizione SEO comparivano frasi come “Hogan Outlet 2015,Hogan Outlet Online, Hogan scarpe hogan outlet online Sito ufficiale, Hogan Italia, promozioni annuali, Sconto” e via dicendo.

Una ricerca con gli strumenti per le parole chiave di AdWords ha rivelato subito che le keyword outlet hogan online erano utilizzate dagli utenti con molta frequenza (vedi foto), e si prestavano quindi a un’ottimizzazione efficace in questo contesto. In geneale le statistiche di Google mostravano che le keyword associate alle scarpe Hogan erano utilizzate molto di frequente, con una particolare preferenza per ‘hogan outlet’ e ‘hogan online’.

Finti outlet Hogan ‘parassiti’

Cliccando sui risultati si finiva inevitabilmente per essere dirottati su una serie di siti allestiti per apparire in tutto e per tutto come dei regolari negozi online di scarpe Hogan, come hogan.outletnegozio.com oppure hgoutlet2015.it, ma che analizzati si rivelavano privi di qualsiasi riferimento commerciale o fiscale, quindi chiaramente sviluppati per attirare ignari fan delle scarpe Hogan e vendergli (nella migliore delle ipotesi) delle calzature contraffatte o addirittura perpetrare qualche truffa nella transazione con carta di credito.

Ulteriori indagini con lo strumento WHOIS e con la Wayback Machine sui domini di alcuni dei siti visualizzati nei risultati della ricerca hanno poi rivelato che molti erano scduti ed erano in seguito stati acquistati e registrati da fantomatici utenti, tutti residenti in varie località francesi. Molto probabilmente si trattava dello stesso individuo (o gruppo) che aveva acquistato domini con pagerank alto alla loro scadenza per poterli poi utilizzare come strumenti di ‘dirottament0’ verso i siti outlet Hogan ‘finti’.

Conclusioni: sicurezza di WordPress e scarpe Hogan

A questo punto non resta che tirare le dovute conclusioni, ovvero che la sicurezza del proprio sito è un fattore cruciale per il suo corretto posizionamento e per la sua incolumità e sopravvivenza in generale, che si tratti di WordPress o di qualsiasi altro sistema di sviluppo, e che le scarpe Hogan conviene comprarle da una fonte affidabile e trasparente, come Amazon per esempio.

Da parte mia non posso darvi consigli su quale modello di scarpe Hogan scegliere, ma di sicuro posso guidarvi nella messa in sicurezza o nell’eventuale ripristino di un sito già infettato, oppure nell’ottimizzazione SEO corretta ed efficace del vostro sito o blog. In tal caso vi basterà scrivermi attraverso il modulo dei contatti di questo blog o del mio sito ufficiale per avere informazioni su come prenotare una sessione Skype guidata nella quale vi darò tutte le indicazioni e i consigli di cui avete bisogno.

Il sito Web e l’automobile

Molte delle persone e delle aziende che commissionano un sito non si rendono conto di quanto lavoro ci sia anche DOPO lo sviluppo del sito stesso, meravigliandosi di fronte alla richiesta, da parte di chi ha fornito il sito, di un canone annuo di gestione oltre che di rinnovo.

Per non essere costretti a utilizzare terminologie troppo complesse e tecnicismi non immediatamente comprensibili a chi non è del settore (ovvero la maggior parte dei clienti), si può ricorrere a quella che ho definito ‘la metafora dell’automobile’, grazie alla quale si riesce a rendere più perfettamente un’idea di quanto lavoro sia implicito nell’esistenza stessa di un sito Web.

Quando si acquista un’automobile, si è già consapevoli che ogni anno dovrà essere versata una quota corrispondente al bollo, legata alla cilindrata/potenza del veicolo. Per un sito Web, questa equivale al rinnovo del nome di dominio e dell’hosting (lo spazio dove è ospitato il sito e i servizi annessi, come la posta elettronica o il database), diversa per ogni sito essendo quest’ultimo appunto legato a specifiche prestazioni che ne determinano il prezzo. Il rinnovo del nome di dominio e dei servizi di hosting va eseguito entro la naturale scadenza, e se si commissiona tale compito a un’agenzia di servizi sarà necessario pagare il tempo che quest’ultima investe nell’operazione, in quanto ci evita di farlo personalmente.

Chi acquista un’automobile, inoltre, sa bene che questa richiederà una certa manutenzione perché si possa viaggiare senza l’ansia di ritrovarsi da un momento all’altro in panne durante i viaggi, o addirittura essere coinvolti in un incidente (per es. dovuto allo stato di alcuni elementi come pneumatici, fari, elementi del cambio, ecc.). Le operazioni di manutenzione sono in parte svolti dal proprietario dell’auto, in parte delegati, dietro compenso, a personale qualificato che può andare dagli inservienti delle stazioni di servizio a veri e propri meccanici, elettrauto e gommisti. In alcuni casi è necessario un ‘aggiornamento’ dei componenti, come nel caso di gomme/pneumatici, oppure di elementi relativi all’impianto elettrico (per es. un faro). Anche un sito Web ha bisogno di manutenzione, soprattutto oggi con l’utilizzo dei CMS e dei relativi componenti che ne estendono le funzionalità, che richiedono un aggiornamento frequente perché sia mantenuta la stabilità dell’intero sito. Come per l’auto, anche per il sito la manutenzione ha un costo in quanto eseguita da personale specializzato, a meno che il titolare del sito non ritenga di avere le competenze giuste e si attrezzi per eseguire tali operazioni in piena autonomia.

Inoltre, chi acquista un’automobile è sicuramente molto attento all’aspetto della sicurezza, quindi ricorre a un’assicurazione che copre gli incidenti ma anche i furti e altri atti criminosi a danno del veicolo. L’assenza di una polizza assicurativa si traduce, oltre che in pesanti sanzioni o addirittura il sequestro del veicolo, anche nell’assumersi l’intero carico di spesa qualora il veicolo risulti danneggiato o rubato. Un sito Web può essere allo stesso modo danneggiato o addirittura distrutto, e in certi casi ‘rubato’ quando l’attacco da parte dei pirati informatici ha l’obiettivo di utilizzare il sito per dirottare i visitatori verso altri siti Web spesso di dubbia natura (gioco d’azzardo, porno, terrorismo). Questi attacchi sono all’ordine del giorno e i tentativi di penetrare nel codice del sito hanno una frequenza altissima, avvengono infatti più volte al giorno. Senza un’adeguata operazione di ‘backup’ (creazione periodica di copie esterne del sito) e di una ‘blindatura’ che permetta di prevenire e scongiurare gli attacchi di cui sopra, si rischia di vedere gli effetti disastrosi degli attacchi andati a buon fine, che possono andare dalla ‘schedatura’ del sito come malevolo da parte dei motori di ricerca, che in tal caso ne ‘oscurano’ la visibilità e lo rendono inaccessibile al pubblico visualizzando un avviso di pericolo, alla sua cancellazione dai risultati delle ricerche (disastrosa per qualsiasi attività online) fino al danneggiamento del sito stesso in certi casi irreversibile se non si dispone di una copia di sicurezza valida.

Ricapitolando, i costi PERIODICI che il titolare (non utilizzo il termine ‘proprietario’ per ovvi motivi illustrati a fine articolo) di un sito Web deve sostenere dopo lo sviluppo del sito, sono tre:

operazioni e canoni di rinnovo del nome di dominio e dei servizi di hosting
manutenzione periodica di aggiornamento della piattaforma su cui il sito è basato e dei suoi componenti
messa in sicurezza e prevenzione dei danni causati da malfunzionamenti dell’hosting e dagli attacchi dei ciber-criminali (pirati informatici)

Tali costi variano, come abbiamo visto, a seconda del servizio di hosting e registrazione dominio cui è basato il sito e a seconda del fornitore dei servizi di manutenzione e sicurezza. Ad essi vanno aggiunti i costi degli interventi di aggiornamento dei contenuti (immagini, listini, ecc.) che sono da preventivare di volta in volta a seconda delle necessità del cliente e della disponibilità di chi fornisce tale servizio.

Se il sito non è gestito come ‘servizio’ ma è stato fornito al cliente nella sua interezza come ‘prodotto’, quest’ultimo dovrà sentirsi libero di affidare ad altri fornitori i servizi appena descritti, oppure di gestirli in autonomia, svincolando in tal caso totalmente il precedente fornitore e gestore del sito e assumendosi, naturalmente, di conseguenza tutte le responsabilità derivanti da una gestione autonoma o dall’affidamento ad altri della stessa.

Naturalmente le problematiche e gli aspetti legati alla fornitura e gestione di un sito variano da un caso all’altro, e offrono innumerevoli spunti di discussione e riflessione, pertanto siete invitati a commentare ed esprimere il vostro parere o raccontare le vostre esperienze.

Temi WordPress gratis o professionali?

Temi WordPress gratuiti oppure a pagamento?

Chiunque abbia scelto di utilizzare WordPress sa benissimo che il sito ufficiale permette di scaricare centinaia di temi gratuiti, la maggior parte dei quali è tuttavia troppo legata alla classica struttura ‘a 2 colonne’ stile blog che nei vecchi temi WordPress era uno standard. Si comincia a vedere per fortuna qualche tema WordPress gratuito più allineato con gli standard dei siti Web professionali, ovvero con una home page strutturata in modo da poter mettere in evidenza alcuni contenuti e organizzare gli altri con una impaginazione grafica (layout) più professionale e aderente agli standard attuali.

Nell’area dedicata ai temi WordPress sul sito ufficiale si può trovare, quindi, anche qualche tema dall’aspetto abbastanza professionale, e voglio a tale proposito suggerire qualche trucco per individuare più velocemente questo genere di temi.

Cominciate prima di tutto con quelli nell’elenco dei temi WordPress gratuiti più gettonati (Most Popular), e una volta superati quelli ‘di serie’ (il cui nome comincia con “Twenty-“) individuate fra i successivi quelli che hanno una struttura simile ai temi professionali, generalmente composta da un elemento grafico più grande in alto seguito da una serie di elementi in riquadri o colonne subito dopo, come quello che vedete qui sotto.

Cliccando sul nome del tema accederete alla sua ‘scheda’ e al di sotto vedrete una serie di etichette (tag) associate, fra le quali ‘theme options‘ e ‘featured image‘, che indicano rispettivamente la possibilità di configurare la struttura e l’aspetto del tema attraverso un pannello di opzioni e quella di visualizzare i contenuti nella home page e negli elenchi di articoli associando a ogni contenuto una immagine specifica (immagine in evidenza, appunto ‘featured image‘ in inglese) sotto forma di miniatura. In genere i temi WordPress gratuiti dotati dell’una o dell’altra o di entrambe queste caratteristiche sono piuttosto simili ai temi WordPress professionali a pagamento.

Un’altra caratteristica ‘professionale’ da ricercare nei temi WordPress gratuiti è la loro capacità di adattarsi ai display dei dispositivi mobili (smartphone e tablet), che viene identificata con l’aggettivo ‘responsive‘: usando questa parola chiave nel campo di ricerca presente sulla home page dei temi WordPress gratuiti sul sito ufficiale otterrete quindi un elenco di temi recenti e sicuramente molto più professionali della maggior parte dei temi gratuiti presenti sul sito.

Nella vostra scelta tenete ovviamente sempre conto del voto che il tema si è guadagnato, o meglio del tipo di voti e del numero di voti alti rispetto a quelli bassi. I commenti associati ai voti sono altrettanto utili, ma ovviamente sono in inglese quindi non sarà facile per chi non conosce bene la lingua riuscire a capire i motivi per cui i vari utenti hanno dato un voto positivo o negativo al singolo tema.

Temi WordPress professionali, perché e quando sceglierli

Se il vostro obiettivo è il sitarello personale o quello per la scuola, oppure un qualsiasi altro sito da realizzare gratis per qualcuno, è naturale che non abbiate alcuna intenzione di investire neanche un euro per l’acquisto di un tema WordPress professionale e vi orienterete quindi verso i temi WordPress gratuiti. La scelta di un tema gratuito, tuttavia, può comportare dei problemi nel tempo e farvi pentire della decisione, per esempio quando nuove versioni di WordPress o dei plugin utilizzati sul sito risulteranno incompatibili col tema e quest’ultimo non viene più aggiornato.

Un altro problema potrebbe sorgere con la necessità di apportare delle modifiche strutturali o di stile al tema scelto: quando si sceglie un tema professionale in genere gli sviluppatori offrono l’assistenza e sono propensi a fornire informazioni e consigli di vario tipo, almeno fino a quanto le modifiche desiderate non richiedano un lavoro di personalizzazione vero e proprio (nel qual caso c’è ovviamente da pagare il relativo servizio). Gli autori dei temi WordPress gratuiti, non ricevendo alcun profitto dal loro utilizzo, sono tutt’altro che propensi a fornire assistenza e a volte addirittura ad aggiornare il tema stesso, aspetto quest’ultimo che come abbiamo visto può rivelarsi cruciale nel tempo. Infine, di sicuro fra i temi WordPress gratuiti non troverete modelli come quello dell’immagine qui a sinistra, dedicato per esempio ai siti con tema specifico (in questo caso matrimoniale, il tema in questione è The Wedding Day ed è uno fra i tanti disponibili su Theme Forest).

Volendo riassumere brevemente le situazioni in cui è opportuno impiegare un tema WordPress professionale a pagamento invece che uno dei tanti temi gratuiti, potremmo dire che quelli a pagamento sono consigliabili quando:

ricevete un compenso per il sito da realizzare (anche modesto, ma che copra abbondamentemente il prezzo del tema stesso)
dovrete occuparvi del sito anche in seguito, per manutenzione, aggiornamenti o modifiche o comunque perché vi assumete la responsabilità del suo funzionamento in quanto creatori del sito
il sito sarà visto da un pubblico abbastanza numeroso e decidete di inserire un link o altro riferimento a voi che l’avete sviluppato oppure intendente menzionarlo in qualche occasione da cui potrebbe derivarne altro ‘lavoro’ di questo tipo, preferibilmente retribuito
chi vi chiedere di realizzare il sito è un vostro superiore (per es. l’azienda pubblica o privata presso cui svolgete un lavoro regolare di altro tipo), di conseguenza rientrano nell’ipotesi anche i punti 1 e 2
il sito richiede un tema particolarmente ‘dedicato’ in quanto deve riflettere un argomento particolare (vedi immagine di esempio precedente)

Il costo di un tema WordPress professionale può essere anche molto ridotto, come vedremo fra poco, quindi non esitate a scegliere uno di questi temi se dovrete utilizzarlo in una delle situazioni sopra elencate.

Quanto costano i temi WordPress professionali?

In questo articolo, per ‘temi WordPress professionali‘ intendiamo quelli che hanno comunque un costo e non rientrano quindi fra i temi WordPress gratuiti, sebbene come abbiamo visto fra questi ultimi sia presente anche qualche esempio che è sicuramente classificabile come ‘professionale’.

Molti di voi sicuramente suppongono che un tema WordPress professionale debba necessariamente avere un costo tale da diventare poco conveniente nel caso in cui il compenso per la realizzazione del sito sia modesto, ma per fortuna non è così: il costo di un tema WordPress commerciale può partire da pochi euro e raggiunge, nella maggior parte dei casi, una cifra inferiore ai 50 euro.

La differenza di prezzo dei temi WordPress commerciali è data dalla modalità di acquisto adottata: se si scegliere di acquistare un tema singolo, per esempio da un sito come Theme Forest, il costo del tema può raggiungere facilmente i 50 dollari o superarli (come si può notare dai prezzi dei ‘temi più popolari’ elencati nell’immagine qui sopra), ed è quindi una scelta che può essere preferibile solo quando il tema in questione è particolarmente adatto al progetto Web che si intende sviluppare. Personalmente, però, mi è capitato di investire cifre simili e ritrovarmi poi con tema i cui sviluppatori hanno smesso di fare aggiornamenti e sono addirittura spariti da Theme Forest, lasciandomi senza assistenza e appunto senza possibilità di aggiornare il tema.

Scegliendo invece la formula dell’abbonamento annuale a un sito che propone temi diversi e sempre più numerosi, come Elegant Themes o CSS Igniter, con una spesa ANNUALE tutto sommato ‘ridicola’ (69 dollari l’anno, nella versione base) ci si porta a casa decine di temi WordPress professionali utilizzabili in progetti di vario tipo e godendo nel contempo dell’assistenza e della sicurezza di aggiornamento che questo genere di siti può offrire. Spesso mi sono visto fare delle domande importanti riguardo agli eventuali o presunti limiti di questi ‘abbonamenti’, per cui voglio subito dissolvere ogni dubbio precisando che un abbonamento annuale a questi siti, per quanto contraddistinto da un prezzo basso, permette in ogni caso di:

scaricare tutti i temi WordPress disponibili e i loro aggiornamenti nel corso dell’anno in cui si è registrati, anche più volte
utilizzare ognuno dei temi scaricati anche su più siti
continuare a utilizzare i temi scaricati anche dopo che l’abbonamento è scaduto e si decide di non rinnovarlo (perdendo però in questo caso l’assistenza e gli aggiornamenti)

Detto ciò, non mi resta che parlarvi del mio sito di temi preferito e spiegarvi come mai l’ho scelto per la maggior parte dei miei progetti Web e incluso anche negli esempi pratici descritti all’interno del mio libro “Webmaster con WordPress“.

10 buoni motivi per scegliere i temi WordPress di Elegant Themes

Nel mio libro e nell’omonimo blog Webmaster con WordPress ho già avuto modo di menzionare i temi WordPress professionali di Elegant Themes fra quelli che offrono il migliore rapporto fra prezzo e qualità, ma non ho ancora spiegato perché a tutt’oggi rappresenta la formula ‘abbonamento’ da me preferita. Eccovi quindi una serie di motivi per cui preferisco i temi WordPress di Elegant Themes rispetto ad altri, motivi che ovviamente rappresentano anche una guida alla scelta di abbonamenti a temi WordPress come questo nel caso vogliate orientarvi fra le offerte attualmente disponibili sul mercato:

ampia scelta di temi WordPress (al momento 86) e aggiunta frequente di nuovi
forum di assistenza ricco di informazioni ed efficiente
aggiornamenti costanti dei temi
possibilità di scaricare anche plugin ed elementi grafici compresi nel prezzo
tre diverse formule di abbonamento, fra cui quella ‘developer‘ (per scaricare anche i template Phostoshop dei temi WordPress) e ‘lifetime access‘ per usufruire a vita del servizio e dei temi senza quindi alcuna necessità di rinnovo mensile
compatibilità dei temi con il plugin per siti multi-lingua WPML
caratteristica ‘responsive’ dei temi WordPress più recenti e graduale aggiornamento per i precedenti
possibilità di tradurre in italiano sia la parte pubblica (front-end) sia quella di amministrazione del tema usando i file standard di lingua
disponibilità di temi ‘specializzati’ per progetti specifici (vedi elenco qui in basso)
presenza di ‘shortcode’ per la creazione di impaginazioni particolari o l’inserimento di elementi grafici speciali nei contenuti
possibilità di utilizzare dei ‘template’ per creare pagine particolari (gallerie, portfolio, pagina dei contatti, ecc.)
pannelo di configurazione comune a tutti i temi, seppur con variazioni relative alle caratteristiche specifiche di ogni tema, e dotato di possibilità di personalizzazione tramite semplici codici CSS

Se l’elenco di vantaggi di cui sopra non dovesse bastarvi, aggiunto un piccolo elenco di esempi dei temi WordPress ‘specializzati’ presenti fra quelli di Elegant Themes, che possono permettervi di sviluppare dei siti per progetti particolari che vanno dall’attivià specifica del cliente (immobiliare, ristorazione, band musicale, ecc.) alla creazione di veri e propri portali o ‘applicazioni’ (siti di annunci, FAQ, sito-CV, web magazine, ecc.)

Alcuni esempi di temi WordPress specializzati di Elegant Themes

temi WordPress per ecommerce su Elegant Themes — eStore, uno dei temi di e-commerce su Elegant Themes

uno dei temi WordPress stile Web magazine di Elegant Themes — TheStyle è uno dei temi stile Web Magazine

tema WordPress "Notebook" di Elegant Themes — Notebook è un tema stile ‘Tumblr’ per contenuti anche multimediali

Eplorable è uno dei temi specializzati di Elegant Themes — Explorable permette di creare portali o siti a tema basati su mappe geografiche

uno dei temi WordPress specializzati di Elegant Themes, Elist — eList permette di creare portali di annunci

… e altri temi WordPress nella categoria ‘App’ di Elegant Themes che vi invito a esplorare. A questo punto non mi resta che invitarvi a commentare, con domande, osservazioni e altro!