Il Web ha un problema di software obsoleto

Qualcuno potrebbe dire che niente dura per sempre sul web. E quel cambiamento forse è l'unica costante. I siti Web preferiti vanno e vengono, così come gli strumenti e le tecnologie. Certo, c'è del vero in queste affermazioni, ma è anche più complicato.

Vedi, le cose in realtà non vanno via tanto quanto svaniscono sullo sfondo. Il sito Web che era pieno di traffico potrebbe trasformarsi in una città fantasma. Ed è altrettanto probabile che anche la tecnologia alla base di quel sito sia lì a raccogliere polvere.

Ma non sono solo quei siti vecchi e incustoditi ad avere problemi. Ci sono anche situazioni in cui un sito Web mission-critical si basa su software obsoleto. Potrebbe trattarsi di qualsiasi cosa, da un plugin WordPress abbandonato a una versione non supportata di PHP.

È tutt'altro che una situazione ideale. E molti potenziali problemi possono derivare dal rimanere con questi vecchi standbys. Tuttavia, è anche la realtà del web moderno. Non appena la nuova tecnologia arriva per catturare i riflettori, il vecchio continua a trascinarsi nell'ombra.

Il problema è complesso, così come le possibili soluzioni. È persino possibile liberare la rete da questi dinosauri?

Perché i siti Web continuano a utilizzare il codice legacy?

Quando immagini un sito Web che utilizza un codice legacy, cosa ti viene in mente? Forse è un blog che non vede nuovi contenuti da qualche anno. O una comunità online defunta. Potresti anche pensare a un sito aziendale dormiente.

Il filo conduttore di questi esempi è che sono probabilmente siti Web piccoli e poco costosi (forse gratuiti). Entità congelate nel tempo.

Si consideri ora un sito aziendale di grandi dimensioni fortemente personalizzato. Forse include funzionalità su misura che consentono ai clienti di pagare le bollette. Potrebbe esserci un plug-in WordPress personalizzato che facilita un flusso di lavoro specifico per i membri del team.

La produzione di funzionalità personalizzate è costosa e richiede molto tempo. E in alcuni casi può essere fragile. Potrebbe basarsi su un metodo o una funzionalità che non è supportata nelle versioni più recenti del software dipendente. Ad esempio, un'applicazione creata per PHP 5 potrebbe non funzionare più in PHP 8.

E sebbene uno sviluppatore (o un suo team) possa eseguire il refactoring del codice, non è sempre facile o rientra in un determinato budget. Proprio come le vecchie storie di utenti aziendali che hanno mantenuto Internet Explorer 6 molto tempo dopo, il codice legacy può sopravvivere per anni.

La linea di fondo è che il software obsoleto rimane molto in uso attivo. Questo è vero sia all'estremità alta che a quella bassa della scala.

Due ottimi esempi: PHP e WordPress

Le statistiche sull'utilizzo cambiano regolarmente e senza dubbio cambieranno dopo la pubblicazione di questo articolo. Ma due tendenze, in particolare, sono ottimi esempi di software obsoleto in azione: PHP e WordPress.

PHP 5 e 7 sono ancora disponibili

Al momento della stesura di questo documento, l'ultima versione di PHP è la 8.1. È stato rilasciato a novembre 2021 e gli aggiornamenti di sicurezza dovrebbero terminare a novembre 2024. La versione 8.0 è stata rilasciata a novembre 2020 (gli aggiornamenti di sicurezza terminano a novembre 2023). La versione 7.4 è stata distribuita nel mondo a novembre 2019 (gli aggiornamenti di sicurezza terminano a novembre 2022).

Pertanto, le versioni 8 e successive sono con noi da diversi anni. Tuttavia, secondo le statistiche sull'utilizzo di PHP di W3Techs, poco più del 6% dei siti intervistati esegue PHP 8 o 8.1. Nel frattempo, il 70% utilizza PHP 7 e quasi il 23% utilizza ancora PHP 5 (che ha terminato il supporto nel 2018).

La transizione tra le principali versioni di PHP tende ad essere lenta. Ciò è probabilmente dovuto in parte ai cambiamenti nella compatibilità. WordPress e il suo ecosistema, ad esempio, hanno percorso una lunga strada verso il pieno supporto di PHP 8.

Inoltre, gli host web non hanno tradizionalmente spinto troppo i clienti ad aggiornare (ne parleremo tra poco). Allo stesso tempo, i proprietari di siti web vanno dall'ignoranza di PHP al non essere eccessivamente preoccupati per l'aggiornamento.

In breve: c'è stato poco senso di urgenza. Oppure, non abbastanza per invertire la tendenza e ottenere più siti Web utilizzando l'ultima versione.

Statistiche sulla versione PHP di W3Techs, a partire da novembre 2022

WordPress 4 e 5 in diretta

Mentre andiamo in stampa (gioco di parole), WordPress 6.1 è stato rilasciato. È l'ultima versione del più popolare sistema di gestione dei contenuti (CMS) conosciuto dall'umanità.

E secondo le statistiche sull'utilizzo di WordPress di W3Tech, quasi il 60% dei siti intervistati utilizza la versione 6 o successiva. È significativamente più alto dei tassi di utilizzo per PHP 8. Tuttavia, probabilmente non è troppo sorprendente.

In confronto, l'aggiornamento di WordPress è più semplice e può anche essere automatizzato. I proprietari dei siti ei responsabili della manutenzione non devono necessariamente alzare un dito per aggiornare. Anche i provider di hosting gestito possono occuparsene. E WordPress è noto per apprezzare la compatibilità con le versioni precedenti, quindi ci sono meno possibilità che si verifichi un problema importante.

Ma le versioni obsolete sono ancora appese lì dentro. La versione 5 alimenta il 34% delle installazioni, mentre oltre il 6% delle installazioni si aggrappa alla versione 4.

Se c'è una buona notizia, è che il core di WordPress continua a rilasciare aggiornamenti di sicurezza per diverse versioni precedenti del software. Tuttavia, questi siti perdono nuove funzionalità e miglioramenti delle prestazioni. Per non parlare dei possibili problemi di compatibilità di temi e plugin. Oh, ed è improbabile che funzionino con l'ultima versione di PHP.

Vale anche la pena notare che queste statistiche non tengono conto dei siti Web che eseguono plug-in e temi obsoleti o abbandonati. Potrebbe essere una galassia completamente diversa che vale la pena esplorare, ma altrettanto rilevante. È qui che ha origine la maggior parte dei problemi di sicurezza relativi a WordPress.

Statistiche sulla versione di WordPress da W3Techs, a partire da novembre 2022

Perché questa è una preoccupazione

Il termine "software obsoleto" può evocare ogni sorta di visioni da incubo. Mi viene in mente una persona che fa acquisti online con una versione senza patch di Windows XP. Potrebbe funzionare, ma ci sono molti rischi nel continuare a usarlo.

La sicurezza è di primaria importanza. È ovvio che l'utilizzo di una versione di PHP che non riceve più aggiornamenti di sicurezza sia un rischio. Gli attacchi che potrebbero essere facilmente bloccati con versioni più recenti potrebbero danneggiare una configurazione legacy.

Ma lo è anche l'utilizzo di una vecchia libreria JavaScript o di un'utilità del server con un difetto di sicurezza aperto. Le dipendenze di tutti i tipi possono essere pericolose, dopo tutto. La recente vulnerabilità Log4j è solo uno dei tanti promemoria.

Poi ci sono problemi di efficienza e prestazioni. Un software obsoleto privo di questi miglioramenti può avere un impatto negativo sull'esperienza dell'utente, sulla SEO e sul consumo energetico.

E più il software è obsoleto, più difficile (e costoso) potrebbe essere aggiornarsi in futuro. Ogni versione successiva può aggiungere ostacoli al processo.

Alcuni host Web stanno forzando il problema

Gli host Web hanno un ruolo da svolgere nell'aiutare i propri clienti a implementare un nuovo software. E alcuni stanno diventando più aggressivi in ​​questi sforzi.

PHP è stato un obiettivo primario. Alcuni host consentiranno ai clienti di continuare a eseguire una versione non supportata, ma hanno iniziato ad addebitare un costo aggiuntivo. Questo potrebbe essere il risultato di maggiori costi di supporto per i clienti che utilizzano software obsoleto. Per lo meno, è un modo per convincere gli utenti ad aggiornare.

Tuttavia, altri hanno assunto una posizione più dura. Informeranno i clienti che utilizzano una versione PHP obsoleta e forniranno loro una data di aggiornamento programmata. Da lì, il sito viene aggiornato indipendentemente dal fatto che sia stato testato o corretto per la nuova versione.

Resta da vedere quanto saranno efficaci queste misure. Ma ripulire il software obsoleto è un'impresa enorme. Quindi, qualcuno deve far rotolare la palla. Gli host sono ben posizionati per farlo.

Fuori con il Vecchio?

A più di 30 anni, il web ha ospitato una quantità incalcolabile di software. Considera tutte le app, grandi e piccole, che sono state scaricate e installate sui server nel tempo. Non c'è da meravigliarsi se alcuni sono stati lasciati sul posto ben oltre la data di scadenza.

A volte questo codice legacy rimane per necessità: altre applicazioni dipendono da esso. Ma potrebbe anche accadere semplicemente perché il proprietario di un sito non è a conoscenza della situazione. Nessuno potrebbe essersi avvicinato a loro per un aggiornamento.

In entrambi i casi, le risorse sono ciò che serve per aumentare gli sforzi di modernizzazione. A livello aziendale, ciò significa tempo e denaro dedicati per mantenere le cose in evoluzione con le versioni più recenti.

Sui gradini più bassi della scala, l'istruzione è un fattore chiave. Gli host Web stanno iniziando a rendersi conto dell'importanza di tenere informati i clienti. E i web designer dovrebbero fare lo stesso.

Inizia facendo sapere ai clienti dove si trovano, i pericoli dell'utilizzo di software obsoleto e i vantaggi dell'aggiornamento. Da lì, possono prendere decisioni informate.

No, un singolo sito aggiornato non cambierà il mondo. Ma ognuno è un piccolo passo verso un Web più sicuro che può sfruttare le ultime tecnologie.