Pluggies SVG

Carica file SVG nella Libreria Media in sicurezza, con sanitizzazione automatica.

A cosa serve

Pluggies SVG ti permette di caricare file in formato SVG (immagini vettoriali, come loghi e icone) direttamente nella Libreria Media di WordPress. Normalmente WordPress blocca gli SVG perché possono contenere codice potenzialmente pericoloso: questo plugin li abilita e, allo stesso tempo, ripulisce automaticamente ogni file al momento del caricamento, rimuovendo le parti rischiose.

In pratica ottieni il meglio dei due mondi: usi le tue immagini vettoriali ovunque sul sito (sono leggere e restano nitide a qualsiasi dimensione) senza esporti ai rischi di sicurezza tipici dei file SVG.

Requisiti

Per funzionare correttamente il plugin richiede:

  • WordPress versione 6.4 o successiva;
  • PHP versione 8.0 o successiva.

Se non sei sicuro delle versioni in uso sul tuo sito, le trovi nella bacheca di WordPress alla pagina Strumenti → Salute del sito → Informazioni. In caso di dubbi, chiedi al tuo hosting.

Installazione e attivazione

Pluggies SVG è un plugin gratuito. Una volta installato e attivato dalla pagina Plugin della tua bacheca, è subito operativo: non serve inserire alcuna licenza né configurare nulla per iniziare.

Il plugin riceve aggiornamenti automatici dallo store Pluggies: quando viene rilasciata una nuova versione, la vedrai comparire come aggiornamento disponibile nella tua bacheca, esattamente come per gli altri plugin di WordPress.

Come si usa

Appena attivato, il plugin consente di caricare SVG. Per impostazione predefinita questa possibilità è riservata al solo ruolo Amministratore: puoi modificarla dalle impostazioni.

Dove sono le impostazioni

Nella bacheca di WordPress apri il menu Pluggies e scegli la voce dedicata a SVG (la pagina si intitola Pluggies SVG — Impostazioni).

Scegliere chi può caricare gli SVG

Nella pagina delle impostazioni trovi l’elenco dei ruoli del tuo sito (Amministratore, Editore, Autore e così via), ciascuno con una casella di spunta. Per abilitare un ruolo al caricamento di file SVG:

  1. spunta la casella accanto al ruolo desiderato (puoi selezionarne anche più di uno);
  2. fai clic su Salva le modifiche.

Tieni presente una condizione importante: oltre a essere indicato qui, il ruolo deve anche avere di suo il permesso di caricare file nella Libreria Media. In WordPress questo significa ruolo Autore o superiore. Spuntare un ruolo che non può caricare file (ad esempio il Sottoscrittore) non avrà effetto pratico.

Caricare un SVG dalla Libreria Media

Una volta abilitato il tuo ruolo, carichi un SVG esattamente come qualsiasi altra immagine:

  1. vai su Media → Aggiungi nuovo file (oppure usa il pulsante Carica file mentre modifichi una pagina o un articolo);
  2. trascina il file .svg o selezionalo dal tuo computer;
  3. attendi il termine del caricamento: il file viene ripulito automaticamente in questa fase.

Dopo il caricamento l’SVG compare nella Libreria Media con la sua anteprima e può essere usato come una normale immagine, ad esempio anche come logo del sito.

La sanitizzazione automatica (cosa viene rimosso e perché)

Ogni SVG che carichi viene analizzato e «ripulito» prima di essere salvato. Un file SVG è in realtà un documento di testo che può nascondere istruzioni eseguibili: lasciarle passare significherebbe esporre il sito ad attacchi (ad esempio l’esecuzione di codice indesiderato nel browser di chi visita le pagine). Per questo il plugin rimuove in automatico le parti pericolose, mantenendo intatto il disegno. Nello specifico vengono eliminati:

  • gli script e i contenuti eseguibili incorporati (ad esempio i blocchi <script>);
  • i contenuti che caricano altro materiale dall’esterno, come <iframe>, <object>, <embed>, <foreignObject> e i tag audio/video;
  • i «gestori di eventi» (gli attributi che iniziano con on, come onload o onclick);
  • i collegamenti che cercano di eseguire codice, ad esempio quelli che usano javascript:;
  • le dichiarazioni iniziali che potrebbero essere sfruttate per attacchi avanzati (DOCTYPE ed entità esterne).

Tutto questo avviene da solo, senza che tu debba fare nulla. Nella stragrande maggioranza dei casi i loghi e le icone non contengono codice di questo tipo, quindi non noterai alcuna differenza visiva nell’immagine.

Domande frequenti

È sicuro caricare SVG con questo plugin?

Sì. Il plugin è pensato proprio per rendere sicuro l’uso degli SVG: ogni file viene ripulito automaticamente al caricamento, rimuovendo le parti potenzialmente pericolose. In più, la possibilità di caricare SVG è limitata ai soli ruoli che decidi tu (per impostazione predefinita il solo Amministratore), così riduci ulteriormente i rischi. Come buona pratica, carica comunque file SVG provenienti da fonti affidabili.

Perché un SVG viene rifiutato durante il caricamento?

Il caricamento può essere annullato in alcuni casi: il file è vuoto; non è in realtà un SVG valido; oppure, dopo la pulizia automatica, non risulta più un’immagine SVG riconoscibile (in genere perché conteneva quasi solo codice non sicuro). In questi casi WordPress mostra un messaggio di errore e il file non viene salvato. La soluzione è ricreare o riesportare l’SVG da un programma di grafica affidabile e riprovare.

Chi può caricare i file SVG?

Solo gli utenti il cui ruolo hai abilitato nelle impostazioni del plugin. Di base è consentito al solo Amministratore. Ricorda che, oltre a essere selezionato nelle impostazioni, il ruolo deve avere anche il normale permesso di caricare file in WordPress, cioè essere Autore o superiore. Chi non è autorizzato, se prova a caricare un SVG, riceve un messaggio che lo informa di non avere i permessi necessari.

Ho caricato l’SVG ma l’anteprima non si vede

Il plugin è già predisposto per mostrare l’anteprima degli SVG nella Libreria Media e per gestirne le dimensioni. Se non vedi l’immagine, prova prima a ricaricare la pagina svuotando la cache del browser. Verifica poi che l’SVG abbia dimensioni definite al suo interno (l’attributo viewBox oppure width e height): un file privo di queste informazioni può risultare invisibile o di dimensione nulla. Infine, se usi un plugin di cache o una CDN, prova a svuotarne la cache.

Devo configurare qualcosa subito dopo l’attivazione?

No. Subito dopo l’attivazione il caricamento degli SVG è già attivo per l’Amministratore e ogni file viene ripulito automaticamente. Apri le impostazioni solo se vuoi estendere il permesso ad altri ruoli.

Pluggies SVG Vuoi installarlo o acquistare una licenza?
Vai alla scheda del plugin