L'ottimizzazione delle prestazioni si occupa della “velocità”, ma il vero punto di partenza per i siti web è rappresentato da due cose:

  • fideiussioneCercate di non mettervi nei guai (non fatevi hackerare, non fatevi impiccare, non fatevi bloccare, non fatevi fregare le interfacce, non fatevi manomettere).
  • backup: ripristino rapido anche se qualcosa va storto (cancellazione accidentale, aggiornamento, guasto del server, rollback dopo un riscatto/intrusione).

Le due cose seguenti si completano a vicenda:

  • Se si effettua solo la sicurezza ma non i backup, si può comunque andare a zero durante la notte se si verificano problemi incontrollabili.“
  • Se si eseguono solo i backup ma non la sicurezza, si cadrà nel circolo vizioso di “essere colpiti ogni giorno e ripristinare ogni giorno”, con tempi e costi fuori controllo!

Dovreste essere in grado di farlo dopo averlo letto:

  • Sapere esattamente cosa coprire con “backup e sicurezza” (per evitare di acquistare quello sbagliato, installare quello sbagliato e dare per scontato che sia infallibile)
  • Possibilità di selezionare la soluzione giusta in base al tipo di sito (sito di contenuti/sito commerciale/commerciale/sito di appartenenza)
  • In grado di andare in onda progressivamente secondo una tabella di marcia (resiliente, poi controllabile, poi sistematica)
  • Può essere verificato con la lista di controllo dell'autodiagnosi: backupÈ davvero recuperabile.SicurezzaEsiste davvero una difesa.
  • Sapere dove guardare per prima cosa quando si verificano problemi (errore di backup, errore di ripristino, sospetto di hacking, ecc.)

1. Obiettivo: avete bisogno di un “sistema recuperabile”, non di un “plug-in”.”

Il backup non è “avere un file di backup”.”

Invece:È possibile ripristinare il sito nel modo desiderato quando se ne ha bisogno

Quindi l'indicatore chiave del backup non è “plugin di backup installato”, ma queste due cose:

  • Finestra di perdita dati accettabile (RPO)Quanto tempo potete accettare di perdere i dati nel peggiore dei casi?
    Esempio: un sito di contenuti che perde 24 ore di articoli può essere accettabile; un sito di e-commerce che perde 30 minuti di ordini è grave.
  • Tempo di recupero accettabile (RTO)In quanto tempo prevedete di tornare online dopo l'incidente?
    Esempio: un sito aziendale potrebbe voler recuperare entro 1 ora; un sito di e-commerce potrebbe voler recuperare entro 10-30 minuti.

Non è necessario inserire queste metriche in una formula, ma è necessario utilizzarle per decidere:Frequenza di backup, tempo di conservazione, necessità di backup in tempo reale/incrementale, necessità di ripristino con un solo clic/recupero off-site

2. Sviluppo di una strategia rapida per tipo di sito (orientamento, poi selezione dello strumento)

Consigli strategici:

A. Siti di contenuto / blog

  • Frequenza del cambiamento: di solito “giornaliera/settimanale”.”
  • Frequenza di backup consigliata:tutti i giorniBackup del database e dei contenuti di wp (uploads/temi/plugins)
  • Obiettivo di recupero: la versione di ieri/oggi è sufficiente (con particolare attenzione a non perdere gli articoli e la mediateca).

B. Sito aziendale / sito di marketing (i form lead sono importanti)

  • Frequenza di cambiamento: non necessariamente elevata, ma i moduli/le guide sono fondamentali
  • Frequenza di backup consigliata: database almenotutti i giorniI dati dei moduli e le e-mail/CRM non saranno “in un unico posto”.”
  • Obiettivo di recupero: rollback rapido in caso di problemi con gli script di aggiornamento/revisione/aggiornamento del tracking

C. Sito di e-commerce (WooCommerce)

  • Frequenza di modifica: ordini/inventario/comportamento dell'utente in corso
  • Frequenza di backup consigliata: preferibilefrequenza più alta(ogni ora o addirittura in tempo reale/vicino al tempo reale), almeno rendere forte la protezione del database
  • Obiettivo del ripristino: perdita minima dei dati degli ordini; capacità di ripristinare rapidamente i collegamenti tra pagamenti e ordini.

D. Sito associativo / sito del corso / comunità

  • Frequenza di modifica: progressi dell'utente, autorizzazioni, sblocco dei contenuti, dati di interazione
  • Frequenza di backup consigliata: frequenza più elevata per i database; con punti di ripristino “point-in-time”.
  • Obiettivo del ripristino: i dati dell'utente non vengono alterati, le autorizzazioni non vengono perse e i contenuti non vengono manomessi.

3. Roadmap di backup (si consiglia di procedere in queste 3 fasi)

Punti salienti:Facciamo prima un “recupero capace” e poi parliamo di “automazione e sistematizzazione”.

Fase 1: iniziare con “Backup automatico + archiviazione fuori sede”.”

Questo è il punto fondamentale. Indipendentemente dallo strumento utilizzato, deve essere soddisfatta:

  • automatico: non affidatevi al “mi ricorderò di fare clic manualmente”.”
  • stoccaggio fuori sedeNon limitatevi a mettere i backup sullo stesso server.
    Il motivo è molto semplice: se il server si blocca, il disco si rompe, l'account viene invaso per eliminare la libreria, il vostro “backup locale” potrebbe essere sparito insieme.

Le implementazioni tipiche dello strumento includono:

  • Il plugin di backup invia i backup al cloud drive/all'archivio oggetti/FTP (UpdraftPlus (Ad esempio, Dropbox, Google Drive, Amazon S3 e molti altri obiettivi sono esplicitamente supportati).
  • Un servizio di backup nel cloud mette i backup nel proprio cloud e offre un ripristino con un solo clic (Jetpack VaultPress Backup (Principalmente backup su cloud e ripristino con un solo clic, ma è necessario includere un piano a pagamento per il backup)

Fase 2: aggiornamento dei backup a “sistemi ripristinabili”.”

Molti siti sono davvero in crisi, non per mancanza di backup, ma a causa di:

  • Backup incompleto (solo database, non uploads/temi/plugins)
  • File di backup corrotto/permessi errati
  • Quando si ha bisogno di recuperare, ci si rende conto che “il processo di recupero non funziona”.”

Gli obiettivi della fase 2 sono quindi:Eseguire regolarmente un esercizio di recupero(anche in un ambiente di prova/recupero di directory temporanee), confermate i seguenti punti:

  • Il database può essere recuperato.
  • Il catalogo multimediale può essere ripristinato (wp-content/uploads/
  • I temi/plugin possono essere ripristinati (wp-content/themes/wp-content/plugins/
  • Dopo il ripristino, è possibile accedere normalmente al sito, effettuare l'accesso al backend ed eseguire le funzioni principali (e-commerce per testare il processo di ordine/pagamento e il sito associativo per testare i login/privilegi).

Ecco perché molte soluzioni di backup commerciali enfatizzano il “ripristino con un solo clic”, il “ripristino minuto per minuto” e i “backup incrementali per ridurre il carico”. Per esempio BlogVault Nella descrizione del plugin si sottolinea che vengono forniti **backup automatici e incrementali (compresi database, temi, plugin, media)** e funzioni di staging/migrazione.GestisciWP L'accento è posto anche sulla riduzione del carico con tecniche di backup incrementale e sul ripristino con un solo clic.

Fase 3: legare i backup al processo di aggiornamento/rilascio (punto di rollback)

A questo punto, il vostro obiettivo è:Punto di rollback prima di ogni modifica importante

Gli scenari tipici includono:

  • Aggiornamento della versione principale di WordPress
  • Cambiamento di tema/rifacimento del modello
  • Installazione o sostituzione di plug-in chiave (pagamenti e-commerce, sistemi di iscrizione, sistemi di formulari)
  • Sostituzione di immagini in batch / migrazione di massa dei contenuti

Il punto della Fase 3 è che non è necessario “pregare che il cambiamento vada bene”, ma piuttosto che si può tornare rapidamente al “momento precedente al cambiamento” se il cambiamento va male.

4. Eseguire il backup di che cosa esattamente (molte persone che eseguono il backup non hanno capito questi punti chiave)

Essenziale 1: Database (dove vanno gli ordini/gli utenti/il contenuto/le impostazioni)

  • Articoli, Pagine, Commenti
  • Utenti, autorizzazioni
  • WooCommerce Ordini, inventario, coupon
  • Configurazioni dei plug-in (un gran numero di configurazioni memorizzate nel database)

Essenziale 2: wp-content (è la maggior parte delle “risorse visibili” del sito WordPress)

  • uploads: immagini, allegati, libreria multimediale (il posto più facile per “dimenticare di fare il backup”)
  • themesFile del tema (codice/template personalizzati)
  • plugins: file di plugin (alcuni plugin scrivono anche file personalizzati)

A seconda dei casi: informazioni sulla configurazione e sull'ambiente operativo

Non ignorare le differenze ambientali:

  • Le differenze di versione dell'PHP possono causare la segnalazione di errori dopo il ripristino.
  • Le differenze specifiche tra le estensioni e i componenti della cache possono comportare comportamenti diversi.
  • Il reverse proxy/CDN/le regole di sicurezza possono influenzare il login e l'interfaccia di backend

Il ripristino non consiste solo nel rimettere a posto il file, ma anche nel garantire che l'ambiente operativo e la configurazione siano in grado di supportarne l'esecuzione.

5. Selezione del programma di backup

Tipo A: backup temporizzati plug-in (una soluzione di avvio adatta alla maggior parte dei siti)

Caratteristiche: basso costo, controllabilità, rapidità di implementazione; ma è necessario fare una solida “esercitazione di archiviazione e recupero off-site”.

Strumenti di rappresentazione:

  • UpdraftPlusL'attenzione principale è rivolta al backup e al ripristino delle attività pianificate, con il supporto esplicito di più obiettivi di backup (Dropbox, Google Drive, Amazon S3, FTP, e-mail, ecc.) nella pagina del plugin.
    Ideale per: siti di contenuti/siti aziendali agli inizi; e siti che desiderano “backup sul proprio archivio controllato”.
  • Backup e migrazione di WPvividLa pagina del plugin evidenzia i backup, le migrazioni e lo staging (lo staging può essere creato in una sottodirectory per testare le modifiche).
    Ideale per: persone che migrano frequentemente i siti e hanno spesso bisogno di testare le modifiche su base ad hoc.
  • DuplicatoreLa pagina dei plugin pone l'accento sul backup/packaging/migrazione/clonazione di siti su nuovi host o nuovi domini.
    Ideale per: migrare, replicare siti, creare siti di prova, creare “pacchetti trasferibili”.

UpdraftPlus è più che altro un “sistema di backup iniziale”.”

WPvivid/ Duplicator è più adatto alla “migrazione/confezionamento/copia”, ma può anche eseguire backup.

Tipo B: Backup in cloud/quasi in tempo reale (più adatto a siti più sensibili ai dati e ai tempi di ripristino)

Caratteristiche: enfasi sulla “protezione per ogni modifica/ad alta frequenza” e sul “recupero con un solo clic”, più simile a un insieme di servizi.

Strumenti di rappresentazione:

  • Jetpack VaultPress Backup (Jetpack Backup)La pagina del plugin enfatizza il backup nel cloud e il ripristino con un solo clic, e richiede esplicitamente un piano Jetpack a pagamento che includa il backup, il cuiLa pagina ufficiale di sottoscrizione evidenzia anche“Salvate ogni modifica e tornate rapidamente a uno stato utilizzabile con un solo clic di ripristino”.
    Ideale per: siti di e-commerce/membership/siti sensibili alla “velocità di ripristino”, o per chi vuole esternalizzare le operazioni di backup a un servizio maturo.
  • BlogVault: La descrizione del plugin include esplicitamente “backup automatici, sicuri e incrementali (database, temi, plugin, media)” con funzionalità di staging e migrazione integrate.
    Ideale per: siti in cui “Backup + Test + Migrazione” è un flusso di lavoro completo.
  • GestisciWPEnfasi sulle tecniche di backup incrementale per ridurre il carico del server e fornire un ripristino con un solo clic.
    Ideale per: persone (studi/team) che gestiscono più siti e vogliono eseguire backup/aggiornamenti/monitoraggio in un unico pannello in modo unificato.

Tipo C: snapshot lato host/backup automatizzato (altamente raccomandato come “seconda linea di assicurazione”)

Il valore di un backup dell'host: tende a essere una “istantanea a livello di sistema” con una copertura più ampia (comprendente lo stato dei database e dei file e persino l'ambiente a un certo livello).

I malintesi più comuni:

  • Backup dell'host ≠ Backup migrabileI backup dell'hosting possono non essere convenienti quando si cambia host o si ha bisogno di portare via i backup.
  • I backup dei plug-in sono più migratoriI backup ricadono su uno spazio di archiviazione controllabile, rendendo più flessibile il ripristino tra gli ambienti.

Pertanto, la combinazione più stabile è di solito:

Hosted Backup (sotto il cofano) + Plugin/Cloud Backup (livello applicativo migrabile + punti di ripristino granulari)

6. Tabella di marcia della sicurezza (iniziare con le basi più efficaci, non con un mucchio di plug-in)

La sicurezza non consiste nell“”installare dieci plug-in", ma nel costruire difese su base stratificata:

Fase 1: Account e privilegi (benefici maggiori e più immediati)

Quello che si vuole fare in questa fase è “rendere più difficili i punti di ingresso più comuni”:

  • Minimizzazione dell'account amministratore: solo per chi ne ha bisogno
  • Politica sulle password forti: non riutilizzare, non usare password deboli
  • 2FA (verifica in due passaggi)Si tratta di uno dei miglioramenti più efficaci nell'era delle “password crash/leak”.
    per esempio Sicurezza solida La pagina del plugin supporta esplicitamente più metodi 2FA (Authy, Google Authenticator, e-mail, codici alternativi, ecc.).
  • Protezione dell'accesso: limitare i tentativi di brute force, evitare i login strisciati
  • Account non utilizzati disabilitati/cancellati; temi/plugin non più utilizzati cancellati (non solo disattivati)

Fase 2: aggiornamenti e gestione dell'esposizione (non lasciare i rischi nelle vecchie versioni)

Un gran numero di intrusioni in WordPress proviene da “vecchi plugin/temi/core con vulnerabilità disponibili pubblicamente”.

Pertanto, l“”aggiornamento" è uno degli aspetti fondamentali della strategia di sicurezza.
La documentazione di WordPress menziona l'introduzione di aggiornamenti automatici in background a partire da WordPress 3.7 per migliorare la sicurezza, e afferma che gli aggiornamenti automatici sono abilitati per impostazione predefinita sulla maggior parte dei siti, e dal sito 5.6 L'avvio di un nuovo sito è attivato automaticamenteStrategie come gli aggiornamenti di versione maggiori o minori.

Principio:

  • Core/temi/plugins devono avere una chiara strategia di aggiornamento (revisione automatica/semi-automatica/manuale)
  • Punti di rollback prima di aggiornamenti importanti (tornare alla Sezione 3, “Fase di backup 3”)
  • I plug-in che non vengono più mantenuti dovrebbero essere sostituiti il prima possibile (questo è il modo più diretto per “ridurre l'esposizione”).

Fase 3: Protezione e rilevamento (rendere più difficile il successo degli attacchi e rilevare tempestivamente le anomalie)

In questa fase si vuole essere “più simili a una difesa sistematica”:

  • Firewall/WAF (bloccare una parte del traffico indesiderato prima che arrivi a WordPress)
  • Scansione di codici dannosi, monitoraggio dell'integrità dei file
  • Registri e avvisi di sicurezza: accessi anomali, modifiche dei privilegi, file alterati.
  • Monitoraggio: monitoraggio dei tempi di inattività, scadenza dei certificati, 5xx anomali, picchi di traffico anomalo

Strumenti di rappresentazione:

  • WordfenceLa pagina del plugin include chiaramente il firewall, la scansione del malware e la sicurezza degli accessi e menziona che Premium riceve gli aggiornamenti delle regole del firewall e delle firme del malware in tempo reale, mentre la versione gratuita ha un ritardo di 30 giorni.
    Raccomandazione: la versione gratuita migliora in modo significativo la sicurezza di base, ma se il vostro sito è più rischioso o si basa maggiormente su “informazioni aggiornate sulle minacce”, è bene comprendere la differenza nei “ritardi di aggiornamento”.
  • Patchstack(idee di patch virtuale/protezione da exploit)Il suo sito ufficiale evidenzia la protezione dei siti da plugin/temi vulnerabili attraverso patch virtuali.Patchstacke ci sono istruzioni per la versione gratuita per fornire avvisi di vulnerabilità, per la versione a pagamento per fornire una protezione automatica dalle vulnerabilità e altre idee.
  • Sucuri(Autorizzazione e sicurezza dell'assistenza)La sua pagina di servizio enfatizza la pulizia del malware con la capacità di scansionare/bloccare continuamente future intrusioni Sucuri.

7. Avvisi di rischio

Insidie ad alta frequenza legate al backup

  1. I backup sono solo locali al server
    Quando i server si guastano, spesso i backup locali scompaiono insieme a loro.
  2. Solo il database non il contenuto di wp
    Al momento del ripristino si troverà che: il post è presente, ma l'immagine è sparita; oppure la personalizzazione del tema è sparita; oppure i file del plugin sono incoerenti con conseguente errore.
  3. Non fare mai un'esercitazione di recupero.
    È solo nel momento critico che ci si rende conto che il ripristino non è riuscito, che il backup è danneggiato o che mancano dei file critici.
  4. La frequenza di backup non corrisponde all'attività aziendale
    I siti di e-commerce/membership che eseguono il backup una volta al giorno, nella peggiore delle ipotesi potrebbero perdere un giorno di dati relativi agli ordini e al comportamento degli utenti, con un costo che potrebbe superare di gran lunga quello del backup.

Fossi ad alta frequenza legati alla sicurezza

  1. Plug-in di sicurezza installato ma non aggiornato da molto tempo
    I plugin di sicurezza non sostituiscono gli aggiornamenti. Le vecchie vulnerabilità sono in circolazione e il rischio non scomparirà.
  2. Troppi account di amministratore/account condivisi
    Le autorizzazioni sono fuori controllo, i registri sono difficili da rintracciare e il passaggio di consegne è rischioso.
  3. Pensando “WAF/CDN è sicuro”.”
    I WAF possono bloccare molti attacchi generici, ma non possono risolvere password deboli, vecchie vulnerabilità, plug-in backdoor, ecc. L'approccio più sicuro è la “difesa a più livelli”. La cosa più sicura da fare è avere "più livelli di difesa".
  4. L'accatastamento di più plugin di sicurezza che entrano in conflitto tra loro rallenta il sito.
    Le politiche di sicurezza dovrebbero dare priorità a “meno è meglio”: 2FA + politiche aggiornate + firewall/scansione + avvisi; non “più si installa più si è sicuri”.

8. Lista di controllo per la convalida

Verifica del backup (non dite “ho un backup” se non passate questi 8)

  • Se sono abilitati i backup automatici (non manuali)
  • Se il backup contiene un database + contenuti wp (uploads/temi/plugins)
  • Se i backup sono archiviati fuori sede (unità cloud/archiviazione di oggetti/server indipendente)
  • Esiste una chiara strategia di retention (ad esempio, 7/30/90 giorni di retention)?
  • Se l'ultimo backup è andato a buon fine (non “la pianificazione esiste”)
  • Quando è stato fatto l'ultimo esercizio di recupero? Ha avuto successo?
  • Esiste un ulteriore punto di rollback generato prima del grande aggiornamento?
  • Disponibilità dei percorsi critici dopo il ripristino (login, moduli, accesso agli ordini/alle iscrizioni all'e-commerce, ecc.)

Convalida della sicurezza (prima di tutto le nozioni di base)

  • L'account amministratore è ridotto al minimo? Esiste un meccanismo di pulizia dell'account di uscita?
  • Attivare o disattivare 2FA(almeno ruoli di amministratore/redattore/responsabile di negozio ad alta autorità)
  • Esiste una chiaraAggiornamento della strategia(Core/temi/plugins)
  • Se rimuovere i plugin/temi inutilizzati (non solo disattivarli)
  • Disponibilità di firewall/protezione dal login/scansione malware (Wordfence (ecc. possono coprire una parte)
  • Disponibilità di avvisi di vulnerabilità/idee di patch virtuale (Patchstack ecc.)
  • Disponibilità di allarmi (accessi anomali, modifiche di file, tempi di inattività, scadenza di certificati)
  • Disponibilità di “piani di emergenza”: qual è il primo passo da compiere in caso di hacking/manomissione?

problemi comuni

1. È sufficiente utilizzare solo il backup dell'host?

Di solito non è consigliabile affidarsi a una sola fonte.
I backup dell'hosting sono ottimi, ma non rendono necessariamente facile “togliere, migrare e ripristinare finemente”. È più stabile:Backup in hosting per la base + Plugin/Cloud Backup per la migrazione e i punti di ripristino controllati

2. Con quale frequenza devo eseguire il backup?

In base al “tasso di variazione dei dati”:

  • Siti di contenuto: di solito abbastanza al giorno
  • Sito aziendale: quotidianamente (soprattutto se ci sono lead form) e confermare che i lead non sono solo sul sito
  • E-commerce/membership: si raccomanda una frequenza più elevata (ogni ora o addirittura quasi in tempo reale), in quanto i dati sugli ordini/utenti sono più preziosi.

3. Per quanto tempo devono essere conservati i backup?

A seconda dei contenuti e delle esigenze di conformità, è possibile utilizzare questa idea:

  • Conservare almeno 7-30 giorni per il rollback regolare.
  • Se si è preoccupati di “backdoor latenti/manomissioni croniche”, è più utile mantenere il ciclo più lungo (ad esempio, 90 giorni) in modo da poter tornare a una versione precedente e più pulita.

4. UpdraftPlus / WPvivid / Duplicator sono la “stessa cosa”?

Entrambi fanno marcia indietro, ma con enfasi diversa:

  • UpdraftPlus Più tipico è “Backup pianificato + archiviazione multi-obiettivo + ripristino”.”
  • WPvivid Enfasi su backup + migrazione + staging Funzionalità di test
  • Duplicatore Molto forte in “sito di impacchettamento/migrazione/clonazione”.”

Se si usa “tipo” per selezionare, non si viene confusi dal nome.

5. Perché dovrei pagare per Jetpack Backup? A cosa serve?

Poiché si tratta essenzialmente di un “servizio di backup nel cloud”, con un'enfasi sul salvataggio nel cloud e sul ripristino con un solo clic, la pagina del plugin deve includere esplicitamente Piani di pagamento per il backupLa pagina ufficiale dell'abbonamento pone l'accento sul salvataggio di ogni modifica e sul ripristino rapido con un solo clic.
Ideale per: persone più sensibili alla velocità di ripristino e che vogliono lasciare l'O&M del backup a un servizio maturo.

6. A cosa servono i “backup incrementali” come BlogVault / ManageWP?

I backup incrementali sono il loro fulcro:Eseguire il backup solo delle modificheche riduce il carico del server e consente di generare punti di ripristino con una frequenza maggiore.

  • Plugin BlogVaultLe istruzioni sottolineano l'importanza dei backup automatici e incrementali e della sovrascrittura di database/temi/plugin/mediali, con staging e migrazione integrati;
  • GestisciWP Le tecniche di backup incrementale sono inoltre enfatizzate per ridurre il carico e fornire un ripristino con un solo clic.

Ideale per: siti di grandi dimensioni, molti media, aggiornamenti frequenti o se si gestiscono più siti.

7. È sufficiente un solo plug-in di sicurezza?

Per la maggior parte dei siti, “un solo plugin di sicurezza principale + una politica di base corretta” è solitamente più efficace di “un mucchio di plugin”.
per esempio Wordfence Può coprire le funzionalità di base come firewall, scansione e sicurezza del login; in combinazione con le funzionalità di sicurezza di 2FA(Solid Security offre una serie di modi per farlo), può già far aumentare in modo significativo il costo di un attacco.

8. La versione gratuita di Wordfence funziona? Perché alcuni parlano di passare a Premium?

Pagina del plugin WordfenceChiarezza: Premium offre aggiornamenti in tempo reale delle regole del firewall e delle firme dei malintenzionati, mentre la versione gratuita ritarda di 30 giorni.
La necessità o meno di Premium dipende dal vostro livello di rischio e di tolleranza:

  • Siti a basso rischio: versione gratuita + aggiornamenti tempestivi + 2FA, di solito già utile!
  • Rischio più elevato o maggiore affidamento su “informazioni aggiornate sulle minacce”: la necessità di comprendere la finestra di opportunità che gli “aggiornamenti ritardati” possono creare

9. Cosa risolve esattamente una “patch virtuale” come Patchstack?

L'idea è che le regole vengano utilizzate per bloccare la superficie di attacco delle vulnerabilità note a livello di applicazione prima che le vulnerabilità di plugin/temi vengano sfruttate (o prima che le patch siano completamente diffuse).Sito ufficiale di PatchstackEnfasi sui plugin/temi vulnerabili per la protezione delle patch virtuali, con spiegazioni sulle differenze tra gratuiti e a pagamento per quanto riguarda gli avvisi e la protezione automatizzata.
Non si tratta di una sostituzione degli aggiornamenti, ma piuttosto di un modo per ridurre al minimo il rischio di una “finestra di patch”.

10. Mi bloccherò se attivo il 2FA?

Si consiglia di prepararsi in anticipo:

  • Codice alternativo/metodo di recupero (Sicurezza solida (sono stati citati anche programmi come i codici backup)
  • Mantenere almeno un “gestore delle emergenze” e informazioni di recupero sicure.
  • La chiave: non mettere le informazioni di recupero nello stesso posto in cui una violazione può raggiungerle.

11. L'aggiornamento automatico di WordPress deve essere attivato o meno?

Documentazione di WordPressSpiegare che il meccanismo di aggiornamento automatico in background ha lo scopo di migliorare la sicurezza ed è abilitato per impostazione predefinita per la maggior parte dei siti, e che è possibile configurare diversi tipi di criteri di aggiornamento.
Raccomandazione:

  • Aggiornamenti di sicurezza e di versioni minori: tendono ad essere automatizzati (riducono il tempo di esposizione delle vulnerabilità conosciute)
  • Rilasci importanti/aggiornamenti critici dei plugin: combinare punti di rollback di backup con un processo di test prima di andare avanti (almeno per essere in grado di fare il rollback)

12. Qual è il primo passo da compiere se si sospetta che un sito web sia stato violato?

Ordine corretto (per evitare di fare più confusione):

  1. Fermare prima l'emorragia.Limitare temporaneamente i login in background, sospendere le funzioni sospette e aprire pagine di manutenzione quando necessario.
  2. Conservazione delle prove e punti di recupero in primo luogoEseguire immediatamente un backup dello stato corrente (per l'analisi) e preparare contemporaneamente un punto di rollback pulito.
  3. Rollback/puliziaPrivilegiare il recupero a un punto pulito noto nel tempo o utilizzare un servizio di pulizia professionale (Sucuri ecc., ponendo l'accento sulla pulizia dei malintenzionati e sulla protezione continua).
  4. rattoppare un bucoAggiornare core/plugins/temi, reimpostare password e chiavi, attivare 2FA, rimuovere account e plugin sospetti.

13. Mi occupo della sicurezza e del backup, perché devo monitorare?

Perché la “diagnosi precoce” riduce al minimo le perdite.
Tempi di inattività, certificati scaduti, traffico anomalo, accessi anomali, ordini anomali: sono tutti problemi che prima si conoscono, meglio è.