Il monitoraggio continuo della sicurezza e la conformit\u00e0<\/h2>\n
Un sito web ha un valore immenso per alcuni gruppi. Gli utenti malintenzionati non vedono i vostri prodotti e servizi: vedono dati e opportunit\u00e0 di guadagno. Nel 2022, SiteLock ha rilevato<\/a> che un sito medio subisce circa 100 attacchi al giorno.<\/p>\n Per questo motivo, \u00e8 fondamentale monitorare costantemente la sicurezza e verificare il livello di conformit\u00e0. L’intento malevolo \u00e8 dinamico, il che significa che \u00e8 necessario valutare, monitorare e gestire le proprie misure di sicurezza in continua evoluzione. Ad esempio, la OWASP Top 10<\/a> monitora quali sono i tipi di attacchi dannosi pi\u00f9 diffusi e questo elenco cambia ad ogni indagine.<\/p>\n Ci sono molti altri motivi per cui implementare un monitoraggio continuo della sicurezza:<\/p>\n Per i siti web WordPress, la strategia di monitoraggio e conformit\u00e0 ha un’importanza e delle sfide ancora maggiori:<\/p>\n La buona notizia \u00e8 che potete integrare facilmente il monitoraggio della sicurezza nel vostro flusso di lavoro esistente e combinarlo con le notifiche di aggiornamento di WordPress. Ancora meglio, potete controllare tutto questo attraverso l’API di Kinsta<\/a>.<\/p>\n Per i clienti Kinsta, l’API<\/a> rappresenta il modo migliore per automatizzare e sfruttare molti aspetti del vostro server di hosting. Offriamo numerosi endpoint per ogni tipo di attivit\u00e0. Ad esempio, potete gestire siti, utenti e dipendenze come temi e plugin. Inoltre, potete recuperare i log e accedere alle metriche dell’applicazione dalla dashboard di MyKinsta<\/a>:<\/p>\n Naturalmente, integrare l’API di Kinsta nel vostro flusso di lavoro di WordPress sar\u00e0 un gioco da ragazzi, visto che il nostro focus \u00e8 sull’hosting di WordPress<\/a>. Vedremo come farlo pi\u00f9 avanti. Offriamo un modo proattivo e programmatico per gestire il monitoraggio della sicurezza per i principali aspetti di WordPress. Questo include gli aggiornamenti del sito, i log e molto altro ancora.<\/p>\n Molte di queste cose coincidono con gli aspetti su cui concentrarsi quando si tratta di sicurezza di WordPress. Vediamo di seguito.<\/p>\n WordPress \u00e8 una piattaforma solida e sicura, grazie alla sua base di codice matura e all’uso rigoroso di pratiche sicure. Per quanto riguarda il sistema di gestione dei contenuti (CMS) stesso, ci sono modi ufficiali per segnalare le vulnerabilit\u00e0:<\/p>\n In effetti, gli utenti finali possono segnalare anche i temi, grazie a un pulsante ben visibile nella pagina del repository:<\/p>\n \u00c8 chiaro che WordPress \u00e8 molto attento alla sicurezza e ci sono alcune aree chiave su cui si concentra il codice base:<\/p>\n Per aiutarvi a monitorare alcuni di questi aspetti, potete utilizzare la schermata Salute del sito all’interno della dashboard di WordPress:<\/p>\n Per quanto riguarda la conformit\u00e0, WordPress offre un modello di informativa sulla privacy predefinito per ogni installazione. La piattaforma principale incoraggia anche l’uso di moduli di divulgazione delle vulnerabilit\u00e0<\/a>. L’utilizzo dell’API di Kinsta per integrare tutto questo offre un solido sistema di sicurezza – e ora vedreremo come.<\/p>\n Se volete realizzare una configurazione che preveda un monitoraggio continuo della sicurezza, un approccio programmatico sar\u00e0 probabilmente il migliore. L’API di Kinsta offre molti endpoint diversi per aiutarvi in questo percorso, anche se non \u00e8 l’unico approccio (ne parleremo pi\u00f9 avanti).<\/p>\n Vediamo un approccio tipico al monitoraggio della sicurezza utilizzando l’API. Inizieremo con l’acquisizione delle chiavi API e poi passeremo alle altre aree.<\/p>\n Senza le chiavi API non potete accedere a nessun aspetto dei vostri siti. Per generare una nuova chiave API, andate alla dashboard di MyKinsta e nella schermata Impostazioni azienda > Chiavi API<\/strong>. Se \u00e8 la prima volta che vi trovate qui, la schermata sar\u00e0 probabilmente vuota:<\/p>\n Cliccate sul pulsante Crea chiave API<\/strong> e compilate i campi per impostare una data di scadenza e un nome per la vostra chiave:<\/p>\n Una volta cliccato sul pulsante Genera<\/strong>, potrete copiare la vostra chiave API. Ricordate che non la vedrete mai pi\u00f9, quindi assicuratevi di tenerla al sicuro:<\/p>\n Con la vostra nuova chiave API in mano, potete iniziare a esplorare la connessione all’API di Kinsta.<\/p>\n Vi consigliamo di tenere a portata di mano la documentazione dell’API per navigare tra gli endpoint disponibili. Non tutti sono adatti per il monitoraggio della sicurezza, ma alcuni di essi saranno pi\u00f9 utilizzati di altri:<\/p>\n Introdurremo altri endpoint nella prossima sezione, e li utilizzeremo per costruire il vostro processo.<\/p>\n Prima di toccare una riga di codice, \u00e8 una buona idea pianificare in anticipo per definire i vostri obiettivi. Guardate quali sono gli endpoint disponibili, combinateli con l’aspetto che volete dare al vostro processo di monitoraggio della sicurezza e poi cercate di farli combaciare.<\/p>\n Ad esempio, potreste voler controllare regolarmente se il core, i temi e i plugin di WordPress sono obsoleti<\/a>. L’endpoint Ecco un rapido script Python per autenticare l’accesso all’API e recuperare un sito. Per prima cosa, impostiamo alcune variabili fondamentali. In genere non si includono la chiave API e l’ID dell’azienda nel codice. In questo caso, lo facciamo per brevit\u00e0 e chiarezza.<\/p>\n Una volta impostate le variabili, possiamo impostare le intestazioni di autenticazione e cercare di convalidare l’accesso. Con tre brevi funzioni possiamo convalidare il token, restituire un elenco di siti e recuperare un sito specifico:<\/p>\n Una funzione di Una volta completato l’accesso ai siti, potete cercare di inserire altri endpoint per casi d’uso specifici.<\/p>\n Ci sono molti modi diversi per utilizzare gli endpoint dell’API di Kinsta per un monitoraggio continuo e automatizzato. Recuperare i log degli errori a intervalli regolari \u00e8 un modo eccellente per essere proattivi sulla sicurezza del vostro sito.<\/p>\n Possiamo iniziare con lo stesso processo di autenticazione e di acquisizione del sito della fase precedente. Una volta ottenuto il sito desiderato, una breve funzione pu\u00f2 accedere all’API e restituire i log degli errori:<\/p>\n Se volete automatizzare questo processo, dovreste essere in grado di trovare un pacchetto o una libreria che vi aiuti. Ad esempio, Python ha il pacchetto Naturalmente, potete estrapolare questa funzione per lavorare con qualsiasi endpoint che desiderate, come ad esempio L’hosting di Kinsta integra la sicurezza nella dashboard di MyKinsta e nella sua architettura pi\u00f9 profonda. Per questo motivo, gli utenti non potranno installare la maggior parte dei plugin di sicurezza<\/a>. Per abilitare lo stesso livello di funzionalit\u00e0, dovete utilizzare gli strumenti di Kinsta, come il blocco degli IP.<\/p>\n Sebbene l’API di Kinsta offra un modo “nudo e crudo” per fornire punti di contatto per il monitoraggio e l’automazione della sicurezza, esiste<\/em> l’opportunit\u00e0 di combinarla con alcuni plugin selezionati. Ad esempio, non permettiamo di attivare la registrazione del traffico (perch\u00e9 causa un elevato IOPS), ma il resto del plugin Wordfence<\/a> pu\u00f2 essere utile.<\/p>\n In effetti, Wordfence offre un paio di endpoint propri per l’approvazione degli IP e l’importazione delle impostazioni<\/a>. Quest’ultimo potrebbe essere interessante se volete replicare le impostazioni “buone” conosciute su molti siti diversi. Tuttavia, la CLI di Wordfence<\/a> offre molte pi\u00f9 possibilit\u00e0 di combinazione con le nostre API.<\/p>\n L’utilizzo congiunto di entrambi va oltre lo scopo di questo post, ma \u00e8 possibile creare un processo figlio utilizzando Node.js<\/a> per eseguire script Python, ad esempio.<\/p>\n Ci\u00f2 significa che potete avere un modo programmatico per eseguire e automatizzare le funzionalit\u00e0 di Wordfence insieme a quelle di Kinsta. Il plugin Sucuri Security<\/a> dispone anche di una semplice API<\/a> che permette di effettuare una scansione del sito.<\/p>\n Naturalmente potete utilizzare i plugin in modo pi\u00f9 semplice. Ad esempio, WP Activity Log<\/a> amplia la funzionalit\u00e0 di logging di Kinsta. Permette di registrare quasi tutte le azioni che avvengono sul vostro sito, compresi i plugin di terze parti.<\/p>\n Se volete integrare l’API di Kinsta con i plugin del vostro sito, di solito avete bisogno di un accesso API al plugin. Tuttavia, non tutti i plugin lo offrono, quindi potreste avere delle restrizioni sui vostri plugin preferiti.<\/p>\n Essendo un’azienda che mette in mostra i suoi controlli, i suoi sottoprocessi e la sua conformit\u00e0<\/a>, Kinsta conosce bene il lavoro che comporta. Per quanto riguarda gli standard di conformit\u00e0, soddisfiamo quelli del SOC 2 Tipo 2<\/a>, del GDPR e del CCPA.<\/p>\n Per migliorare la fiducia degli utenti, anche il vostro sito dovrebbe soddisfare questi standard. Il GDPR<\/a> \u00e8 stato il primo a interessare quasi tutti i siti. Questo regolamento dell’Unione Europea (UE) stabilisce le linee guida per la raccolta, l’elaborazione e l’archiviazione dei dati personali. Il CCPA<\/a> \u00e8 un altro atto legislativo di simile portata. Per i siti WordPress, la pagina dell’informativa sulla privacy integrata e gli strumenti di esportazione dei dati possono essere d’aiuto, cos\u00ec come l’implementazione di avvisi sui cookie.<\/p>\n Se lavorate nel settore finanziario, sanitario o in altri settori simili, dovrete seguire altre leggi, standard, linee guida e direttive:<\/p>\n L’infrastruttura di Kinsta pu\u00f2 essere una solida base per la vostra strategia di conformit\u00e0 e l’API di Kinsta pu\u00f2 affiancarsi a quella di WordPress. Potreste anche prendere in considerazione aspetti come il monitoraggio dell’integrit\u00e0 dei file<\/a> utilizzando strumenti, servizi e plugin di terze parti.<\/p>\n Per concludere il post, ecco diamo alcuni consigli di carattere generale per utilizzare l’API di Kinsta insieme a WordPress. Quando si tratta di sicurezza e conformit\u00e0 del vostro sito, \u00e8 importante massimizzare l’efficacia di entrambi, per ottenere i maggiori benefici.<\/p>\n Un approccio semplice consiste nell’utilizzare l’endpoint “autenticazione”<\/a> per verificare che la vostra chiave API sia valida:<\/p>\n Inoltre, dovrete sempre mantenere riservate le vostre credenziali API, soprattutto se memorizzate il vostro codice in un repo Git remoto<\/a>. La pratica pi\u00f9 efficace \u00e8 quella di memorizzare queste chiavi al di fuori della webroot e di utilizzare uno dei seguenti metodi:<\/p>\n Tuttavia, oltre a proteggere le vostre chiavi API, ci sono molte altre cose che potete fare per rendere pi\u00f9 sicuro l’utilizzo dell’API Kinsta e di WordPress insieme:<\/p>\n Soprattutto, tenetevi aggiornati sulle pratiche di sicurezza attuali e utilizzate quelle pi\u00f9 efficaci. Infine, informatevi sulle vulnerabilit\u00e0 recenti e sulle patch software che le contrastano per i vostri temi e plugin. Con una procedura di aggiornamento regolare, unita all’automazione del monitoraggio della sicurezza e alla conformit\u00e0 con l’API di Kinsta, otterrete una configurazione robusta.<\/p>\n\n
\n
Una breve introduzione all’API di Kinsta<\/h2>\n
![\"Una](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/mykinsta-dashboard.png\")
Le pratiche tipiche di WordPress per la sicurezza e la conformit\u00e0<\/h2>\n
\n
![\"Una](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/report-theme-button.png\")
\n
![\"Il](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/site-health.png\")
Come implementare il monitoraggio della sicurezza con l’API Kinsta<\/h2>\n
1. Ottenere le credenziali API<\/h3>\n
![\"La](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/api-key-dashboard.png\")
![\"La](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/create-api-key-dialog.png\")
![\"Nella](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/copy-api-key.png\")
2. Esplorare gli endpoint disponibili all’interno dell’API di Kinsta<\/h3>\n
\n
sites<\/code>.<\/strong> Utilizzatelo quando avete bisogno di ottenere un elenco di siti associati a un’azienda. Potete ottenere informazioni di base, come il nome, l’ID e lo stato.<\/li>\nbackups<\/code>.<\/strong> Potete creare e ripristinare i backup di qualsiasi sito utilizzando le richieste di GET<\/code> e POST<\/code>. Ci\u00f2 costituir\u00e0 una parte delle vostre risposte al disaster recovery e agli incidenti di sicurezza.<\/li>\nlogs<\/code>.<\/strong> Questo endpoint pu\u00f2 essere utilizzato per i semplici log degli errori e degli accessi. Sar\u00e0 uno dei vostri endpoint preferiti per il monitoraggio e il debug.<\/li>\n<\/ul>\n3. Convalidare la connessione e recuperare un elenco di siti<\/h3>\n
sites<\/code> \u00e8 il modo per farlo. Tuttavia, non potrete accedere semplicemente a un endpoint o fare una richiesta alla volta. \u00c8 qui che la flessibilit\u00e0 dell’API di Kinsta pu\u00f2 dare il meglio di s\u00e9.<\/p>\nimport requests\nimport os\n\n\n# Define the API key and company ID within the script\napi_token = 'API_KEY'\ncompany_id = 'COMPANY_ID'\n\n# Set the base URL for the Kinsta API\nbase_url = 'https:\/\/api.kinsta.com\/v2'\n\n# Set the headers for authentication\nheaders = {\n 'Authorization': f'Bearer {api_token}'\n}\n\n\ndef validate_token():\n \"\"\"Checks and authenticates an API token.\"\"\" \n url = f'{base_url}\/validate'\n response = requests.get(url, headers=headers)\n\n if response.status_code == 200:\n print('API token is valid')\n else:\n print('API token is invalid')\n exit(1)\n\n\ndef get_sites():\n \"\"\"Fetches a list of sites based on the Company ID.\"\"\"\n url = f'{base_url}\/sites?company={company_id}'\n response = requests.get(url, headers=headers)\n\n if response.status_code == 200:\n data = response.json()\n company_data = data.get('company', {})\n sites = company_data.get('sites', [])\n return sites\n else:\n print(f'Failed to fetch sites. Status code: {response.status_code}')\n return None\n\n\ndef get_single_site(site_id):\n \"\"\"Takes a URL template and response, checks the status code, and returns JSON data if present.\"\"\"\n url = f'{base_url}\/sites\/{site_id}'\n response = requests.get(url, headers=headers)\n\n if response.status_code == 200:\n site = response.json()\n return site\n else:\n print(f'Failed to fetch site. Status code: {response.status_code}')\n return None\n<\/code><\/pre>\nmain<\/code> chiamer\u00e0 ciascuno di questi processi, utilizzando una logica per inviare le informazioni sul sito in un insieme di variabili d’ambiente:<\/p>\ndef main():\n validate_token()\n sites = get_sites()\n\n if sites:\n print(f'Number of sites: {len(sites)}')\n if len(sites) > 0:\n for site in sites:\n print(f'Site ID: {site[\"id\"]}')\n print(f'Site Name: {site[\"name\"]}')\n print(f'Site Display Name: {site[\"display_name\"]}')\n print(f'Site Status: {site[\"status\"]}')\n print('Site Labels:', site[\"site_labels\"])\n print('---')\n\n\n # Store site details in environment variables\n os.environ[f'SITE_ID_{site[\"name\"]}'] = site[\"id\"]\n os.environ[f'SITE_NAME_{site[\"name\"]}'] = site[\"name\"]\n os.environ[f'SITE_DISPLAY_NAME_{site[\"name\"]}'] = site[\"display_name\"]\n os.environ[f'SITE_STATUS_{site[\"name\"]}'] = site[\"status\"]\n os.environ[f'SITE_LABELS_{site[\"name\"]}'] = str(site[\"site_labels\"])\n\n\n print('Site details stored in environment variables.')\n else:\n print('No sites found')\n else:\n print('Failed to fetch sites')\n<\/code><\/pre>\n4. Iniziare a combinare gli endpoint per creare un monitoraggio continuo della sicurezza<\/h3>\n
def get_error_logs():\n \"\"\"Fetches error logs up to 1,000 lines.\"\"\"\n url = f'{base_url}\/sites\/environments\/{company_id}\/logs?file_name=error&lines=1000'\n response = requests.get(url, headers=headers)\n\n if response.status_code == 200:\n logs = response.json()\n return logs\n else:\n print(f'Failed to fetch error logs. Status code: {response.status_code}')\n return None\n<\/code><\/pre>\nschedule<\/code>, che esegue un task a intervalli fissi. Per implementare questa funzione, possiamo creare un’altra funzione che stampi i log e poi chiamarla usando schedule<\/code> in main<\/code>:<\/p>\ndef fetch_and_print_logs():\n \"\"\"Checks for error logs, and if present, prints them to screen.\"\"\"\n logs = get_error_logs()\n\n if logs:\n print('Error Logs:')\n for log in logs:\n print(log)\n print('---')\n\n\n# Schedule the log fetching task to run once a day at a specific time\nschedule.every().day.at('09:00').do(fetch_and_print_logs)\n\n\n#main.py\n\u2026\n\n while True:\n schedule.run_pending()\n time.sleep(1)\n<\/code><\/pre>\nbackups<\/code>. Con un po’ di lavoro, potreste anche creare un sistema completo per automatizzare e bloccare continuamente gli indirizzi IP del vostro sito: avete un ampio margine di manovra!<\/p>\nUsare l’API di Kinsta insieme ad altri plugin di WordPress<\/h2>\n
![\"Un](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/wordfence-plugin.png\")
![\"Un'immagine](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/wp-activity-log.png\")
Mantenere gli standard di conformit\u00e0 con WordPress e Kinsta<\/h2>\n
![\"Una](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/trust-kinsta.png\")
\n
Consigli ottimali per l’utilizzo di Kinsta API e WordPress per la sicurezza e la conformit\u00e0<\/h2>\n
const resp = await fetch(\n `https:\/\/api.kinsta.com\/v2\/validate`,\n {\n method: 'GET',\n headers: {\n Authorization: 'Bearer <API_KEY>'\n }\n }\n);\n\n\nconst data = await resp.text();\nconsole.log(data);\n<\/code><\/pre>\n\n
git crypt<\/code>, git-remote-gcrypt<\/code>, o git secret<\/code>.<\/li>\n<\/ul>\n\n
Riepilogo<\/h2>\n