Il responsabile del trattamento dei dati determina le finalit\u00e0 e i mezzi per il trattamento dei dati personali. Quindi, se la vostra azienda\/organizzazione decide “perch\u00e9” e “come” trattare i dati personali, questa \u00e8 il titolare del trattamento. I dipendenti che elaborano i dati personali all’interno della vostra organizzazione lo fanno per adempiere ai vostri compiti di responsabile del trattamento.<\/p><\/blockquote>\n
Una falla nella sicurezza di un sito web pu\u00f2 mettere a rischio la vita di un’azienda. Chi vorrebbe affidare i dati della propria carta di credito a un sito web insicuro? E quali danni potrebbe subire la reputazione del vostro brand se i dati dei vostri clienti venissero rubati e utilizzati per scopi illeciti?<\/p>\n
In breve, allo stesso livello delle prestazioni<\/a>, la sicurezza \u00e8 un fattore cruciale per il successo di un sito e-commerce e di un’attivit\u00e0 commerciale. Per questo motivo, in questo articolo abbiamo raccolto un elenco di misure di sicurezza e di best practice che ogni proprietario di e-commerce dovrebbe adottare per rimanere competitivo sui mercati locali e internazionali ed evitare gravi responsabilit\u00e0 legali e danni alla propria attivit\u00e0 online.<\/p>\n
<\/div><\/kinsta-auto-toc>\n 13 principali rischi per la sicurezza dei siti di e-commerce<\/h2>\n
Secondo il Trustwave Global Security Report 2020<\/a>, i rivenditori tradizionali e gli ambienti di e-commerce sono i settori pi\u00f9 esposti ai rischi di cybersecurity<\/strong>, con circa il 24% del totale degli incidenti di sicurezza nel 2019.<\/span><\/p>\n
Questo ci porta a considerare l’importanza della sicurezza per i siti di e-commerce, a scoprire le minacce che incombono su un’azienda online e le misure che i proprietari di siti di e-commerce devono adottare per proteggere le transazioni e i dati dei loro clienti.<\/p>\n
Per comprendere meglio le azioni e le best practice che i proprietari di un’attivit\u00e0 online devono adottare per proteggere i loro siti web e i loro negozi elettronici, dobbiamo innanzitutto capire quali sono le minacce pi\u00f9 pericolose per i siti di e-commerce.<\/p>\n
Basandoci sulla OWASP Top 10 Web Application Security Risks<\/a>, abbiamo stilato il seguente elenco non esaustivo delle minacce pi\u00f9 diffuse che i siti di e-commerce devono affrontare oggi.<\/p>\n
Top Ten OWASP per il 2021 (fonte: OWASP<\/a>)<\/figcaption><\/figure>\n <\/div><\/kinsta-auto-toc>\n 1. Malware e Ransomware<\/h3>\n
Esistono molti tipi di malware<\/a> e diversi livelli di minacce alla sicurezza. Gli hacker li utilizzano per violare i dispositivi e rubare i dati. Il malware pu\u00f2 causare gravi danni economici e pu\u00f2 persino distruggere un’intera azienda.<\/p>\n
Anche se le conseguenze non sono sempre cos\u00ec gravi, i vostri clienti potrebbero ricevere il messaggio di errore “Il sito indicato contiene malware<\/a>” o “Sito ingannevole” o simili, e questo pu\u00f2 influire sulla visibilit\u00e0 del vostro sito nelle SERP e danneggiare seriamente l’immagine del vostro brand.<\/p>\n
Il ransomware<\/a> \u00e8 una sottospecie di malware. In breve, il ransomware dirotta un dispositivo o un sito web, negando l’accesso ai suoi file finch\u00e9 la vittima non paga un riscatto per la chiave di decrittazione.<\/p>\n
A causa dell’elevato rischio che un attacco malware pu\u00f2 avere su un sito di e-commerce, la scansione regolare del vostro sito di e-commerce<\/a> per verificare la presenza di infezioni da malware \u00e8 fondamentale per la vostra attivit\u00e0.<\/p>\n
Ecco la nostra video-guida alle minacce informatiche<\/a><\/strong><\/p>\n
<\/kinsta-video>\n 2. Phishing<\/h3>\n
Il phishing<\/a> \u00e8 un tipo di attacco di social engineering<\/a> utilizzato dai criminali informatici per diffondere malware, solitamente attraverso le e-mail<\/a>.<\/p>\n
Schema di un attacco di phishing (fonte: Cloudflare<\/a>)<\/figcaption><\/figure>\n Si tratta di un tentativo di rubare informazioni sensibili come nomi utente, password, dettagli di carte di credito o conti bancari o altri dati importanti da utilizzare o vendere con intenti malevoli. In genere, questo tipo di attacco avviene tramite spam e altre forme di e-mail fraudolente o messaggi istantanei.<\/p>\n
Il segnale di avvertimento di Google sul phishing. (Fonte: FixMyWP<\/a>)<\/figcaption><\/figure>\n 3. Attacchi DDoS<\/h3>\n
DDoS<\/a> \u00e8 l’abbreviazione di Distributed Denial of Service. Si tratta di un tipo di attacco<\/a> che inonda un sito web con un gran numero di richieste per sovraccaricare il server<\/a> con un traffico Internet eccessivo e far cadere il sito. La conseguenza \u00e8 che il sito viene messo offline e i costi della larghezza di banda aumentano drasticamente. Questo pu\u00f2 anche causare la sospensione del vostro account di hosting.<\/p>\n
La sezione delle statistiche nella dashboard MyKinsta che mostra il consumo di risorse.<\/figcaption><\/figure>\n 4. SQL Injection<\/h3>\n
La SQL injection<\/a> \u00e8 un tipo di attacco effettuato da un malintenzionato che cerca di iniettare istruzioni SQL in un’applicazione web. Se l’attacco ha successo, sar\u00e0 in grado di accedere al database del vostro sito e di leggere, modificare o rimuovere i dati.<\/p>\n
Un esempio di SQL injection (fonte: Cloudflare<\/a>)<\/figcaption><\/figure>\n 5. Cross-site scripting<\/h3>\n
Il Cross-Site Scripting<\/a> (XSS) \u00e8 un tipo di attacco in cui qualcuno inserisce del codice maligno in un sito web per eseguirlo al caricamento della pagina. L’iniezione avviene nel browser dell’utente e in genere mira a rubare informazioni sensibili.<\/p>\n
Come funziona un attacco di cross-site scripting (fonte: Cloudflare<\/a>)<\/figcaption><\/figure>\n 6. Attacchi man-in-the-middle<\/h3>\n
Un attacco man-in-the-middle (MitM) o attacco on-path<\/a> \u00e8 un attacco informatico in cui qualcuno si posiziona nel mezzo della comunicazione tra due dispositivi (come un browser web e un server web) con l’obiettivo di carpire informazioni e\/o impersonare uno dei due agenti con intenti malevoli.<\/p>\n
7. Credential stuffing<\/h3>\n
Il Credential Stuffing<\/a> \u00e8 un attacco informatico in cui l’aggressore utilizza le credenziali ottenute da una violazione dei dati di un servizio o di un sito web per accedere a un altro servizio o sito web. Questo tipo di attacco \u00e8 un rischio comune per i professionisti che lavorano da casa<\/a> e per le aziende remote.<\/p>\n
Come funziona il credential stuffing. (Fonte: Cloudflare<\/a>)<\/figcaption><\/figure>\n 8. Exploit zero-day<\/h3>\n
Un exploit zero-day<\/a> \u00e8 una vulnerabilit\u00e0 di sicurezza non risolta o precedentemente sconosciuta che non ha ancora trovato una soluzione. Zero-day significa che avete zero giorni per risolvere il problema prima che causi gravi danni alla vostra azienda.<\/p>\n
Come gli hacker effettuano un attacco zero-day.(Fonte:<\/b> Norton<\/a>)<\/figcaption><\/figure>\n 9. E-skimming<\/h3>\n
L’e-skimming o digital skimming<\/a> \u00e8 l’inserimento di un software dannoso nel sito web di un rivenditore con l’obiettivo di rubare i dati di pagamento durante il checkout. Questo fenomeno \u00e8 noto anche come attacco Magecart<\/a>.<\/p>\n
Un diagramma che descrive il funzionamento di un attacco MageCart (fonte: Sucuri<\/a>)<\/figcaption><\/figure>\n 10. Attacchi brute force<\/h3>\n
Un attacco brute force<\/a> \u00e8 un metodo di prova ed errore utilizzato per decodificare dati sensibili come credenziali di accesso, chiavi API e credenziali SSH. Una volta che una password \u00e8 stata compromessa, pu\u00f2 essere utilizzata per accedere ad altri servizi se si utilizzano le stesse credenziali su pi\u00f9 siti web. (Vedi credential stuffing<\/a>)<\/p>\n
L’uso di password forti<\/a>, l’attivazione di sistemi di autenticazione a pi\u00f9 fattori<\/a> e l’utilizzo di un solido gestore di password<\/a> sono tutte buone pratiche per prevenire questo tipo di attacchi informatici.<\/p>\n
11. Backdoor<\/h3>\n
Una backdoor<\/a> fornisce un modo per aggirare un sistema di autenticazione o di crittografia per accedere automaticamente a un sito web, a un dispositivo o a un servizio. Una volta che un sito web o un servizio \u00e8 stato violato, un malintenzionato pu\u00f2 creare le proprie backdoor per accedere al vostro sito web, rubare i dati e potenzialmente distruggere l’intero sito.<\/p>\n
12. Attacchi di social engineering<\/h3>\n
Gli attacchi di social engineering<\/a>, letteralmente “ingegneria sociale”, sono particolarmente pericolosi perch\u00e9 sfruttano le caratteristiche della natura umana: la fiducia negli altri, la mancanza di conoscenza, il disagio nel contravvenire a un ordine, l’utilitarismo e cos\u00ec via. La base dell’ingegneria sociale \u00e8 la manipolazione psicologica delle persone allo scopo di divulgare informazioni riservate come password, dettagli di conti bancari e informazioni finanziarie.<\/p>\n
I canali pi\u00f9 comuni utilizzati per eseguire questo tipo di attacco sono le e-mail, le chat, le telefonate, i social network, i siti web e altri. L’aggressore pu\u00f2 poi utilizzare queste informazioni per condurre altri tipi di exploit come il Cross-Site Request Forgery<\/a>.<\/p>\n
Ecco la nostra video guida per capire tutto sugli attacchi CSRF<\/a><\/strong>
\n<\/kinsta-video><\/p>\n 13. Attacchi alla supply chain<\/h3>\n
In genere, con un attacco alla supply chain<\/a>, un cyber-attaccante infiltra del codice maligno nel software di un fornitore da distribuire con un aggiornamento.<\/p>\n
Sebbene non siano cos\u00ec diffusi come altri attacchi backdoor, di recente sono stati rilevati<\/a> attacchi supply chain su diversi plugin di WordPress<\/a>.<\/p>\n
9 best practice per proteggere il vostro sito di e-commerce<\/h2>\n
Mettere in sicurezza un sito web pu\u00f2 essere un compito arduo se non si hanno gli strumenti e le competenze giuste, ma non deve essere un lavoro per tecnici dedicati. L’importante \u00e8 essere consapevoli delle aree di vulnerabilit\u00e0 e istruire voi stessi e il vostro team sulle migliori pratiche per proteggere il vostro sito di e-commerce dalle minacce pi\u00f9 comuni.<\/p>\n
Il vostro compito \u00e8 duplice: da un lato, siete responsabili della sicurezza di WordPress e WooCommerce, di stabilire chi pu\u00f2 accedere alla piattaforma, i plugin da installare, il gateway di pagamento, il sistema di autenticazione e tutto ci\u00f2 che riguarda la manutenzione di WordPress, dei plugin e dei temi. D’altra parte, avete bisogno di un’infrastruttura sicura e all’avanguardia. \u00c8 qui che entra in gioco la qualit\u00e0 del servizio di web hosting.<\/p>\n
Certo, il vostro provider di web hosting non pu\u00f2 salvarvi da qualsiasi tipo di minaccia. Ci sono azioni di sicurezza voi soltanto, in quanto proprietari del sito, potete intraprendere. Ma un servizio di hosting sicuro<\/a> che prenda sul serio la sicurezza del vostro sito pu\u00f2 aiutarvi molto. Ecco le principali caratteristiche di sicurezza da ricercare in un moderno servizio di web hosting.<\/p>\n
<\/div><\/kinsta-auto-toc>\n 1. Scegliere un’infrastruttura di hosting all’avanguardia<\/h3>\n
La scelta dell’infrastruttura di hosting \u00e8 fondamentale per la sicurezza del vostro sito web, per la reputazione del vostro brand e, infine, per il successo della vostra attivit\u00e0. Potete scegliere tra diversi tipi di servizi, che differiscono notevolmente in termini di infrastrutture e servizi offerti:<\/p>\n
\n
- Hosting condiviso<\/li>\n
- Hosting dedicato<\/li>\n
- Hosting VPS<\/li>\n
- Hosting cloud<\/li>\n
- Hosting WordPress gestito<\/li>\n<\/ul>\n
Per un sito di e-commerce, affidarsi a un’infrastruttura sicura \u00e8 fondamentale. Se tenete alla vostra attivit\u00e0, un hosting condiviso<\/a> non \u00e8 un’opzione da prendere in considerazione perch\u00e9 potrebbe non garantire gli standard minimi di sicurezza per un sito e-commerce di successo.<\/p>\n
L’hosting dedicato<\/a> pu\u00f2 essere altamente personalizzato e ottimizzato per la sicurezza, ma pu\u00f2 richiedere competenze da SysAdmin<\/a> che possono essere difficili da trovare per una piccola o media impresa.<\/p>\n
Se avete bisogno di controllare il vostro hosting ma non avetre grandi conoscenze tecniche e\/o risorse, potete optare per un server privato virtuale (VPS), che si colloca a met\u00e0 strada tra l’hosting condiviso e l’hosting dedicato. Ma un VPS pu\u00f2 avere alcuni svantaggi: potrebbe non essere in grado di gestire alti livelli o picchi di traffico e le prestazioni sono comunque influenzate dagli altri siti web presenti sul server.<\/p>\n
Un servizio di cloud hosting<\/a> pu\u00f2 essere una buona opzione per voi, perch\u00e9 in genere dispone di diverse misure di sicurezza per proteggere i vostri siti web. Tuttavia, pu\u00f2 essere difficile da configurare e gestire se non avete le competenze necessarie.<\/p>\n
Un hosting WordPress e WooCommerce gestito<\/a> permette di stare pi\u00f9 tranquilli perch\u00e9 non si \u00e8 responsabili della configurazione e dell’ottimizzazione del server e avete a disposizione un servizio di assistenza specializzato che semplifica l’installazione e la manutenzione del sito.<\/p>\n
Un servizio di hosting WordPress gestito basato sul cloud consente di prendere due piccioni con una fava, combinando l’infrastruttura sicura e ad alta velocit\u00e0 dei servizi cloud con la facilit\u00e0 d’uso dei servizi di hosting WordPress gestito.<\/strong><\/p>\n
Infrastruttura di hosting e stack tecnologico di Kinsta<\/h4>\n
Noi di Kinsta crediamo di aver creato la soluzione di hosting WordPress gestito pi\u00f9 veloce e sicura oggi disponibile su Google Cloud Platform<\/a>.<\/p>\n
Regioni di Google Cloud (Fonte: Google<\/a>)<\/figcaption><\/figure>\n Forniamo VM ottimizzate per il calcolo C3D e C2<\/a> su tutti i piani, da Starter a Enterprise e oltre, nelle regioni in cui sono disponibili. Sfruttiamo anche l’infrastruttura sicura di Google<\/a>, che include un firewall di livello enterprise per filtrare il traffico dannoso prima che raggiunga il vostro sito web.<\/p>\n
Inoltre, abbiamo costruito uno stack tecnologico veloce e sicuro basato su Nginx, MariaDB, PHP 8.4, container LXD e la nostra integrazione di Cloudflare Enterprise, che fornisce ulteriore sicurezza, tra cui un firewall, protezione DDoS e molto altro. Questo stack \u00e8 disponibile per tutti i nostri clienti, indipendentemente dal loro piano.<\/p>\n
Utilizziamo container Linux (LXC) e LXD per orchestrare il tutto sulla Google Cloud Platform (GCP), garantendo un isolamento completo per ogni singolo sito WordPress. Su Kinsta, il vostro sito web non condivide le risorse con nessun altro sito, compresi gli altri siti web del vostro account.<\/strong><\/p>\n
Un diagramma dell’infrastruttura dell’hosting WordPress di Kinsta.<\/figcaption><\/figure>\n Date un’occhiata a questo post per saperne di pi\u00f9 sulla nostra tecnologia all’avanguardia a container isolati<\/a>.<\/p>\n
2. Usare un web application firewall<\/h3>\n
Un web application firewall<\/a> (WAF) \u00e8 uno scudo che filtra le connessioni dannose dal raggiungere il vostro sito web e mantiene sicuro il vostro sito WordPress<\/a>.<\/p>\n
La connessione diretta tra due computer su Internet, come il vostro computer e un server web, non \u00e8 sicura se non c’\u00e8 un firewall di mezzo. Un malintenzionato potrebbe infettare il vostro sito web con un qualche tipo di malware<\/a> o lanciare un attacco DDoS<\/a>.<\/p>\n
\u00c8 qui che entra in gioco un firewall per applicazioni web<\/a>. Analizza ogni singola richiesta di connessione al vostro sito web e blocca i tentativi di accesso potenzialmente dannosi.<\/p>\n
Un WAF \u00e8 fondamentale per il vostro sito web, che siate blogger alle prime armi o degli imprenditori di successo. Per i siti di e-commerce, l’uso di un web application firewall \u00e8 fondamentale perch\u00e9 un sito web non protetto \u00e8 una facile preda per hacker e altri malintenzionati.<\/p>\n
Senza un firewall per applicazioni web, un hacker pu\u00f2 facilmente prendere il controllo del vostro sito, modificare le credenziali di accesso, rubare o distruggere i dati, rovinarli ed eseguire qualsiasi tipo di attivit\u00e0 illecita. Potenzialmente, potrebbe cancellare completamente il vostro sito. Inoltre, il vostro sito sarebbe pi\u00f9 vulnerabile agli attacchi DDoS e brute force.<\/p>\n
Per proteggere il vostro sito web con un WAF, non \u00e8 necessario installare e configurare un software aggiuntivo sul vostro server. Diverse opzioni basate sul cloud, come Cloudflare<\/a>, Sucuri<\/a> e WordFence<\/a>, possono essere configurate sul vostro server in pochi minuti.<\/p>\n
Tutti i siti web ospitati da Kinsta sono protetti da Cloudflare<\/h4>\n
Oltre alla protezione basata sull’IP che forniamo con il firewall di Google Cloud Platform, tutti i siti web ospitati da Kinsta beneficiano della nostra integrazione con Cloudflare<\/a>, che include un web application firewall di livello enterprise con regole personalizzate e protezione DDoS gratuita.<\/p>\n
Grazie alla nostra integrazione con Cloudflare<\/a>, non dovrete configurare manualmente un WAF perch\u00e9 il vostro sito \u00e8 automaticamente protetto dal firewall di Cloudflare, indipendentemente dal piano sottoscritto.<\/p>\n
Come funziona un web application firewall (fonte: Cloudflare<\/a>)<\/figcaption><\/figure>\n 3. Installare un certificato SSL<\/h3>\n
L’SSL \u00e8 un protocollo<\/a> utilizzato per criptare e autenticare i dati inviati tra un’applicazione client e un server web. Se gestite un sito di e-commerce, un certificato SSL \u00e8 fondamentale per il vostro sito e per la vostra attivit\u00e0 perch\u00e9 garantisce la crittografia dei dati, l’autenticazione del sito, l’integrit\u00e0 dei dati e la fiducia degli utenti.<\/p>\n
Inoltre, un certificato SSL migliora il posizionamento sui motori di ricerca perch\u00e9 questi ultimi preferiscono i siti crittografati con SSL. Se volete avere la possibilit\u00e0 di comparire nella prima pagina di Google, dovete avere un certificato SSL valido<\/a> con crittografia HTTPS<\/a>.<\/p>\n
Certificati SSL su Kinsta<\/h4>\n
Se il vostro sito web \u00e8 ospitato da Kinsta, non dovrete occuparvi di tutte le complessit\u00e0 tecniche che un SSL solitamente richiede. I nostri clienti possono usufruire della nostra integrazione con Cloudflare, che include certificati SLL automatici per tutti i siti web WordPress. Questo include certificati SSL wildcard<\/a>, il che significa che il vostro SSL copre anche tutti i sottodomini relativi al vostro dominio principale. E se ne avete gi\u00e0 uno, potete anche installare il vostro certificato SSL personalizzato.<\/p>\n
I certificati SSL di Cloudflare sono gratuiti per tutti i nostri clienti, indipendentemente dal loro piano.<\/strong><\/p>\n
Per una visione pi\u00f9 approfondita dei certificati SSL di Kinsta WordPress, consultate i nostri documenti online<\/a>.<\/p>\n
Ecco la nostra video-guida<\/a> alla scelta del giusto certificato SSL per il vostro sito<\/strong>
\n<\/kinsta-video><\/p>\n 4. Usare connessioni SFTP e SSH sicure<\/h3>\n
Per eseguire un backup manuale del vostro sito WordPress o caricare manualmente un plugin o un tema, dovete accedere al filesystem del sito tramite un client FTP<\/a>. Un client FTP di solito supporta sia le connessioni FTP che SFTP, ma dovreste usare solo l’SFTP<\/a>, che utilizza un canale sicuro per trasferire i file tramite SSH<\/a>. Questo fa una grande differenza rispetto alle connessioni FTP standard.<\/p>\n
Impostazione del protocollo SFTP in Filezilla<\/figcaption><\/figure>\n Kinsta supporta solo connessioni SFTP\/SSH<\/h4>\n
Poich\u00e9 SFTP \u00e8 un metodo pi\u00f9 sicuro, Kinsta supporta solo le connessioni SFTP.<\/strong><\/p>\n
I dettagli su SFTP\/SSH sono disponibili nella dashboard di MyKinsta alla voce Siti WordPress<\/strong> > Nome del sito<\/strong> > Ambiente <\/strong> > Info<\/strong>.<\/p>\n
Credenziali dell’ambiente SFTP in MyKinsta<\/figcaption><\/figure>\n Non dovreste mai utilizzare credenziali di accesso identiche per pi\u00f9 servizi e ambienti di siti web. Per questo motivo, su Kinsta, ogni singolo ambiente del sito web, staging o live, ha credenziali di accesso al database e SFTP\/SSH uniche<\/a>.<\/p>\n
5. Usare le versioni supportate di PHP<\/h3>\n
Ogni versione di PHP \u00e8 in genere supportata per due anni. Solo le versioni supportate ricevono aggiornamenti sulle prestazioni e sulla sicurezza, quindi l’utilizzo di versioni PHP non supportate riduce le prestazioni e aumenta il rischio di vulnerabilit\u00e0 della sicurezza.<\/p>\n
Da agosto 2024, le versioni di PHP ufficialmente supportate sono PHP 8.1, 8.2 e 8.3.<\/p>\n
Versioni PHP supportate (Fonte PHP.net<\/a>)<\/figcaption><\/figure>\n Al momento in cui scriviamo, tutte le versioni di PHP precedenti alla 8.1 non ricevono aggiornamenti di sicurezza. Ci\u00f2 significa che se utilizzate PHP 8.0 o versioni precedenti, il vostro sito \u00e8 esposto a falle di sicurezza che non verranno risolte.<\/strong><\/p>\n
Il core di WordPress \u00e8 costruito con PHP. Anche i plugin sono basati su PHP e WooCommerce non fa eccezione. Se il vostro e-commerce \u00e8 basato su WordPress, l’utilizzo di una versione PHP supportata<\/a> \u00e8 fondamentale per il successo del vostro negozio online.<\/p>\n
Oltre a migliorare la sicurezza, le versioni pi\u00f9 recenti di PHP offrono prestazioni migliori. Potreste ottenere un aumento della velocit\u00e0 del sito<\/a> semplicemente aggiornando la versione PHP pi\u00f9 recente.<\/p>\n
Kinsta consente solo le versioni PHP supportate<\/h4>\n
Questo potrebbe richiedere un ulteriore sforzo di sviluppo se utilizzate plugin personalizzati che non sono compatibili con le versioni PHP supportate. Tuttavia, la nostra principale responsabilit\u00e0 \u00e8 quella di garantire la massima sicurezza ai vostri siti web e alla nostra intera infrastruttura. Per questo motivo, Kinsta non permette di utilizzare versioni PHP non supportate<\/strong>.<\/p>\n
I clienti Kinsta possono cambiare la versione PHP del loro sito WordPress in MyKinsta. Accedete alla sezione di configurazione del vostro sito e selezionate Strumenti<\/strong> dal menu di sinistra. Scorrete la pagina e individuate Motore PHP<\/strong>. Cliccate sul pulsante Cambia<\/strong> e selezionate la nuova versione PHP del vostro sito.<\/p>\n
Cambiare il motore PHP in MyKinsta<\/figcaption><\/figure>\n 6. Abilitare l’autenticazione a due fattori<\/h3>\n
L’uso di password forti per proteggere il vostro sito web e il vostro account di hosting potrebbe non essere sufficiente per proteggere il vostro sito di e-commerce. L’utilizzo di un sistema di autenticazione a pi\u00f9 fattori<\/a> \u00e8 fortemente consigliato.<\/p>\n
L’autenticazione a pi\u00f9 fattori \u00e8 un sistema di autenticazione in cui l’utente che accede al servizio deve fornire due o pi\u00f9 prove della propria identit\u00e0. Questo pu\u00f2 avvenire in diversi modi: biometria, come l’uso di impronte digitali, un’app di autenticazione, un’e-mail, un SMS, un token hardware e altro ancora.<\/p>\n
Quando si tratta di un sito di e-commerce, dovreste garantire la sicurezza dell’autenticazione abilitando l’autenticazione a due fattori<\/a> (2FA) sia sul vostro servizio di hosting che sul vostro sito WordPress.<\/p>\n
Abilitare la 2FA con Kinsta<\/h4>\n
Oltre a utilizzare una password forte per MyKinsta, vi consigliamo di abilitare l’autenticazione a due fattori e di chiedere a tutti gli utenti della vostra azienda di fare lo stesso. Con l’abilitazione dell’autenticazione a due fattori, tutti i tentativi di accesso a MyKinsta richiederanno un codice di verifica aggiuntivo da un’app di autenticazione (ad esempio, Google Authenticator) sul vostro telefono o un’app di gestione delle password.<\/p>\n
Per attivare la 2FA in MyKinsta, cliccate sul vostro nome nell’angolo in alto a destra e selezionate Impostazioni utente<\/strong>. In Il mio account<\/strong>, scorrete la pagina fino alla sezione Autenticazione a due fattori<\/strong>. Cliccate sul pulsante di attivazione e scansionate il codice QR nella vostra app Authenticator, inserite il codice a 6 cifre che vedete nell’app e il gioco \u00e8 fatto.<\/p>\n
Autenticazione a due fattori in MyKinsta<\/figcaption><\/figure>\n Kinsta non supporta pi\u00f9 l’autenticazione a due fattori basata su SMS perch\u00e9 \u00e8 vulnerabile agli attacchi via telefono<\/a> ed \u00e8 meno sicura di un token a tempo. Una recente violazione dei dati di Authy<\/a> ha esposto 33 milioni di numeri di telefono di clienti, aumentando la minaccia di attacchi di phishing via SMS e di scambio di SIM.<\/p>\n
Kinsta non supporta pi\u00f9 l’autenticazione via SMS<\/figcaption><\/figure>\n Potete leggere ulteriori informazioni sulla 2FA su Kinsta nella nostra documentazione<\/a>.<\/p>\n
Abilitare la 2FA con WordPress<\/h4>\n
Potreste anche voler abilitare l’autenticazione a due fattori sul vostro sito web di e-commerce. WordPress non supporta l’autenticazione a due fattori, ma potete aggiungere questa funzione al vostro sito web in modo semplice e veloce con uno dei seguenti plugin:<\/p>\n
\n
- Two Factor Authentication<\/a><\/li>\n
- Google Authenticator<\/a><\/li>\n<\/ul>\n
7. Aggiornamenti del core, dei plugin e dei temi<\/h3>\n
Oltre ai rilasci del core di WordPress, vengono rilasciati regolarmente nuovi aggiornamenti di sicurezza ogni volta che viene rilevata una nuova vulnerabilit\u00e0. Lo stesso avviene per i temi e i plugin.<\/p>\n
Per mantenere protetto il vostro sito WordPress, dovete tenere aggiornato l’intero sito WordPress per prevenire le vulnerabilit\u00e0 di sicurezza.<\/p>\n
Nella dashboard di WordPress, alla voce Cruscotto<\/strong> > Aggiornamenti<\/strong>, potete attivare gli aggiornamenti automatici del core<\/a> per tutte le versioni di WordPress o solo per le versioni di manutenzione e sicurezza.<\/p>\n
Potete anche gestire gli aggiornamenti automatici per i temi e i plugin.<\/p>\n
Abilitare\/disabilitare gli aggiornamenti automatici dei plugin<\/figcaption><\/figure>\n Abilitare\/disabilitare gli aggiornamenti automatici dei temi<\/figcaption><\/figure>\n A partire da WordPress 6.6<\/a>, potete ripristinare gli aggiornamenti automatici<\/a> dei vostri plugin in caso di errore.<\/p>\n
Se preferite, potete disabilitare questa funzione ed eseguire voi stessi gli aggiornamenti, ma aggiornare un gran numero di siti pu\u00f2 essere un compito lungo e noioso. Ecco perch\u00e9 molte agenzie ricorrono a strumenti di terze parti che permettono di gestire gli aggiornamenti di tutti i loro siti WordPress da un unico ambiente esterno.<\/p>\n
I clienti di Kinsta non hanno bisogno di pagare servizi di terze parti per gestire gli aggiornamenti in blocco perch\u00e9 possono sfruttare la funzione di aggiornamento in blocco disponibile nella dashboard di MyKinsta.<\/p>\n
Aggiornamenti di WordPress con Kinsta<\/h4>\n
Potete gestire i temi e i plugin del vostro sito web WordPress direttamente da MyKinsta. Nella vostra dashboard, andate su Siti WordPress<\/strong> > Nome del sito<\/strong> > Temi e plugin<\/strong>. Qui potete selezionare uno o pi\u00f9 plugin o temi e aggiornarli singolarmente o in blocco<\/a>.<\/p>\n
Aggiornare i plugin in blocco in MyKinsta<\/figcaption><\/figure>\n Tenete presente che quando eseguite un aggiornamento da MyKinsta, viene creato un backup generato dal sistema in modo da poter ripristinare il processo per 2 ore se l’aggiornamento fallisce. Questo aggiunge un livello di sicurezza e permette di non avere preoccupazioni durante l’aggiornamento dei plugin o temi.<\/p>\n
Quando si aggiornano i plugin in blocco, viene creato un backup generato dal sistema<\/figcaption><\/figure>\n Potete anche eseguire aggiornamenti in blocco per pi\u00f9 siti WordPress contemporaneamente. Nella dashboard di MyKinsta, selezionate Siti WordPress<\/strong>. Una volta l\u00ec, selezionate uno o pi\u00f9 siti web e cliccate sul pulsante Azioni<\/strong> a destra, quindi selezionate l’azione in blocco che volete eseguire. Se state aggiornando dei plugin, cliccate sulla voce di menu corrispondente. Un pop-up mostrer\u00e0 l’elenco dei plugin per i quali \u00e8 disponibile un aggiornamento.<\/p>\n
Scegliete i plugin da aggiornare e attendete qualche secondo. Un pop-up vi informer\u00e0 se il processo \u00e8 stato completato con successo.<\/p>\n
Se l’aggiornamento non va a buon fine, andate su Nome sito<\/strong> > Backup<\/strong> > Generato dal sistema<\/strong> in MyKinsta e ripristinate il backup pi\u00f9 recente.<\/p>\n
Backup generati dal sistema nella dashboard di MyKinsta<\/figcaption><\/figure>\n E, cosa ancora pi\u00f9 utile, potete eseguire tutte queste operazioni prima su un ambiente di staging<\/a> e poi eseguire il push dallo staging alla versione live<\/a> senza alcun rischio.<\/p>\n
Su Kinsta, potete aggiornare in blocco temi e plugin per tutti i vostri siti WordPress comodamente da un’unica pagina e senza alcun rischio. Perfetto per le agenzie che gestiscono molti siti in un unico luogo.<\/strong><\/p>\n
8. Backup<\/h3>\n
Se un aggiornamento va storto o un sito viene compromesso o completamente cancellato a causa di una vulnerabilit\u00e0 di sicurezza, un backup pu\u00f2 salvarvi la vita<\/a>. Se il vostro host non fornisce un sistema di backup automatico, potete sempre ricorrere a un plugin per WordPress. Noi consigliamo di utilizzare un plugin per WordPress che fornisca backup incrementali<\/a>: ci\u00f2 permette di avere un backup del vostro sito senza perdere spazio su disco o ridurre le prestazioni del sito.<\/p>\n
Tuttavia, un servizio di web hosting che abbia davvero a cuore il vostro sito e-commerce dovrebbe fornire backup regolari di WordPress. Kinsta fornisce sei diversi tipi di backup.<\/strong><\/p>\n
I sei tipi di backup forniti da Kinsta<\/h4>\n
Forniamo backup automatici giornalieri di WordPress<\/strong> e backup generati dal sistema<\/strong> per tutti i siti web WordPress. Questi backup, insieme a quelli manuali<\/strong>, sono disponibili come punti di ripristino in MyKinsta. Potete anche creare manualmente un backup scaricabile<\/strong> una volta alla settimana.<\/p>\n
Potete consultare i vostri backup nella dashboard di MyKinsta alla voce Siti WordPress<\/strong> > Nome del sito<\/strong> > Backup<\/strong>. Qui potete ripristinare il vostro backup<\/a> in un ambiente a vostra scelta con un solo clic.<\/p>\n
Ripristino di un backup in un ambiente di staging in MyKinsta<\/figcaption><\/figure>\n Se aggiornate il vostro e-commerce pi\u00f9 volte al giorno e avete bisogno di pi\u00f9 backup, potete acquistare un componente aggiuntivo per i backup orari<\/a>.<\/p>\n
![\"Top](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/owasp-top-ten.png\")
![\"Schema](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/phishing-attack-1.png\")
![\"L'avviso](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/09\/phising-attack-ahead.png\")
![\"La](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/mykinsta-analytics.png\")
![\"Un](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sql-injection-1.png\")
![\"Un](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/xss-attack-1.png\")
![\"Schema](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/credential-stuffing.png\")
![\"Come](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/11\/Untitled-8.jpg\")
![\"Diagramma](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/magecart-diagram-1.jpg\")
![\"Regioni](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/google-cloud-regions.jpg\")
![\"Un](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/11\/Kinsta-WordPress-hosting-architecture.jpg\")
![\"WAF](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/cloudflare-waf.png\")
![\"Impostazione](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sftp.jpg\")
![\"Credenziali](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sftp-credentials-mykinsta.jpg\")
![\"Versioni](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/supported-php-versions.png\")
![\"Cambiare](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/modify-php-engine-mykinsta.jpg\")
![\"Autenticazione](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/2fa-mykinsta.jpg\")
![\"Kinsta](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sms-authentication-not-supported.jpg\")
![\"Abilitare\/disabilitare](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/plugins-screen.jpg\")
![\"Abilitare\/disabilitare](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/theme-details.jpg\")
![\"Aggiornare](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/update-plugins.jpg\")
![\"Quando](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/plugin-bulk-update-backup.jpg\")
![\"Backup](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/system-generated-backups.jpg\")
![\"Backup](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/daily-backups.jpg\")