per mettere in sicurezza il sito deve essere sicuro il server.
Nessuna configurazione o direttiva è sbagliata a priori se c'è un workaround.
Basarsi sui tool disponibili per giudicare la sicurezza di un sito non è possibile in quanto ragiona senza considerare il lavoro a monte; ..anzi può essere dleterio seguirne i "suggerimenti" se non si ha coscienza di ciò che si fa.
Direi comunque che hai centrato il problema: backup! ... perchè?
Siamo abituati a fare dei mischioni di ciò che apprendiamo poichè non possiamo avere "cultura" su tutto.
I "veri" attacchi hackers non vengono diretti al cms. Ciò che può interessare un hacker sono server che supportano applicazioni, non certo server condivisi e magari su sgarabau. Bucare un qualsiasi sito su un server condiviso è solo questione di pazienza, poichè i setup solitamente sono permissivi per dare all'utente più possibilità con meno errori e per non intasare il sysadmin su servizi da 20 euri l'anno, e anche gli aggiornamenti vengono fatti con paurose latenze.
Mentre per neutralizzare un qualsiasi attacco al proprio sito è sufficiente un backup, nel caso di un sito come Microsoft, ...beh nn è proprio così... devi occuparti di infinite più cose, il backup diventa importante ma ciò che preme è la Business Continuity.
Se attacchi Ms non è certo per mettergli l'avatar in homepage o per dirgli all'admin che ha un buco nell'appz
... attacchi la Business Continuity, mandi il server in dos o gli occupi tutti i thread negando l'accesso al loro vero business.
Ti può interessare parzialmente questo discorso se ad esempio usi virtuemart o comunque un commercio elettronico, stare fermi un giorno può essere una perdita.... ma mai come i milioni di euri che costa a Ms.
... così... avevo voglia di chiacchierare un po'
M.
