Backup del Sito Web: La Guida che la Vostra Agenzia Non Vi Ha Mai Dato

Ecco una domanda che blocca la maggior parte degli imprenditori: se il vostro sito web scomparisse adesso, quanto velocemente potreste recuperarlo? Sapete dove sono i backup? I backup esistono? Sono mai stati testati?

La maggior parte delle aziende non sa rispondere a queste domande. Presumono che il provider di hosting o l'agenzia web gestisca i backup. A volte e vero. Spesso no. E anche quando i backup esistono, sono frequentemente non testati, incompleti o conservati in un modo che li rende inutili quando servono davvero.

Questa guida copre tutto quello che dovete sapere sui backup del sito web, scritta per imprenditori che vogliono smettere di sperare che il sito sia protetto e iniziare a saperlo con certezza.

Le Domande a Cui la Vostra Agenzia Dovrebbe Aver Risposto

Se un'agenzia web ha costruito il vostro sito, dovrebbe aver fornito risposte chiare a queste domande. Se non l'ha fatto, chiedetele adesso:

1. Vengono fatti i backup? Dell'intero sito, non solo del database o solo dei file.
2. Con che frequenza? Giornaliera? Settimanale? Mensile?
3. Dove sono conservati? Sullo stesso server? Un server diverso? Un provider diverso? Offline?
4. Per quanto tempo vengono mantenuti? Potete ripristinare dalla settimana scorsa? Dal mese scorso? Da sei mesi fa?
5. Sono mai stati testati? Qualcuno ha mai ripristinato un backup per verificare che funzioni?
6. Chi e il responsabile? E il provider di hosting, l'agenzia o voi?
7. Qual e il processo di ripristino? Quanto tempo richiede? Chi chiamate? Qual e il costo?
8. Cosa succede se il rapporto con l'agenzia finisce? Avete accesso ai backup? Potete portarli con voi?

Se la vostra agenzia non sa rispondere a queste domande in modo chiaro e immediato, avete un problema. Non un problema ipotetico futuro. Un problema adesso, perche il vostro sito potrebbe andare giu domani e non avreste un percorso di recupero.

Backup dell'Hosting vs. Backup Reali

Molti provider di hosting includono "backup automatici" nei loro piani. Suona rassicurante, ma ci sono limitazioni significative:

Perche i Backup dell'Hosting Non Bastano

• Stessa posizione: I backup dell'hosting sono tipicamente conservati sullo stesso server o nello stesso data center. Se il server ha un guasto catastrofico, i backup vanno giu con il sito.
• Vulnerabilita al ransomware: Se il ransomware cripta il server, spesso cripta anche i backup conservati sullo stesso sistema.
• Breve retention: 7-14 giorni di retention significano che se un hack non viene rilevato per tre settimane (cosa comune), non c'e un backup pulito da cui ripristinare.
• Lock-in del provider: Se volete lasciare il provider di hosting, potreste non poter portare i backup con voi.
• Nessun SLA garantito: La maggior parte dei provider dichiara nei termini di servizio che i backup sono forniti "al meglio" senza responsabilita se falliscono.
• Non li controllate voi: Non potete verificare che i backup stiano girando, testare i ripristini autonomamente o gestire le policy di retention.

I backup dell'hosting sono una funzione di comodita, non una soluzione di disaster recovery.

La Regola 3-2-1 per i Backup dei Siti Web

• 3 copie dei dati del vostro sito (il sito live piu due copie di backup)
• 2 tipi di storage diversi (es. storage del server piu cloud storage)
• 1 copia offsite o offline (conservata in un luogo fisico diverso o disconnessa dalla rete)

Implementazione Pratica 3-2-1

1. Copia 1: Il sito live (il vostro server)
2. Copia 2: Backup giornaliero automatizzato su cloud storage (AWS S3, Google Cloud Storage, Backblaze B2) in una regione diversa
3. Copia 3: Download settimanale del backup conservato offline (disco esterno) o con un provider cloud separato

Frequenza dei Backup: Quanto Spesso e Abbastanza?

Tipo di Sito	Frequenza Consigliata	Perche
Sito vetrina statico	Settimanale + dopo ogni modifica	Il contenuto cambia raramente
Blog o sito di news	Giornaliera	Nuovi contenuti pubblicati regolarmente
E-commerce	Piu volte al giorno (o replica DB in tempo reale)	Ordini, dati clienti e inventario cambiano costantemente
Applicazione web con dati utente	Oraria o in tempo reale	Contenuti generati dagli utenti cambiano continuamente

Quando Fare Backup Extra

Create sempre un backup prima di: aggiornare il CMS, installare o aggiornare plugin, fare modifiche significative al contenuto, eseguire migrazioni del database, cambiare configurazione hosting.

Cosa Salvare

1. File del Sito

Tutti i file sul server web: HTML, CSS, JavaScript, immagini, documenti, file del CMS, file dei plugin, file del tema, media caricati.

2. Database

Per siti basati su CMS, il database contiene la maggior parte del contenuto: pagine, articoli, prodotti, utenti, ordini, impostazioni. Senza il database, i file sono inutili.

3. Configurazione del Server

Configurazione del web server (Apache .htaccess, Nginx nginx.conf), configurazione PHP (php.ini), cron job e impostazioni personalizzate del server.

4. Certificati SSL/TLS

Se usate certificati SSL personalizzati (non Let's Encrypt gratuiti che possono essere riemessi), salvate i file del certificato e le chiavi private.

5. Configurazione Email

Se il sito invia email transazionali, salvate la configurazione email, i template e le credenziali SMTP.

6. Record DNS

Documentate la configurazione DNS. Se dovete configurare il sito su un nuovo server, dovrete ricreare i record DNS.

Testare i Ripristini: Un Backup Non Testato Non e un Backup

Questo e l'aspetto piu trascurato della gestione dei backup. Avere file di backup non e la stessa cosa che avere un backup funzionante. Se non avete mai ripristinato dai vostri backup, non sapete se funzionano.

Cosa Puo Andare Storto

• File di backup corrotti
• Backup incompleti (manca il database, o alcune directory)
• Mismatch di versione (diversa versione PHP, MySQL o CMS)
• Problemi di permessi dei file
• Riferimenti a percorsi non corrispondenti

Come Testare

Come minimo, testate i ripristini trimestralmente. Impostate un ambiente di test, prendete il backup piu recente e tentate un ripristino completo. Verificate che il sito ripristinato funzioni. Documentate il processo.

Backup Offsite e Offline Contro il Ransomware

Il ransomware e una delle minacce piu grandi per i siti aziendali. Il ransomware cripta i file e richiede un pagamento per la chiave di decrittazione. Se i backup sono accessibili dalla stessa rete o server, il ransomware li criptera anche.

Come Proteggere i Backup dal Ransomware

• Backup offline: Tenete almeno una copia di backup non connessa a nessuna rete. Un disco rigido esterno conservato in cassaforte funziona.
• Storage immutabile: Usate cloud storage con funzionalita di immutabilita (AWS S3 Object Lock, Backblaze B2). Una volta scritti, questi backup non possono essere modificati o cancellati, nemmeno con credenziali admin.
• Credenziali separate: Le credenziali per lo storage dei backup devono essere diverse da quelle del server.
• Backup air-gapped: Per siti di alto valore, mantenete backup su storage fisicamente disconnesso dalla rete.

Per maggiori informazioni sulle strategie di difesa dal ransomware, vedete il nostro articolo sulla prevenzione ransomware per i siti web.

Version Control come Backup

Se il codice del sito e gestito con Git, avete gia una forma di backup per il codice. Ma Git non copre il database, i media caricati o le credenziali. Git e un complemento alla strategia di backup, non un sostituto.

Piano di Disaster Recovery per il Vostro Sito

Recovery Time Objective (RTO)

L'RTO risponde: "Quanto velocemente deve essere rimesso online il sito?" Per un sito vetrina, forse 24-48 ore sono accettabili. Per un e-commerce che fa CHF 10.000/giorno di vendite, ogni ora offline costa soldi.

Cosa Dovrebbe Includere il Piano

1. Lista contatti: Chi chiamare quando il sito va giu. Tenetela su carta, non solo in digitale.
2. Credenziali di accesso: Dove sono i dettagli di login dell'hosting? Del registrar del dominio? Del database?
3. Posizione dei backup: Dove sono i backup? Come accedervi?
4. Procedura di ripristino: Istruzioni passo-passo scritte per qualcuno che potrebbe non conoscere il sistema.
5. Pagine prioritarie: Se un ripristino parziale e piu veloce, quali pagine sono piu critiche?
6. Piano di comunicazione: Come informare i clienti che il sito e giu.
7. Calendario di test: Quando e stato testato l'ultima volta il piano?

Errori Comuni

• Presumere che qualcun altro se ne occupi: Senza verificare con domande specifiche e testare i backup.
• Salvare solo i file o solo il database: Servono entrambi per un ripristino completo.
• Tenere i backup solo sullo stesso server: Se il server fallisce, perdete sia il sito che i backup.
• Non testare mai i ripristini: Scoprite che i backup sono corrotti nel momento in cui ne avete bisogno.
• Nessun versioning: Se tenete solo il backup piu recente e il sito e stato hackerato due settimane fa, il backup contiene l'hack.
• Non fare backup prima degli aggiornamenti: Un aggiornamento plugin rompe il sito e non avete un backup pre-aggiornamento.

Cosa Fare Ora

1. Fate le domande elencate sopra alla vostra agenzia o provider di hosting. Ottenete risposte chiare e scritte.
2. Verificate che i backup esistano. Chiedete prove. Uno screenshot dei file di backup con le date.
3. Implementate la regola 3-2-1.
4. Testate un ripristino. Fatelo ora, non durante un'emergenza.
5. Scrivete un piano di disaster recovery. Anche un documento di una pagina con contatti, posizione delle credenziali e passaggi base di ripristino e meglio di niente.
6. Impostate un promemoria trimestrale per testare i ripristini e rivedere il piano.

Se volete aiuto per impostare una strategia di backup adeguata per il vostro sito web, inclusi backup automatizzati, storage offsite, test di ripristino e piano di disaster recovery, contattate il nostro team. Aiutiamo aziende in tutta la Svizzera a proteggere la loro presenza online dalla perdita di dati.