Existe alguma maneira de eu instalar algo no computador do cliente, para ele atualizar o site na máquina local e automaticamente as postagens irem para o servidor em nuvem, mas travando no servidor qualquer tipo de acesso aos usuários? Ou seja: se a pessoa entrar diretamente pelo dns meusite.com.br/wp-admin ou qualquer url que acesse o login, não consigam fazer isso? Últimamente alguns dos sites de meus clientes sofreram ataques da pessoa colocar até um login admin e ficar postando e inserindo malware no site. Depois, descobrir que eles faziam isso por uma falha do Visual Composer que estava desatualizado.
Sobre segurnaça.
Problemas de segurança em plugins e temas é comum.
Por isso é importante sempre manter tudo atualizado.
Pessoalmente acompanho falhas de segurança em temas e plugins por esse serviço.
É um banco de dados com falhas conhecidas.
Sobre instalar o site em maquina local e compartilhar a publicação no site ativo.
Nunca estudei sobre. Mas talvez seja possível por feed.
Eu também não estudei isso a fundo, mas me parece que dá pra fazer usando git e github, mas para isso o servidor de núvem tem que ter suporte a conectividade com o git/github.
Uma outra solução talvez seria um tunelamento.
Por falar em soluções de segurança, vc sabe me dizer se um malware inserido em uma base de dados funcionaria se estivesse apenas no banco de dados? Em todas as vezes que sites de meus clientes foram infectados, eu consegui recuperar usando a base de dados e movendo apenas a pasta upload para nova infratestrutura (outro servidor). Nesse caso, eu apenas reinstalo o core do wordpress novo, os plugins também e só aproveito do outro servidor onde havia a contaminação no site, apenas base de dados e uploads
Em relação ao git/github, o problema é conseguir instruir nossos clientes a aprenderem coisas como dar push, commit, etc, para os dados serem transportados para o servidor.
Uma solução quebra galho, mas nada muito eficiente, seria criar um subdominio apenas para postagem, apontando o banco e a pasta upload para o site principal. Nesse caso, teria de impedir o dashboard do site principal estar disponívelm seja via script no wp-config.php, seja apagando a pasta wp-admin. Nas minhas férias foi tentar essa maluquice. heheheh