يعالج تحسين الأداء “أسرع”، ولكن الخلاصة الحقيقية للمواقع الإلكترونية هي أمران

  • الضمان:: حاول عدم الوقوع في مشاكل (لا تتعرض للاختراق، لا تتعرض للاختراق، لا تتعرض للتعليق، لا تتعرض للتحطم، لا تتعرض لتمرير الواجهات، لا تتعرض للعبث)
  • النسخ الاحتياطي:: الاسترداد السريع حتى في حالة حدوث خطأ ما (حذف عرضي، أو ترحيل الترقية، أو فشل الخادم، أو التراجع بعد الفدية/التسلل)

الأمران التاليان يكملان بعضهما البعض:

  • إذا كنت تقوم بالأمان فقط وليس النسخ الاحتياطية، فلا يزال بإمكانك الانتقال إلى الصفر بين عشية وضحاها إذا واجهت مشاكل لا يمكن السيطرة عليها.“
  • إذا كنت تقوم بالنسخ الاحتياطية فقط دون الأمان، فسوف تقع في دوامة “التعرض للضرب كل يوم والاستعادة كل يوم”، وسيخرج الوقت والتكلفة عن السيطرة!

يجب أن تكون قادراً على القيام بذلك بعد قراءته:

  • معرفة ما يجب تغطيته بـ “النسخ الاحتياطي والأمان” (لتجنب شراء النسخ الاحتياطي الخاطئ، وتثبيت النسخ الخاطئ، وافتراض أنه مضمون)
  • القدرة على تحديد الحل المناسب حسب نوع الموقع (موقع المحتوى/موقع الأعمال/موقع التجارة الإلكترونية/موقع العضوية)
  • القدرة على بدء التشغيل تدريجيًا على خارطة طريق (مرنة، ثم قابلة للتحكم، ثم منظمة)
  • يمكن التحقق منها باستخدام قائمة التحقق من الاختبار الذاتي: النسخ الاحتياطيإنه حقاً قابل للاسترداد.الأمنهناك بالفعل دفاع.
  • معرفة أين يجب البحث أولاً عند حدوث مشاكل (فشل النسخ الاحتياطي، فشل الاسترداد، الاشتباه في الاختراق، إلخ)

1 - الهدف: أنت بحاجة إلى “نظام قابل للاسترداد” وليس “مكون إضافي”.”

لا تتعلق النسخ الاحتياطية بـ “وجود ملف نسخ احتياطي”.”

بدلاً من ذلك:هل يمكنك إعادة الموقع بالطريقة التي تريدها عندما تحتاج إليها

لذا، فإن المؤشر الرئيسي للنسخ الاحتياطي ليس “تثبيت مكون إضافي للنسخ الاحتياطي”، بل هذان الأمران:

  • نافذة فقدان البيانات المقبولة (RPO):: إلى متى يمكنك قبول فقدان البيانات في أسوأ السيناريوهات؟
    على سبيل المثال: قد يكون فقدان موقع محتوى 24 ساعة من المقالات مقبولاً؛ أما فقدان موقع تجارة إلكترونية لـ 30 دقيقة من الطلبات فهو أمر خطير.
  • وقت الاسترداد المقبول (RTO):: ما مدى السرعة التي تتوقعها للعودة إلى العمل بعد الحادث؟
    مثال: قد يرغب موقع المؤسسة في التعافي خلال ساعة واحدة؛ وقد يرغب موقع التجارة الإلكترونية في التعافي خلال 10-30 دقيقة.

لا يتعين عليك كتابة هذه المقاييس في معادلة، ولكن استخدمها لاتخاذ القرار:تكرار النسخ الاحتياطي، ووقت الاحتفاظ بالنسخ الاحتياطية، والحاجة إلى نسخ احتياطية في الوقت الحقيقي/نسخ احتياطية متزايدة، والحاجة إلى الاسترداد بنقرة واحدة/الاسترداد خارج الموقع

2- وضع استراتيجية سريعة حسب نوع الموقع (التوجيه، ثم اختيار الأداة)

نصيحة استراتيجية:

أ. مواقع/مدونات المحتوى

  • تواتر التغيير: عادة “يومي/أسبوعي”
  • تردد النسخ الاحتياطي الموصى به:كل يومقاعدة البيانات الاحتياطية + محتوى wp (التحميلات/المواضيع/المكونات الإضافية)
  • هدف الاسترداد: نسخة الأمس/اليوم كافية (مع التركيز على عدم فقدان المقالات ومكتبة الوسائط).

ب. موقع العمل/موقع التسويق (نماذج العملاء المحتملين مهمة)

  • تواتر التغيير: ليس بالضرورة أن يكون مرتفعًا، ولكن الاستمارات/الدلائل مهمة للغاية
  • تكرار النسخ الاحتياطي الموصى به: قاعدة البيانات على الأقلكل يوملن تكون بيانات النموذج والبريد الإلكتروني/إدارة علاقات العملاء “في مكان واحد”.”
  • هدف الاسترداد: التراجع السريع في حالة حدوث مشاكل في البرامج النصية للتحديث/المراجعة/إضافة البرامج النصية للتتبع

ج. موقع التجارة الإلكترونية (WooCommerce)

  • تواتر التغيير: الطلبات/المخزون/سلوك المستخدم المستمر
  • تكرار النسخ الاحتياطي الموصى به: مفضلتردد أعلى(كل ساعة، أو حتى في الوقت الحقيقي/في الوقت الحقيقي تقريبًا)، على الأقل جعل حماية قاعدة البيانات قوية
  • هدف الاسترداد: الحد الأدنى من فقدان بيانات الطلبات؛ القدرة على استعادة روابط الدفع/الطلبات بسرعة

د. موقع العضوية/موقع الدورة/المجتمع

  • تواتر التغيير: تقدم المستخدم، والأذونات، وفتح المحتوى، وبيانات التفاعل
  • تكرار النسخ الاحتياطي الموصى به: تكرار أعلى لقواعد البيانات؛ مع نقاط استرداد “نقطة في الوقت”
  • هدف الاسترداد: عدم العبث ببيانات المستخدم، وعدم فقدان الأذونات، وعدم العبث بالمحتوى

3- خارطة الطريق الاحتياطية (يوصى بالمضي قدمًا في هذه المراحل الثلاث)

أبرز الملامح:دعونا نجعل “الاسترداد القادر” أولاً، ثم نتحدث عن “الأتمتة والتنظيم”.

المرحلة 1: ابدأ بـ “النسخ الاحتياطي التلقائي + التخزين خارج الموقع”

هذا هو بيت القصيد. بغض النظر عن الأداة التي تستخدمها، يجب أن يتم الوفاء بها:

  • تلقائي:: لا تعتمد على “سأتذكر النقر عليه يدويًا”.”
  • التخزين خارج الموقع:: لا تكتفي بوضع النسخ الاحتياطية على نفس الخادم
    والسبب بسيط للغاية: توقف الخادم عن العمل/تعطل القرص/تعطل القرص/اختراق الحساب لحذف المكتبة، وقد تختفي “النسخة الاحتياطية المحلية” معًا.

تشمل التطبيقات النموذجية للأداة ما يلي:

  • يقوم المكون الإضافي للنسخ الاحتياطي بدفع النسخ الاحتياطية إلى محرك أقراص سحابي/مخزن الكائنات/موقع FTP (أبدرافت بلس (على سبيل المثال، يتم دعم Dropbox و Google Drive و Amazon S3 والعديد من الأهداف الأخرى بشكل صريح).
  • تقوم خدمة النسخ الاحتياطي السحابي بوضع النسخ الاحتياطية في السحابة الخاصة بها وتوفر الاسترداد بنقرة واحدة (النسخ الاحتياطي Jetpack VaultPress (النسخ الاحتياطي السحابي والاسترداد بنقرة واحدة بشكل أساسي، ولكن يجب تضمين خطة مدفوعة للنسخ الاحتياطي)

المرحلة 2: ترقية النسخ الاحتياطية إلى “أنظمة قابلة للاسترداد”

الكثير من المواقع تتدحرج بالفعل، ليس بسبب نقص في النسخ الاحتياطية، ولكن بسبب:

  • نسخة احتياطية غير مكتملة (قاعدة البيانات فقط، وليس التحميلات/المواضيع/الإضافات)
  • ملف النسخ الاحتياطي تالف/أذونات غير صحيحة
  • عندما تحتاج إلى التعافي، فإنك تدرك أن “عملية التعافي لا تعمل”.”

وبالتالي فإن أهداف المرحلة الثانية هي:مارس تمرين التعافي المنتظم(حتى في بيئة الاختبار/استرداد الدليل المؤقت)، تأكد من النقاط التالية:

  • يمكن استرداد قاعدة البيانات.
  • يمكن استعادة مكتبة الوسائط (wp-content/uploads/
  • يمكن استعادة القوالب/المكونات الإضافية (wp-content/themes/wp-content/plugins/
  • بعد الاسترداد، يمكن الوصول إلى الموقع بشكل طبيعي، ويمكن تسجيل الدخول إلى الواجهة الخلفية بشكل طبيعي، ويمكن تشغيل الوظائف الرئيسية (التجارة الإلكترونية لاختبار عملية الطلب/الدفع، وموقع العضوية لاختبار تسجيل الدخول/الأذونات).

هذا هو السبب في أن العديد من حلول النسخ الاحتياطي التجارية تركز على “الاسترداد بنقرة واحدة” و“الاسترداد دقيقة بدقيقة” و“النسخ الاحتياطية التزايدية لتقليل الحمل”. على سبيل المثال سرداب المدونة في وصف الإضافة تم التأكيد على أنه ** يتم توفير نسخ احتياطية تلقائية وتدريجية (بما في ذلك قواعد البيانات والقوالب والإضافات والوسائط)** ووظائف الترحيل/التدريج.إدارةWP يتم التركيز أيضًا على تقليل الحمل باستخدام تقنيات النسخ الاحتياطي التزايدي وتوفير الاسترداد بنقرة واحدة.

المرحلة 3: ربط النسخ الاحتياطية بعملية التحديث/الإصدار (نقطة الاستعادة)

في هذه المرحلة، يكون هدفك هونقطة التراجع قبل كل تغيير رئيسي

تشمل السيناريوهات النموذجية ما يلي:

  • ترقية إصدار ووردبريس الأساسية الرئيسية
  • تغيير السمة/إصلاح القالب
  • تركيب أو استبدال المكونات الإضافية الرئيسية (مدفوعات التجارة الإلكترونية، وأنظمة العضوية، وأنظمة النماذج)
  • استبدال الصور دفعة واحدة/الترحيل الجماعي للمحتوى

إن الهدف من المرحلة الثالثة هو أنك لست بحاجة إلى “الدعاء بأن يكون التغيير على ما يرام”، بل يمكنك العودة بسرعة إلى “اللحظة التي سبقت التغيير” إذا حدث خطأ في التغيير.

4 - النسخ الاحتياطي لما يجب نسخه احتياطيًا بالضبط (كثير من الأشخاص الذين يقومون بالنسخ الاحتياطي تغيب عنهم هذه النقاط الرئيسية)

الضروري 1: قاعدة البيانات (حيث تذهب الطلبات/المستخدمين/المحتوى/الإعدادات)

  • المقالات والصفحات والتعليقات
  • المستخدمون، الأذونات
  • طلبات WooCommerce، والمخزون، والقسائم
  • تكوينات المكونات الإضافية (عدد كبير من التكوينات المخزنة في قاعدة البيانات)

أساسي 2: محتوى wp-content (هذا هو الجزء الأكبر من “الأصول المرئية” لموقع ووردبريس)

  • uploads:: الصور، والمرفقات، ومكتبة الوسائط (أسهل مكان “نسيت نسخه احتياطيًا”)
  • themes:: ملفات القالب (رمز/قوالب مخصصة)
  • plugins:: ملفات المكوّنات الإضافية (بعض المكوّنات الإضافية تكتب أيضًا ملفات مخصصة)

حسب الاقتضاء: معلومات التكوين وبيئة التشغيل

لا تتجاهل الاختلافات البيئية:

  • قد تتسبب اختلافات إصدار PHP في الإبلاغ عن أخطاء بعد الاسترداد
  • قد تؤدي الاختلافات المحددة في مكونات الامتداد/ذاكرة التخزين المؤقت إلى سلوكيات مختلفة
  • قد تؤثر قواعد البروكسي العكسي/1TPT214T/قواعد الأمان على واجهة تسجيل الدخول والواجهة الخلفية

لا تقتصر عملية الاسترداد على إعادة الملف فقط، بل أيضًا التأكد من أن بيئة التشغيل والتكوين يمكن أن تدعم تشغيله.

5- اختيار برنامج النسخ الاحتياطي

النوع أ: النسخ الاحتياطية الموقوتة الموصولة (حل بداية مناسب لمعظم المواقع)

الخصائص: منخفضة التكلفة، ويمكن التحكم فيها، والنشر السريع؛ ولكن عليك القيام بـ “تخزين خارج الموقع + تدريب قوي على الاسترداد”.

أدوات التمثيل:

  • أبدرافت بلس: ينصب التركيز الرئيسي على النسخ الاحتياطي للمهام المجدولة واستردادها، مع دعم واضح لأهداف النسخ الاحتياطي المتعددة (Dropbox وGoogle Drive وAmazon S3 وFTP والبريد الإلكتروني وغيرها) على صفحة الإضافة.
    مثالية لـ: مواقع المحتوى/المواقع التجارية التي تبدأ العمل؛ والمواقع التي تريد “نسخًا احتياطية على وحدة التخزين الخاصة بها”.
  • النسخ الاحتياطي والترحيل WPvivid: تسلط صفحة الإضافة الضوء على النسخ الاحتياطية وعمليات الترحيل والترحيل والتدريج (يمكن إنشاء التدريج في دليل فرعي لاختبار التغييرات).
    مثالي لـ: الأشخاص الذين يهاجرون المواقع بشكل متكرر ويحتاجون غالبًا إلى اختبار التغييرات على أساس مخصص.
  • المُضاعِف:: تؤكد صفحة المكوّن الإضافي على النسخ الاحتياطي/التعبئة/الترحيل/استنساخ المواقع إلى مضيفين جدد أو نطاقات جديدة.
    مثالية لـ: الترحيل، ونسخ المواقع، وإنشاء مواقع اختبارية، وإنشاء “حزم قابلة للنقل”.

يعد UpdraftPlus أكثر من مجرد “مشغل نظام احتياطي”.”

يعد WPvivid/ Duplicator أفضل في “الترحيل/التغليف/النسخ” ولكن يمكنه أيضًا عمل نسخ احتياطية.

النوع (ب): النسخ الاحتياطي السحابي/النسخ الاحتياطي في الوقت الفعلي (أكثر ملاءمة للمواقع الأكثر حساسية للبيانات ووقت الاسترداد)

الميزات: التركيز على “لكل تغيير/حماية التغييرات عالية التردد” و“الاسترداد بنقرة واحدة”، أشبه بمجموعة من الخدمات.

أدوات التمثيل:

  • النسخ الاحتياطي ل Jetpack VaultPress (Jetpack Backup):: تؤكد صفحة الإضافة على النسخ الاحتياطي السحابي والاسترداد بنقرة واحدة، وتتطلب صراحةً باقة Jetpack المدفوعة التي تتضمن النسخ الاحتياطي، والتيتبرز صفحة الاشتراك الرسمية أيضاً“حفظ كل تغيير، والعودة سريعًا إلى حالة قابلة للاستخدام بنقرة واحدة”.
    مثالي لـ: مواقع التجارة الإلكترونية/العضوية/المواقع الإلكترونية الحساسة لـ “سرعة الاسترداد”، أو أولئك الذين يرغبون في الاستعانة بمصادر خارجية لعمليات النسخ الاحتياطي لخدمة ناضجة.
  • سرداب المدونة: يتضمن وصف الإضافة صراحةً “نسخًا احتياطيًا تلقائيًا وآمنًا وتدريجيًا (قاعدة البيانات، والقوالب، والإضافات، والوسائط)” مع إمكانات مدمجة للترحيل والترحيل.
    مثالي لـ: المواقع التي يكون فيها “النسخ الاحتياطي + الاختبار + الترحيل” سير عمل كامل.
  • إدارةWP:: التركيز على تقنيات النسخ الاحتياطي التزايدي لتقليل حمل الخادم وتوفير الاسترداد بنقرة واحدة.
    مثالي لـ: الأشخاص (الاستوديوهات/الفرق) الذين يديرون مواقع متعددة ويريدون إجراء النسخ الاحتياطية/التحديثات/المراقبة في لوحة واحدة بطريقة موحدة.

النوع C: لقطة من جانب المضيف/نسخة احتياطية تلقائية/نسخة احتياطية تلقائية (يوصى به بشدة باعتباره “خط تأمين ثانٍ”)

قيمة النسخ الاحتياطية للمضيف: تميل إلى أن تكون “لقطة على مستوى النظام” مع تغطية أوسع (بما في ذلك حالة قواعد البيانات والملفات، وحتى البيئة على مستوى ما).

المفاهيم الخاطئة الشائعة:

  • النسخ الاحتياطي للمضيف ≠ النسخ الاحتياطي القابل للترحيل:: قد لا تكون النسخ الاحتياطية للاستضافة ملائمة عند تغيير المضيفين، أو عند الحاجة إلى أخذ النسخ الاحتياطية الخاصة بك.
  • تعد النسخ الاحتياطية الإضافية أكثر ترحيلًاتقع النسخ الاحتياطية على وحدة تخزين يمكنك التحكم فيها، مما يجعل الاسترداد عبر البيئات أكثر مرونة.

لذلك فإن التركيبة الأكثر استقراراً هي عادةً:

النسخ الاحتياطي المستضاف (تحت الغطاء) + النسخ الاحتياطي الإضافي/النسخ الاحتياطي السحابي (طبقة التطبيق القابلة للترحيل + نقاط استرداد دقيقة)

6- خريطة الطريق الأمنية (ابدأ بالأساسيات الأكثر فعالية، وليس بمجموعة من المكونات الإضافية)

لا يتعلق الأمان بـ “تثبيت عشرة مكونات إضافية”، بل يتعلق ببناء دفاعات على أساس كل طبقة على حدة:

المرحلة 1: الحسابات والامتيازات (أكبر الفوائد وأكثرها فورية)

ما تريد القيام به في هذه المرحلة هو “جعل نقاط الدخول الأكثر شيوعاً أكثر صعوبة”:

  • تصغير حساب المسؤول: فقط لمن يحتاجون إليه
  • سياسة كلمات المرور القوية: عدم إعادة الاستخدام، وعدم استخدام كلمات مرور ضعيفة
  • المصادقة الثنائية (التحقق بخطوتين)هذه واحدة من أكثر التحسينات فعالية في عصر “كلمات المرور المعطلة/المسربة”.
    على سبيل المثال الأمن المتين تدعم صفحة الإضافة صراحةً العديد من طرق المصادقة الثنائية (Authy، وموثق Google، والبريد الإلكتروني، والرموز البديلة، وما إلى ذلك).
  • حماية تسجيل الدخول: الحد من محاولات القوة الغاشمة وتجنب عمليات تسجيل الدخول عن طريق التمرير
  • تم تعطيل/حذف الحسابات غير المستخدمة؛ تم حذف القوالب/المكونات الإضافية التي لم تعد قيد الاستخدام (وليس فقط إلغاء تنشيطها)

المرحلة 2: التحديثات وإدارة التعرض (لا تترك المخاطر في الإصدارات القديمة)

يأتي عدد كبير من اختراقات ووردبريس من “الإضافات/القوالب/المواضيع/النواة القديمة ذات الثغرات المتاحة للعامة”.

لذلك، يعد “التحديث” أحد الجوانب الأساسية لاستراتيجية الأمان.
تشير وثائق ووردبريس إلى إدخال تحديثات الخلفية التلقائية من ووردبريس 3.7 لتحسين الأمان، وتنص على تمكين التحديثات التلقائية افتراضيًا على معظم المواقع، ومن 5.6 يتم تمكين بدء تشغيل موقع جديد تلقائيًااستراتيجيات مثل تحديثات الإصدار الرئيسي مقابل تحديثات الإصدار الثانوي.

المبدأ:

  • أن يكون للمكونات الأساسية/المواضيع/المكونات الإضافية استراتيجية تحديث واضحة (مراجعة تلقائية/شبه تلقائية/يدوية)
  • نقاط التراجع قبل التحديثات الرئيسية (ارجع إلى القسم 3، “المرحلة الاحتياطية 3”)
  • يجب استبدال المكونات الإضافية التي لم تعد تتم صيانتها في أقرب وقت ممكن (هذه هي الطريقة الأكثر مباشرة “لتقليل التعرض”).

المرحلة 3: الحماية والكشف (تصعيب نجاح الهجمات واكتشاف الحالات الشاذة في وقت مبكر)

ما تريد القيام به في هذه المرحلة هو أن تكون “أشبه بدفاع منهجي”:

  • جدار الحماية/واف (حجب جزء من حركة المرور غير المرغوب فيها قبل أن تصل إلى ووردبريس)
  • فحص التعليمات البرمجية الضارة، ومراقبة سلامة الملفات
  • سجلات وتنبيهات الأمان: عمليات تسجيل الدخول غير الطبيعية، وتغييرات الامتيازات، والملفات المعدلة
  • المراقبة: مراقبة وقت التعطل، وانتهاء صلاحية الشهادة، والـ 5xx الشاذة، وارتفاع حركة المرور الشاذة

أدوات التمثيل:

  • ووردفانس: تتضمن صفحة الإضافة بوضوح جدار الحماية وفحص البرمجيات الخبيثة وأمان تسجيل الدخول، وتذكر أن الإصدار المدفوع يحصل على قواعد جدار الحماية وتحديثات توقيعات البرمجيات الخبيثة في الوقت الفعلي، بينما الإصدار المجاني يتأخر 30 يومًا.
    التوصية: تعمل النسخة المجانية على تحسين الأمان الأساسي بشكل كبير، ولكن إذا كان موقعك أكثر خطورة أو يعتمد بشكل أكبر على “معلومات التهديد المحدّثة”، فافهم الفرق في “تأخيرات التحديث”.
  • باتشستاك(أفكار التصحيح الافتراضي/الحماية من الاستغلال):: يسلط موقعها الرسمي الضوء على حماية المواقع من الإضافات/المواضيع الضعيفة من خلال التصحيحات الافتراضيةباتشستاكوهناك إرشادات للنسخة المجانية لتوفير تنبيهات بالثغرات، والنسخة المدفوعة لتوفير الحماية التلقائية من الثغرات، وأفكار أخرى.
  • سوكوري(التخليص وخدمة الأمن): تركز صفحة الخدمة الخاصة به على تنظيف البرمجيات الخبيثة مع القدرة على فحص/حظر الاختراقات المستقبلية Sucuri باستمرار.

7 - الإنذارات بالمخاطر

المزالق عالية التردد المتعلقة بالنسخ الاحتياطي

  1. تكون النسخ الاحتياطية محلية على الخادم فقط
    عندما تتعطل الخوادم، غالباً ما تختفي معها النسخ الاحتياطية المحلية.
  2. قاعدة البيانات فقط وليس محتوى wp-content
    عند الاستعادة ستجد: المنشور موجود، أو اختفت الصورة؛ أو اختفى تخصيص القالب؛ أو أن ملفات الإضافة غير متناسقة مما يؤدي إلى حدوث خطأ.
  3. لا تقم أبداً بتدريبات الاسترداد.
    في اللحظة الحرجة فقط تدرك أن عملية الاسترداد قد فشلت، أو أن النسخة الاحتياطية تالفة، أو أن الملفات المهمة مفقودة.
  4. تكرار النسخ الاحتياطي لا يتطابق مع العمل
    مواقع التجارة الإلكترونية/مواقع العضوية التي تقوم بالنسخ الاحتياطي مرة واحدة في اليوم، في أسوأ الأحوال قد تفقد بيانات الطلبات/بيانات سلوك المستخدم ليوم واحد، بتكلفة قد تتجاوز بكثير تكلفة النسخ الاحتياطي.

الحفر ذات الترددات العالية المتعلقة بالسلامة

  1. مكون إضافي للأمان مثبت ولكن لم يتم تحديثه منذ فترة طويلة
    الإضافات الأمنية ليست بديلاً عن التحديثات. فالثغرات الأمنية القديمة موجودة ولن تختفي المخاطر.
  2. كثرة حسابات المسؤولين/الحسابات المشتركة/الحسابات المشتركة
    الأذونات خارجة عن السيطرة، ويصعب تتبع السجلات، وتسليم المخرجات محفوف بالمخاطر.
  3. التفكير في “WAF/CDN آمن”.”
    يمكن ل WAFs إيقاف العديد من الهجمات العامة، لكنها لا تستطيع إصلاح كلمات المرور الضعيفة، والثغرات القديمة، والمكونات الإضافية ذات الأبواب الخلفية، وما إلى ذلك. النهج الأكثر أمانًا هو “الدفاع متعدد الطبقات”. الشيء الأكثر أمانًا هو أن يكون لديك "طبقات متعددة من الدفاع".
  4. كما يؤدي تكديس إضافات أمان متعددة تتعارض مع بعضها البعض إلى إبطاء الموقع
    يجب أن تعطي سياسات الأمان الأولوية “الأقل هو الأكثر”: المصادقة الثنائية + السياسات المحدّثة + جدار الحماية/الفحص + التنبيهات؛ وليس “كلما قمت بتثبيت المزيد كلما كنت أكثر أمانًا”.

8 - قائمة التحقق من الصحة

التحقق من النسخ الاحتياطية (لا تقل “لدي نسخة احتياطية” إذا لم تجتاز هذه 8)

  • ما إذا كان يتم تمكين النسخ الاحتياطية التلقائية (وليس اليدوية)
  • ما إذا كانت النسخة الاحتياطية تحتوي على قاعدة بيانات + محتوى wp (التحميلات/المواضيع/المكونات الإضافية)
  • ما إذا كان يتم تخزين النسخ الاحتياطية خارج الموقع (محرك أقراص سحابي/مخزن كائنات/خادم مستقل)
  • هل هناك استراتيجية واضحة للاحتفاظ (على سبيل المثال الاحتفاظ لمدة 7/30/90 يومًا)
  • ما إذا كانت آخر نسخة احتياطية ناجحة (وليس “الجدول الزمني موجود”)
  • متى كان آخر تمرين تعافي؟ هل كانت ناجحة؟
  • هل هناك نقطة تراجع إضافية تم إنشاؤها قبل التحديث الكبير؟
  • إتاحة المسار الحرج بعد الاسترداد (تسجيل الدخول، والنماذج، والوصول إلى طلبات التجارة الإلكترونية/العضوية، وما إلى ذلك)

التحقق من الأمان (الحصول على الأساسيات أولاً)

  • هل يتم تصغير حساب المسؤول؟ هل توجد آلية لتنظيف حساب الخروج؟
  • تمكين أو تعطيل 2FA(على الأقل مسؤول/محرر/مدير متجر/مدير متجر ذو سلطة عالية)
  • هل هناكاستراتيجية التحديث(الأساسية/المواضيع/المكونات الإضافية)
  • ما إذا كنت تريد إزالة الإضافات/الأنماط غير المستخدمة (وليس فقط إلغاء تنشيطها)
  • توفر جدار الحماية/حماية تسجيل الدخول/المسح الضار (ووردفانس (قد يغطي جزء منها)
  • إتاحة تنبيهات الثغرات الأمنية/أفكار التصحيح الافتراضي (باتشستاك وما إلى ذلك)
  • توفر الإنذارات (عمليات تسجيل الدخول غير الطبيعية، وتغييرات الملفات، ووقت التعطل، وانتهاء صلاحية الشهادة)
  • إتاحة “خطط الطوارئ”: ما هي الخطوة الأولى التي يجب اتخاذها في حالة حدوث اختراق/عبث

المشاكل الشائعة

1 - هل يكفي استخدام النسخة الاحتياطية الخاصة بالمضيف فقط؟

لا يُنصح عادةً بالاعتماد على مصدر واحد فقط.
النسخ الاحتياطية للاستضافة رائعة، لكنها لا تسهل عليك بالضرورة “الإزالة والترحيل والاستعادة بشكل جيد”. إنها أكثر استقرارًا:النسخ الاحتياطية المستضافة للدعم + النسخ الاحتياطية الإضافية/النسخ الاحتياطية السحابية للترحيل والتحكم في نقاط الاسترداد

2- كم مرة يجب أن أقوم بالنسخ الاحتياطي؟

وفقًا “لمعدل تغير البيانات”:

  • مواقع المحتوى: عادة ما يكفي في اليوم الواحد
  • موقع المؤسسة: يوميًا (خاصةً إذا كان هناك عملاء محتملون في النموذج) وتأكيد أن العملاء المحتملين ليسوا فقط على الموقع
  • التجارة الإلكترونية/العضوية: يوصى بالمزيد من الترددات العالية (كل ساعة أو حتى في الوقت شبه الحقيقي)، حيث أن بيانات الطلب/المستخدم أكثر قيمة

3- ما هي مدة الاحتفاظ بالنسخ الاحتياطية؟

اعتماداً على المحتوى واحتياجات الامتثال، يمكنك استخدام هذه الفكرة:

  • احتفظ بما لا يقل عن 7-30 يومًا للتراجع المنتظم
  • إذا كنت قلقًا بشأن “الأبواب الخلفية الكامنة/التلاعب المزمن”، فمن الأفضل أن تبقي الدورة أطول (90 يومًا مثلًا) حتى تتمكن من العودة إلى نسخة نظيفة سابقة!

4. هل UpdraftPlus / WPvivid / Duplicator “نفس الشيء”؟

كلاهما يتراجعان ولكن بتأكيدات مختلفة:

  • أبدرافت بلس عادةً “النسخ الاحتياطي المجدول + التخزين متعدد الأهداف + الاسترداد”.”
  • WPvivid التركيز على النسخ الاحتياطي + الترحيل + قدرات الاختبار التدريجي
  • المُضاعِف قوي جدًا في “موقع الحزمة/الترحيل/الاستنساخ”

إذا كنت تستخدم “نوع” للتحديد، فلن يتم الخلط بين الاسم.

5- لماذا يجب أن أدفع مقابل Jetpack Backup؟ ما الغرض منه؟

نظرًا لأنها في الأساس “خدمة نسخ احتياطي سحابي” - مع التركيز على الحفظ السحابي والاستعادة بنقرة واحدة - يجب أن تتضمن صفحة الإضافة صراحةً خطط الدفع للنسخ الاحتياطيةتؤكد صفحة الاشتراك الرسمية على حفظ كل تغيير واسترداد سريع بنقرة واحدة.
مثالي لـ: الأشخاص الأكثر حساسية لسرعة الاسترداد ويرغبون في ترك تشغيل وصيانة النسخ الاحتياطي لخدمة ناضجة.

6 - ما الهدف من “النسخ الاحتياطية الإضافية” مثل BlogVault / ManageWP؟

النسخ الاحتياطية التزايدية في جوهرها:النسخ الاحتياطي للتغييرات فقطمما يقلل من حمل الخادم مع السماح بإنشاء نقاط استرداد بتردد أعلى.

  • البرنامج المساعد BlogVault Pluginتؤكد الإرشادات على النسخ الاحتياطية التلقائية والتدريجية والكتابة فوق قواعد البيانات/المواضيع/الإضافات/الوسائط، مع الترحيل والترحيل المدمج;
  • إدارةWP يتم التأكيد أيضًا على تقنيات النسخ الاحتياطي التزايدي لتقليل الحمل وتوفير الاسترداد بنقرة واحدة.

مثالي لـ: المواقع الكبيرة، والكثير من الوسائط، والتحديثات المتكررة، أو إذا كنت تدير مواقع متعددة.

7 - هل يكفي مكون إضافي أمني واحد؟

بالنسبة لمعظم المواقع، عادةً ما يكون “مكون إضافي أمني رئيسي واحد + الحصول على السياسة الأساسية الصحيحة” أكثر فعالية من “مجموعة منها”.
على سبيل المثال ووردفانس يمكن أن يغطي القدرات الأساسية مثل جدار الحماية والمسح الضوئي وأمان تسجيل الدخول؛ إلى جانب 2FA(تقدم شركة Solid Security مجموعة متنوعة من الطرق للقيام بذلك) يمكن أن تؤدي بالفعل إلى زيادة تكلفة الهجوم بشكل كبير.

8- هل تعمل النسخة المجانية من Wordfence؟ لماذا يتحدث البعض عن الانتقال إلى الإصدار Premium؟

صفحة المكون الإضافي Wordfenceالوضوح: يوفر الإصدار Premium تحديثات فورية لقواعد جدار الحماية والتوقيعات الضارة في الوقت الفعلي، بينما يتأخر الإصدار المجاني لمدة 30 يومًا.
يعتمد احتياجك إلى قسط التأمين من عدمه على مستوى المخاطرة ومستوى تحملك للمخاطر:

  • المواقع منخفضة المخاطر: إصدار مجاني + تحديثات في الوقت المناسب + 2FA، عادة ما تكون مفيدة بالفعل!
  • مخاطر أكبر أو اعتماد أكبر على “معلومات التهديدات المحدّثة”: الحاجة إلى فهم الفرصة السانحة التي يمكن أن تخلقها “التحديثات المتأخرة”

9- ما الذي تحله بالضبط “الرقعة الافتراضية” مثل Patchstack؟

تكمن الفكرة في استخدام القواعد لحجب سطح الهجوم للثغرات المعروفة في طبقة التطبيق قبل استغلال الثغرات في المكوّنات الإضافية/الموضوعات (أو قبل أن تنتشر التصحيحات بشكل كامل).الموقع الرسمي لباتشستاكالتركيز على المكونات الإضافية/المواضيع الضعيفة للحماية الافتراضية للتصحيح الافتراضي، مع شرح الفروق المجانية/المدفوعة في التنبيهات والحماية الآلية.
هذا ليس بديلاً عن التحديثات، بل هو وسيلة لتقليل مخاطر “نافذة التصحيح”.

10 - هل سأقفل على نفسي إذا قمت بتفعيل المصادقة الثنائية (2FA)؟

يوصى بالاستعداد مسبقاً:

  • رمز بديل/طريقة استرداد بديلة (الأمن المتين (كما ذُكرت برامج مثل رموز backup)
  • الاحتفاظ بـ “مدير طوارئ” واحد على الأقل وتأمين معلومات الاسترداد
  • المفتاح: لا تضع معلومات الاسترداد في نفس المكان الذي يمكن أن يصل إليه الاختراق

11- هل يجب تشغيل التحديث التلقائي لوردبريس أم لا؟

وثائق ووردبريساشرح أن آلية التحديث التلقائي في الخلفية تهدف إلى تحسين الأمان ويتم تمكينها افتراضيًا لمعظم المواقع، وأنه يمكن تكوين أنواع مختلفة من نُهج التحديث.
التوصية:

  • تحديثات الأمان وتحديثات الإصدارات الثانوية: تميل إلى أن تكون تلقائية (تقليل الوقت اللازم لكشف الثغرات المعروفة)
  • الإصدارات الرئيسية/تحديثات المكوّنات الإضافية الحرجة: ادمج نقاط التراجع الاحتياطية مع عملية اختبار قبل المضي قدمًا (على الأقل لتتمكن من التراجع)

12- ما هي الخطوة الأولى إذا اشتبهت في اختراق أحد المواقع الإلكترونية؟

الترتيب الصحيح (لتجنب إحداث فوضى أكبر):

  1. أوقف النزيف أولاً.:: تقييد عمليات تسجيل الدخول في الخلفية مؤقتا، وتعليق الوظائف المشبوهة، وفتح صفحات الصيانة عند الضرورة
  2. الحفاظ على الأدلة ونقاط الاسترداد أولاً:: عمل نسخة احتياطية للحالة الراهنة على الفور (للتحليل) وإعداد نقطة استرجاع نظيفة في نفس الوقت
  3. التراجع/التنظيف:: تحديد أولوية الاسترداد إلى نقطة زمنية معروفة نظيفة أو استخدام خدمة تنظيف احترافية (سوكوري وما إلى ذلك، مع التركيز على التنظيف من المواد الضارة والحماية المستمرة)
  4. ترقيع ثقب:: تحديث النواة/المكونات الإضافية/المواضيع، وإعادة تعيين كلمات المرور والمفاتيح، وتشغيل المصادقة الثنائية، وإزالة الحسابات والمكونات الإضافية المشبوهة

13 - أقوم بالأمن والنسخ الاحتياطي، لماذا أحتاج إلى المراقبة؟

لأن “الاكتشاف المبكر” يقلل من الخسائر.
وقت التعطل، والشهادات منتهية الصلاحية، وحركة المرور غير الطبيعية، وعمليات تسجيل الدخول غير الطبيعية، والطلبات غير الطبيعية - هذه كلها مشكلات “كلما عرفت ذلك مبكرًا، كان ذلك أفضل”.