Аптымізацыя прадукцыйнасці вырашае пытанне “хутчэй”, але сапраўдны вынік для вэб-сайта залежыць ад дзвюх рэчаў:

  • БяспекаПазбягайце інцыдэнтаў любой цаной (не дайце зламаць сябе, не заразіцеся шкоднаснай праграмай, не станьце ахвярай нападу «credential stuffing», не падвярхайцеся сілавым атакам на API, не дазваляйце скажэнне даных).
  • Рэзервовая копіяНават калі нешта пойдзе не так, вы можаце хутка аднавіцца (выпадковае выдаленне, няўдалае абнаўленне, збоі сервера, адкаты пасля ўздзеяння шкоднаснай праграмы/ўварвання).

Наступныя два пытанні ўзаемадапаўняльныя:

  • Засяроджванне выключна на бяспецы без рэалізацыі рэзервовага капіравання можа прывесці да поўнай страты даных за адну ноч, калі ўзнікнуць непрадбачаныя праблемы.“
  • Засяроджванне выключна на рэзервовых копіях без прыярытэтнасці бяспекі завяжа вас у цыкл “штодзённых атак і штодзённага аднаўлення”, дзе і час, і выдаткі выходзяць з-пад кантролю.

Пасля прачытання гэтага вы павінны зможаце:

  • Дакладна разумець, што павінна ахопліваць “Рэзервовае капіраванне і бяспека” (каб пазбегнуць набыцця няправільнага прадукту, яго няправільнай устаноўкі або ўяўлення, што сама ўстаноўка гарантуе поўную абарону)
  • Выберыце адпаведнае рашэнне ў залежнасці ад тыпу сайта (кантэнт-сайт / карпаратыўны сайт / сайт электроннай камерцыі / сайт з членствам)
  • Укараняць паэтапна ў адпаведнасці з дарожным картай (спачатку забяспечыць аднаўленне, потым дасягнуць кантраляванасці, а нарэшце стварыць сістэмную аснову)
  • Можна праверыць з дапамогай кантрольнага спіса самаправеркі: Рэзервовае капіраваннеСапраўды аднаўляльныБяспекаСапраўды ёсць лінія абароны.
  • Ведаць, з чаго пачаць ліквідацыю непаладак, калі ўзнікаюць праблемы (напрыклад, няўдалыя рэзервовыя капіі, няўдалыя аднаўленні, падазрэнні на ўзлом і г.д.).

1. Мэта: вам патрэбна “сістэма, якую можна аднавіць”, а не проста “ўсталяванне плагіна”.”

Рэзервовыя копіі — гэта не пра тое, ці існуюць файлы рэзервовых копій.“

Хутчэй:Ці можаце вы аднавіць вэб-сайт да патрэбнага стану, калі гэта спатрэбіцца?

Такім чынам, ключавыя паказчыкі рэзервовых копій — гэта не проста “ўсталяваны плагін для рэзервовых копій”, а хутчэй гэтыя два пункты:

  • Дапушчамае акно страты даных (RPO)Які максімальны перыяд страты даных вы маглі б перанесці ў самым дрэнным выпадку?
    Прыклад: для кантэнт-сайтаў страта артыкулаў за 24 гадзіны ўсё яшчэ можа быць дапушчальнай; для платформаў электроннай камерцыі страта заказаў за 30 хвілін з'яўляецца вельмі праблематычнай.
  • Дапушчальная мэтавая працягласць аднаўлення (RTO)Як хутка пасля інцыдэнту вы хацелі б зноў быць у сетцы?
    Прыклад: карпаратыўным вэб-сайтам можа спатрэбіцца аднаўленне на працягу гадзіны; платформам электроннай камерцыі — на працягу 10–30 хвілін.

Вам неабавязкова падаваць гэтыя паказчыкі ў выглядзе формул, але выкарыстоўвайце іх для вызначэння:Частата рэзервовага капіравання, перыяд захавання, патрабаванне да рэзервовых копій у рэальным часе/інкрэментальных рэзервовых копій, патрабаванне аднаўлення адным пстрычкам/аднаўлення па-за межамі сайта

2. Хутка вызначайце стратэгію ў залежнасці ад тыпу сайта (спачатку вызначце напрамак, потым абярыце інструменты)

Стратэгічныя рэкамендацыі:

А. Сайт з кантэнтам / Блог

  • Частата абнаўленняў: звычайна “штодзённыя/штотыднёвыя абнаўленні”
  • Рэкамендаваная частата рэзервовага капіравання:кожны дзеньРэзервовая копія базы даных + wp-content (загрузкі/тэмы/плагіны)
  • Мэта аднаўлення: Аднаўленне да любой версіі, пачынаючы з учорашняй ці сённяшняй, з'яўляецца прымальным (галоўнае — не страціць артыкулы і медыятэку).

B. Карпаратыўны вэб-сайт / Маркетынгавы вэб-сайт (Ліды на аснове форм маюць вырашальнае значэнне)

  • Частата змен: неабавязкова высокая, але формы/ліды маюць вырашальнае значэнне.
  • Рэкамендаваная частата рэзервовага капіравання: Не меншкожны дзеньі забяспечыць, каб даныя формы не знаходзіліся выключна ў адным месцы, напрыклад, у электроннай пошце або CRM-сістэмах.“
  • Мэта аднаўлення: забяспечыць хуткае вяртанне да папярэдняга стану ў выпадку ўзнікнення праблем падчас абнаўленняў, рэдызайну або дадання скрыптаў адсочвання.

C. Сайт электроннай камерцыі (WooCommerce)

  • Частата змен: Замовы/інвентар/паводзіны карыстальнікаў адбываюцца бесперапынна.
  • Рэкамендаваная частата рэзервовага капіравання: патрабуе першачарговай увагібольшая частата(гадзінна, ці нават у рэальным/блізкім да рэальнага часе), як мінімум, абарона базы даных павінна быць надзейнай.
  • Мэта аднаўлення: мінімізаваць страту даных заказаў; забяспечыць хуткае аднаўленне шляхоў апрацоўкі аплаты/заказаў.

D. Партал членаў / Партал курсаў / Супольнасць

  • Частата змен: прагрэс карыстальніка, дазволы, разблакіроўка кантэнту, даныя ўзаемадзеяння
  • Рэкамендаваная частата рэзервовага капіравання: для баз даных яна павінна быць больш высокай; пры гэтым кропкі аднаўлення павінны быць “звязаны з канкрэтным момантам часу”.
  • Мэты аднаўлення: Даныя карыстальніка захоўваюцца непашкоджанымі, дазволы захоўваюцца, а змесціва не змяняецца.

3. Рэзервовая дарожная карта (Рэкамендуецца праходзіць гэтыя тры фазы)

Ключавыя моманты:Спачатку забяспечце магчымасць аднаўлення, потым абмяркуйце аўтаматызацыю і сістэматызацыю.

Этап 1: Спачатку дасягніце “аўтаматычнага рэзервовага капіравання + захоўвання па-за месцам”.”

Гэта абсалютна мінімальны патрабаванне. Незалежна ад інструментаў, якія вы выкарыстоўваеце, яны павінны адпавядаць наступным крытэрыям:

  • АўтаматызацыяНе спадзявайцеся на “Я памятаю, што націскаў на яго ўручную”.”
  • Знешняе захоўваннеНе захоўвайце рэзервовыя копіі толькі на тым жа серверы.
    Прычына даволі простая: калі сервер выйдзе з ладу, дыск выйдзе з строю або ваш уліковы запіс будзе ўзламаны і база даных сцерта, ваш “лакальны рэзервовы капія” цалкам можа знікнуць разам з ёй.

Тыповыя рэалізацыі інструмента ўключаюць:

  • Плагін рэзервовага капіравання выгружае рэзервовыя копіі ў воблачнае сховішча/сховішча аб'ектаў/FTP.АпдрафтПлюс Яўна падтрымлівае розныя мэты, такія як Dropbox, Google Drive, Amazon S3 і іншыя.
  • Хмарныя сэрвісы рэзервовага капіравання захоўваюць рэзервовыя копіі ў сваёй хмарнай інфраструктуры і забяспечваюць аднаўленне адным пстрычкай.Jetpack VaultPress Backup 主打云备份与一键恢复,但需要包含 Backup 的付费方案)

Этап 2: Абнаўленне рэзервовай копіі да “аднаўляльнай сістэмы”

Многія вэб-сайты сапраўды збіваюцца не таму, што ім не хапае рэзервовых копій, а таму што:

  • Рэзервовае капіраванне не завершана (была скапіравана толькі база даных, а не загрузкі/тэмы/плагіны)
  • Рэзервовы файл пашкоджаны / няправільныя дазволы
  • Толькі калі спатрэбілася аднаўленне, стала відавочна, што працэс аднаўлення быў у сваёй аснове непрацоўным.“

Такім чынам, мэта 2-га этапу:Перыядычна праводзьце вучэнні па аднаўленні.(Нават пры аднаўленні ў тэставым асяроддзі/часовай каталозе) пераканайцеся ў выкананні наступных пунктаў:

  • Базу даных можна аднавіць.
  • Медыятэку можна аднавіць.wp-content/uploads/
  • Тэмы/плагіны можна аднавіць.wp-content/themes/wp-content/plugins/
  • Пасля аднаўлення сайт павінен быць даступны, бэкэнд — дазваляць звычайную аўтэнтыфікацыю, а асноўныя функцыі — працаваць належным чынам (сайты электроннай камерцыі павінны праверыць працэсы размяшчэння заказаў і аплаты; сайты з членствам павінны праверыць сістэмы аўтэнтыфікацыі і дазволаў).

Менавіта таму многія камерцыйныя рашэнні для рэзервовага капіравання робяць акцэнт на такіх функцыях, як “аднаўляе ў адзін клік”, “аднаўленне на ўзроўні хвіліны” і “паступовыя рэзервовыя копіі для зніжэння нагрузкі”. Напрыклад, БлогВолт Апісанне плагіна робіць акцэнт на **аўтаматычным паступовым рэзервовым капіраванні (уключаючы базы даных, тэмы, плагіны і медыя)** і забяспечвае функцыянальнасць для стэйджынгу/міграцыі.Менеджмент WP Таксама падкрэсліваецца выкарыстанне тэхналогіі інкрыментальнага рэзервовага капіравання для змяншэння нагрузкі, пры гэтым забяспечваецца аднаўленне адным пстрычкай.

Этап 3: Звязванне рэзервовых копій з “Працэсам абнаўлення/выпуску” (кропка адкату)

На гэтым этапе ваша мэта:Перад кожным значным змяненнем даступная кропка адкату.

Тыповыя сцэнарыі ўключаюць:

  • Асноўнае абнаўленне ядра WordPress
  • Змяніць тэму / Кардынальная перапрацоўка шаблона
  • Усталяванне або замена ключавых плагінаў (плацежных сістэм для электроннай камерцыі, сістэм членства, сістэм форм)
  • Партыйнае замяшчэнне выяў / Маштабная міграцыя кантэнту

Значнасць этапу 3 у наступным: вам не трэба “маліцца, каб змены прайшлі гладка”, а хутчэй здольнасць хутка вярнуцца да “моманту да змяненняў”, калі ўзнікаюць праблемы.

4. Што менавіта трэба рэзерваваць? (Многія людзі ігнаруюць гэтыя важныя моманты)

Асноўнае 1: База даных (дзе захоўваюцца заказы, карыстальнікі, кантэнт і налады)

  • Артыкулы, старонкі, каментарыі
  • Карыстальнікі, Дазволы
  • Замовы, тавары і ваўчары WooCommerce
  • Канфігурацыя плагіна (Пашыраныя налады захоўваюцца ў базе даных)

Неабходнасць 2: wp-content (Гэта складае асноўную частку бачных рэсурсаў сайта WordPress)

  • uploadsВыявы, дадаткі, медыятэка (элементы, якія найлягчэй “прапусціць” пры рэзервовым капіраванні)
  • themesТэматычныя файлы (карыстальніцкі код/шаблоны)
  • pluginsФайлы плагінаў (некаторыя плагіны таксама могуць запісваць у карыстальніцкія файлы)

Прыдатна: інфармацыя пра канфігурацыю і асяроддзе выканання

Не ігнаруйце разыходжанні ў навакольным асяроддзі:

  • PHP 版本差异可能导致恢复后报错
  • Розрозненні ў пэўных кампанентах пашырэння/кэша могуць прывесці да рознага паводзін.
  • 反向代理/CDN/安全规则可能影响登录与后台接口

Аднаўленне ўключае не толькі вяртанне файлаў у іх першапачатковы стан, але і забеспячэнне таго, што аперацыйнае асяроддзе і канфігурацыя здольныя падтрымліваць іх выкананне.

5. Выбар рэзервовага рашэння

Тып A: Планавыя рэзервовыя копіі плагіна (падыходзіць як адпраўная кропка для большасці вэб-сайтаў)

Асаблівасці: нізкі кошт, кіравальнасць, хуткая разгортка; аднак неабходна забяспечыць надзейную рэалізацыю “пазасайтавага захоўвання + вучэнняў па аднаўленні”.

Тыповыя інструменты:

  • АпдрафтПлюсАсноўны акцэнт на планаваным рэзервовым капіраванні і аднаўленні, пры гэтым на старонцы плагінаў чыста падтрымліваюцца некалькі мэтаў бэкапа (Dropbox, Google Drive, Amazon S3, FTP, электронная пошта і інш.).
    Падыходзіць для: сайтаў з кантэнтам / карпаратыўных сайтаў, якія толькі пачынаюць; і сайтаў, якія жадаюць “рабіць рэзервовыя копіі на ўласным падкантрольным сховішчы”.
  • WPvivid Backup & MigrationСтаронка плагіна робіць акцэнт на рэзервовым капіраванні, міграцыі і стэйдзінгу (дзе стэйдзінгавае асяроддзе можна стварыць у паддырэкторыі для тэсціравання мадыфікацый).
    Падыходзіць для тых, хто часта пераносіць сайты або якому патрабуецца часовае тэсціраванне мадыфікацый.
  • ДублікатарСтаронка плагіна робіць акцэнт на рэзервовым капіраванні, пакаванні, міграцыі і клонаванні сайтаў на новыя хосты або новыя дамены.
    Падыходзіць для: міграцыі, рэплікацыі вэб-сайтаў, наладкі тэставых асяроддзяў і стварэння “партатыўных пакетаў вэб-сайтаў”.

UpdraftPlus больш арыентаваны на пачатак працы з сістэмамі рэзервовага капіравання.“

WPvivid/Duplicator выдатна спраўляецца з міграцыяй, упакоўкай і рэплікацыяй, хоць таксама можа рабіць рэзервовыя копіі.

Тып B: Хмарная рэзервовая копія / рэзервовая копія ў амаль рэальным часе (больш падыходзіць для сайтаў з павышанай адчувальнасцю да даных і часу аднаўлення)

Асаблівасці: Акцэнт робіцца на “абароне ад любых/частых змен” і “аднаўленні адным пстрычкай”, функцыянуючы хутчэй як комплекс паслуг.

Тыповыя інструменты:

  • Jetpack VaultPress Backup (Jetpack Backup)Старонка дапаўнення падкрэслівае хмарнае рэзервовае капіраванне і аднакрокавае аднаўленне, а таксама ўдакладняе, што неабходна ўключыць платны план Jetpack з Backup.Афіцыйная старонка падпіскі таксама падкрэслівае“Захоўвайце кожную змену і аднаўляйце працоўны стан адным пстрычкай.
    Падыходзіць для: сайтаў электроннай камерцыі/сайтў з членствам, а таксама для тых, хто ўважліва ставіцца да хуткасці аднаўлення, або для тых, хто жадае перадаць аперацыі па рэзервовым капіраванні стабільнаму пастаўшчыку паслуг.
  • БлогВолтАпісанне плагіна яўна ўключае “аўтаматычныя, бяспечныя, інкрыментальныя рэзервовыя копіі (база даных, тэмы, плагіны, медыя)” і мае ўбудаваныя магчымасці для стэйдзінгу і міграцыі.
    Падходзіць для: Сайтаў, якія разглядаюць “рэзервовае капіраванне + тэсціраванне + міграцыя” як адзіны інтэграваны працоўны працэс.
  • Менеджмент WPАкцэнтуе ўвагу на паэтапнай тэхналогіі рэзервовага капіравання для зніжэння нагрузкі на сервер і забяспечвае аднаўленне адным пстрычкам.
    Падходзіць для: Асоб, якія кіруюць некалькімі сайтамі (студыямі/камандамі) і жадаюць цэнтралізавана рабіць рэзервовыя копіі, абнаўленні і весці маніторынг праз адну панэль кіравання.

Тып C: снэпшоты/аўтаматычныя рэзервовыя копіі на баку хоста (настойліва рэкамендуецца як “другі рубеж абароны”)

Каштоўнасць рэзервовых копій хоста: яны звычайна з'яўляюцца “здымкамі на ўзроўні сістэмы”, якія забяспечваюць больш шырокае ахопліванне (уключаючы базы даных і файлы, а нават стан пэўных слаёў асяроддзя).

Распаўсюджаныя памылковыя ўяўленні:

  • Рэзервовая копія хоста ≠ мігравальная рэзервовая копіяКалі вы мяняеце хостынг-правайдара або вам трэба забраць свае рэзервовыя копіі, сістэма рэзервовага капіравання хоста можа быць нязручнай.
  • Рэзервовыя копіі плагінаў таксама з'яўляюцца партатыўнымі.Рэзервовыя копіі знаходзяцца на сховішчы, якое вы кантралюеце, што забяспечвае большую гібкасць для аднаўлення ў розных асяроддзях.

Таму звычайна самая стабільная камбінацыя:

Рэзервовае капіраванне хоста (асноўная рэзервовая копія) + рэзервовае капіраванне з дапамогай плагіна/воблака (партатыўнасць на ўзроўні праграмы + гранулярныя кропкі аднаўлення)

6. Дарожная карта бяспекі (Пачынаючы з найбольш эфектыўных асноўных мер, без выкарыстання плагінаў)

Не ўсталёўвайце адразу дзесяць плагінаў пасля запуску; правільны падыход — ствараць абарону пластамі:

Фаза 1: Уліковыя запісы і дазволы (Найбольшая аддача, самыя неадкладныя вынікі)

На гэтым этапе ваша задача — “ўскладніць найбольш распаўсюджаныя пункты ўваходу”:

  • Акаўнты адміністратара мінімізаваны: прадастаўлены толькі тым, каму яны неабходныя.
  • Палітыка моцных пароляў: не паўторвайце паролі; не выкарыстоўвайце слабыя паролі.
  • Двухфактарная аўтэнтыфікацыя (2FA)Гэта адно з самых эфектыўных паляпшэнняў у эпоху запампоўвання ўліковых даных і ўцечак пароляў.
    Напрыклад Надзежная бяспека Старонка плагіна адкрыта падтрымлівае некалькі метадаў 2FA (Authy, Google Authenticator, электронная пошта, рэзервовыя коды і г.д.).
  • Абарона ўваходу: абмежаванне спроб брутфорсу і прадухіленне атакі «флудынг».
  • Адключыце/выдаліце невыкарыстаныя акаўнты; выдаліце (а не проста дэактывуйце) невыкарыстаныя тэмы/плагіны.

Фаза 2: Кіраванне абнаўленнямі і ўразлівасцямі (Не пакідайце рызыкі ў састарэлых версіях)

Значная колькасць узломаў WordPress выклікана “застарэлымі плагінамі/тэмамі/ядром, якія ўтрымліваюць агульнавядомыя ўразлівасці”.

Такім чынам, у рамках стратэгіі бяспекі “абнаўленне” з'яўляецца адным з ключавых элементаў.
У дакументацыі WordPress гаворыцца: у WordPress 3.7 быў уведзены аўтаматычны механізм абнаўлення бэкэнда для павышэння бяспекі. Там тлумачыцца, што аўтаматычныя абнаўленні па змаўчанні ўключаны для большасці сайтаў, і што з 5.6 Новыя сайты будуць аўтаматычна ўключаны з моманту пачатку.Стратэгіі абнаўлення асноўных і другасных версій.

Прынцыпы:

  • Ядро/тэма/плагіны павінны мець выразную стратэгію абнаўлення (аўтаматычную/паўаўтаматычную/ручную праверку).
  • Пераканайцеся, што перад асноўным абнаўленнем існуе кропка адкату (гл. раздзел 3, “Фаза рэзервовага капіравання 3”).
  • Плагіны, якія больш не абслугоўваюцца, варта замяніць як мага хутчэй (гэта самы прамы спосаб скараціць плошчу атакі).

Этап 3: Абарона і выяўленне (Аскладаненне здзяйснення нападаў, дазвол больш ранняга выяўлення анамалій)

На гэтым этапе вам трэба пабудаваць больш сістэматычную абарону:

  • Файрвол/WAF (блакіруе частку спампованага трафіку да таго, як запыты дасягнуць WordPress)
  • Сканіраванне шкоднаснага кода, маніторынг цэласнасці файлаў
  • Запісы бяспекі і абвесткі: анамальныя ўваходы, змены правоў, мадыфікацыі файлаў
  • Маніторынг: маніторынг часу прастою, заканчэння тэрміну дзеяння сертыфікатаў, анамальных 5xx-памылак, анамальных скачкоў трафіку

Тыповыя інструменты:

  • СловаабаронаНа старонцы плагіна адкрыта ўказваюцца такія функцыі, як брандмаўэр, сканаванне шкоднасных праграм і бяспека ўваходу, пры гэтым адзначаецца, што карыстальнікі Premium атрымліваюць абнаўленні правілаў брандмаўэра і сігнатур шкоднасных праграм у рэжыме рэальнага часу, у той час як бясплатная версія мае 30-дзённую затрымку.
    Рэкамендацыя: Бясплатная версія можа значна павысіць базавы ўзровень бяспекі, але калі ваш сайт сутыкаецца з больш высокімі рызыкамі або ў большай ступені абапіраецца на апошнюю інфармацыю аб пагрозах, вам варта ведаць пра гэтую розніцу ў працягласці затрымкі абнаўленняў.
  • Пэтчстэк(Падыход віртуальнага латавання/абароны ад уразлівасцей)Яе афіцыйны вэб-сайт падкрэслівае абарону сайтаў ад уразлівых плагінаў і тэм з дапамогай віртуальнага патчавання.ПэтчстэкБясплатная версія забяспечвае абвесткі аб уразлівасцях, а платная версія, сярод іншых функцый, прапануе аўтаматызаваную абарону ад іх.
  • Сукуры(Ахова прыбірання і абслугоўвання)Яе старонка паслуг падкрэслівае магчымасці Sucuri па выдаленні шкоднаснай праграмы і пастаянным сканаванні/блакіроўцы будучых уварванняў.

7. Раскрыццё інфармацыі аб рызыках

Распаўсюджаныя памылкі ў аперацыях рэзервовага капіравання

  1. Рэзервовыя копіі захоўваюцца толькі на самім серверы.
    Калі на серверы здараецца збой, часта губляюцца і лакальныя рэзервовыя копіі.
  2. Рэзервовую копію рабіце толькі для базы даных, а не для wp-content.
    Пасля аднаўлення вы можаце выявіць: артыкулы засталіся, але выявы зніклі; або налады тэмы згубіліся; або файлы плагіна неадпаведныя, што прыводзіць да памылак.
  3. Ніколі не праводзьце вучэнні па аднаўленні.
    Толькі ў крытычны момант мы выявілі, што аднаўленне правалілася, рэзервовая копія была пашкоджана або адсутнічалі важныя файлы.
  4. Частата рэзервовага капіравання не адпавядае бізнес-патрабаванням.
    Для сайтаў электроннай камерцыі або з членствам, калі рэзервовыя копіі робяцца толькі раз на дзень, у найгоршым выпадку можна страціць даныя аб заказах і паводзінах карыстальнікаў за цэлы дзень. Патэнцыйныя страты ад гэтага могуць значна перавысіць выдаткі на ўкараненне сістэмы рэзервовага капіравання.

Распаўсюджаныя памылкі ў высокачастотных прымяненнях, звязаных з бяспекай

  1. Усталяваў плагіны бяспекі, але працяглы час не абнаўляў іх.
    Плагіны бяспекі не з'яўляюцца заменай абнаўленняў. Састарэлыя ўразлівасці застаюцца, і рызыка захоўваецца.
  2. Занадта шмат уліковых запісаў адміністратара/сумесных уліковых запісаў
    Някантраляваныя дазволы, лагі, якія цяжка адсачыць, і значныя рызыкі падчас перадачы спраў паміж супрацоўнікамі.
  3. 以为“上了 WAF/CDN 就绝对安全”
    WAF можа блакіраваць многія распаўсюджаныя атакі, але ён не можа вырашыць такія праблемы, як слабыя паролі, састарэлыя ўразлівасці або плагіны-заднія дзверы. Самы надзейны падыход — гэта рэалізацыя “шматслойнай абароны”.
  4. Накладзенне некалькіх плагінаў бяспекі можа выклікаць канфлікты і запаволіць працу вашага сайта.
    Палітыкі бяспекі павінны аддаваць перавагу “меншай колькасці крытычна важных” мер: двухфактарнай аўтэнтыфікацыі (2FA) + палітыкам абнаўленняў + брандмаўэрам/сканіраванню + абвесткам; а не прынцыпу “чым больш вы ўсталюеце, тым бяспечнейшыя вы”.

8. Кантрольны спіс праверкі

Праверка рэзервовай копіі (Калі гэтыя 8 пунктаў не выкананы, не сцвярджайце: “У мяне ёсць рэзервовая копія”)

  • Уключыць аўтаматычнае рэзервовае капіраванне (не ручное)
  • Ці ўключае рэзервовая копія базу даных і wp-content (загрузкі/тэмы/плагіны)?
  • Ці захоўваюцца рэзервовыя копіі па-за межамі асноўнага месца (у воблачным сховішчы/сховішчы аб'ектаў/на асобным серверы)?
  • Ці існуе вызначаная палітыка захавання (напрыклад, 7/30/90 дзён)?
  • Ці была паспяховай апошняя рэзервовая копія (а не проста “запланаваная”)?
  • Калі праводзілася апошняе вучэнне па аднаўленні пасля аварыі? Ці было яно паспяховым?
  • Ці будзе створаны дадатковы пункт адкату перад асноўным абнаўленнем?
  • Ці даступны крытычны шлях пасля аднаўлення (уліковы запіс, формы, заказы ў сферы электроннай камерцыі/дазволы на членства і г.д.)?

Праверка бяспекі (спачатку закладваем трывалыя асновы)

  • Ці мінімізаваны ўліковыя запісы адміністратараў? Ці існуе механізм для ачысткі ўліковых запісаў пасля іх сыходу?
  • Уключыць двухфактарная аўтэнтыфікацыя(Прынамсі адміністратары/рэдактары/кіраўнікі крам і іншыя ролі з высокімі прывілеямі)
  • Ці ёсць яснаеПалітыка абнаўленняў(Ядро/Тэма/Плагін)
  • Ці варта выдаляць невыкарыстаныя плагіны/тэмы (а не проста дэактываваць)?
  • Ці ёсць брандмаўэр/абарона ад узлому/шкоднаснае сканаванне?Словаабарона (што можа пакрываць частку)
  • Ці існуе падыход з абвесткай аб уразлівасці/віртуальным латаваннем?Пэтчстэк і г.д.)
  • Ці ёсць якія-небудзь папярэджанні (падозроныя ўваходы, змяненні файлаў, збою ў сістэме, заканчэнне тэрміну дзеяння сертыфікатаў)?
  • Ці існуе план экстраннага рэагавання: Якія дзеянні трэба зрабіць у першую чаргу ў выпадку ўзлому або ўмяшання?

Частыя пытанні

1. Ці дастаткова ўбудаванага рэзервовага капіявання хоста?

Звычайна не раяць спадзявацца выключна на адзіную крыніцу.
Рэзервовыя копіі хоста з'яўляюцца надзейнымі, але яны не абавязкова палягчаюць “стварэнне, міграцыю або выконванне гранулярных адкатаў”. Больш надзейны падыход:Рэзервовае капіраванне хоста забяспечвае асноўную абарону + Рэзервовае капіраванне плагіна/воблака дазваляе ствараць партатыўныя і кантраляваныя пункты аднаўлення

2. Як часта трэба рабіць рэзервовыя копіі?

У залежнасці ад хуткасці змены даных:

  • Змест сайта: Як правіла, дастаткова на штодзённай аснове
  • Карпаратыўны вэб-сайт: штодня (асабліва калі генеруюцца ліды праз форму), і правярайце, што ліды існуюць не толькі на сайце.
  • Э-камерцыя/Прэміяльнае членства: Рэкамендуецца выкарыстоўваць больш высокую частату (гадзінную або амаль у рэальным часе), паколькі каштоўнасць даных заказаў/карыстальнікаў значна вышэйшая.

3. Як доўга трэба захоўваць рэзервовыя копіі?

У залежнасці ад зместу і патрабаванняў да адпаведнасці, можа быць прыняты наступны падыход:

  • Захаваць на працягу не менш за 7–30 дзён для звычайнага вяртання.
  • Калі вас турбуе “інфільтрацыя праз заднія дзверы / хранічнае ўмяшанне”, больш карысным будзе захоўванне даных на працягу больш доўгага перыяду (напрыклад, 90 дзён), што дазволіць вам вярнуцца да ранейшай чыстай версіі.

4. Ці з'яўляюцца UpdraftPlus, WPvivid і Duplicator адным і тым жа?

Усе яны могуць рабіць рэзервовыя копіі, але іх арыентацыя адрозніваецца:

  • АпдрафтПлюс Звычайна гэта ўключае ў сябе “планаванае рэзервовае капіраванне задач у спалучэнні з захоўваннем і аднаўленнем на некалькіх мэтах”.”
  • WPvivid Адзначце магчымасці рэзервовага капіравання, міграцыі і тэсціравання на стадыі.
  • Дублікатар Вельмі моцны ў “пакаванні/міграцыі/кланаванні сайтаў”

Калі вы адбярэце па “тыпу”, вы не заблытаецеся ў назвах.

Чаму варта плаціць за Jetpack Backup? Для якой сітуацыі гэта падыходзіць?

Паколькі ён па сутнасці больш падобны на “сэрвіс рэзервовага капіравання ў воблаку” — з акцэнтам на воблачнае сховішча і аднакліквае аднаўленне — старонка плагіна павінна відавочна ўключаць Backup 的付费计划Афіцыйная старонка падпіскі падкрэслівае захаванне кожных змен і забяспечвае хуткае аднаўленне адным пстрычкам.
Падыходзіць для тых, хто больш адчувальны да хуткасці аднаўлення і хоча даверыць рэзервовае капіраванне надзейнаму сэрвісу.

6. У чым значнасць “паступовых рэзервовых копій”, такіх як BlogVault або ManageWP?

Асноўны прынцып інкрэментальных рэзервовых копій:Рэзервовую копію рабіце толькі з змененых частак.зменшыць нагрузку на сервер пры стварэнні кропак адноўлення з больш высокай частатой.

  • Плагін BlogVaultУ дакументацыі падкрэсліваецца аўтаматычнае паступовае рэзервовае капіраванне, якое перапісвае базы даных/тэмы/плагіны/медыя, а таксама ўключае магчымасці стэджынгу і міграцыі.
  • Менеджмент WP Таксама падкрэсліваецца, што тэхналогія інкрэментальнага рэзервовага капіравання змяншае нагрузку і забяспечвае аднаўленне адным пстрычкай.

Падыходзіць для: вялікіх сайтаў, некалькіх СМІ, частых абнаўленняў або калі вы кіруеце некалькімі сайтамі.

7. Ці дастаткова аднаго плагіна бяспекі?

Для большасці вэб-сайтаў выкарыстанне “адной асноўнай плагіна для бяспекі + правільнае ўкараненне асноўных палітык бяспекі” звычайна больш эфектыўна, чым неабдуманае ўсталяванне некалькіх плагінаў.
Напрыклад Словаабарона Ахопліваючы базавыя магчымасці, такія як абарона брандмаўэрам, сканіраванне і бяспека ўваходу; у спалучэнні з двухфактарная аўтэнтыфікацыя(Solid Security прапануе некалькі метадаў), што можа значна павялічыць кошт атакі.

8. Ці прыдатная для выкарыстання бясплатная версія Wordfence? Чаму некаторыя кажуць, што трэба перайсці на Premium?

Старонка плагіна WordfenceЗаўвага: Premium-версія забяспечвае абнаўленні правілаў брандмаўэра і сігнатур шкоднасных праграм у рэжыме рэальнага часу, у той час як бясплатная версія мае 30-дзённую затрымку.
Ці патрабуецца прэміум-клас, залежыць ад вашай рызыкі-тэрпімасці:

  • Сайты з нізкай рызыкай: бясплатная версія + своечасовыя абнаўленні + двухфактарная аўтэнтыфікацыя (2FA) у цэлым даволі карысныя.
  • Вышэйшая рызыка або большая залежнасць ад “апошняй разведкі па пагрозах”: патрабуе разумення патэнцыйнага акна ўразлівасці, якое ўзнікае з-за “затрымак з абнаўленнямі”.

9. З якой канкрэтнай праблемай спраўляецца гэтае рашэнне “віртуальнага патча” ад Patchstack?

Яго падыход заключаецца ў блакіроўцы вядомых уразлівасцей на ўзроўні праграмы з дапамогай правіл да таго, як уразлівасці плагінаў/тэм будуць выкарыстаны (або да таго, як латкі будуць цалкам укаранёны).Афіцыйны сайт PatchstackАкцэнт робіцца на абароне шляхам віртуальных латак уразлівых плагінаў і тэм, з падрабязнасцямі аб адрозненнях паміж бясплатнымі і платнымі версіямі ў дачыненні да абвесткаў і аўтаматызаванай абароны.
Гэта не з'яўляецца заменай абнаўленняў, а хутчэй мерай для змякчэння рызык, звязаных з “акном устаноўкі патчаў”.

10. Ці заблакіруе мяне ўваход уключэнне двухфактарнай аўтэнтыфікацыі?

Мы рэкамендуем вам падрыхтавацца загадзя:

  • Рэзервовы код / метад аднаўленняНадзежная бяспека 也提到 backup codes 等方案)
  • Забяспечце прызначэнне прынамсі аднаго “адміністратара аварыйнага доступу” і надзейнае захоўванне інфармацыі аб аднаўленні.
  • Ключавы момант: не захоўвайце інфармацыю для аднаўлення ў тым жа месцы, да якога можна атрымаць доступ у выпадку ўзлому.

11. Ці варта ўключаць аўтаматычныя абнаўленні WordPress?

Дакументацыя WordPressМеханізм аўтаматычнага абнаўлення фонавых даных прызначаны для павышэння бяспекі і па змаўчанні ўключаны для большасці сайтаў, з наладжвальнымі палітыкамі абнаўлення для розных тыпаў.
Рэкамендацыя:

  • Абнаўленні бяспекі і невялікіх версій: прымяняюцца аўтаматычна (каб мінімізаваць час падвержанасці вядомым уразлівасцям)
  • Асноўныя версіі / крытычныя абнаўленні плагінаў: Працягвайце толькі пасля інтэграцыі кропак аднаўлення з рэзервовых копій і працэдур тэсціравання (неабходна як мінімум уключыць магчымасць адкату).

12. Калі я падазраю, што мой вэб-сайт быў узламаны, што мне трэба зрабіць у першую чаргу?

Правільны парадак (каб не пагоршыць сітуацыю):

  1. Спыніце крывацёк у першую чаргуЧасова абмяжуйце ўваход у бэкэнд, прыпыніце падазроныя функцыі і пры неабходнасці актывуйце старонку тэхнічнага абслугоўвання.
  2. Спачатку захавайце доказы і вярніце сістэму ў папярэдні стан.Неадкладна зрабіце рэзервовую копію бягучага стану (у мэтах аналізу), адначасова рыхтуючы чыстую кропку адкату.
  3. Адмена/ПрыбіраннеАддайце перавагу аднаўленню з вядомай чыстай кропкі ў часе або скарыстайцеся паслугамі прафесійнай ачысткі.Сукуры (падкрэсліваючы шкоднаснае вычышчэнне ў параўнанні з бесперапыннай абаронай)
  4. Запаўненне прабелаўАбнавіце core/plugins/themes, скіньце паролі і сакрэтныя ключы, уключыце двухфактарную аўтэнтыфікацыю і выдаліце падазроныя акаўнты і плагіны.

13. Я ўвёў меры бяспекі і рэзервовае капіраванне, таму чаму маніторынг усё яшчэ неабходны?

Бо ранняе выяўленне можа мінімізаваць шкоду.
Прастоі сістэмы, скончыўшыяся сертыфікаты, анамальны трафік, падазроныя ўваходы, анамальныя заказы — усё гэта праблемы, пры ранняй выяўле якіх можна пазбегнуць значных непрыемнасцей.