Η βελτιστοποίηση επιδόσεων αφορά το “γρηγορότερα”, αλλά η πραγματική ουσία για τους ιστότοπους είναι δύο πράγματα:

  • εγγύηση: Προσπαθήστε να μην μπλέξετε σε μπελάδες (μη σας χακάρουν, μη σας κρεμάσουν, μη σας συντρίψουν, μη σας κλέψουν τις διασυνδέσεις, μη σας πειράξουν).
  • δημιουργία αντιγράφων ασφαλείας: γρήγορη ανάκαμψη ακόμη και αν κάτι πάει στραβά (τυχαία διαγραφή, αναβάθμιση, βλάβη διακομιστή, επαναφορά μετά από λύτρα/εισβολή)

Τα ακόλουθα δύο πράγματα αλληλοσυμπληρώνονται:

  • Αν κάνετε μόνο ασφάλεια αλλά όχι αντίγραφα ασφαλείας, μπορείτε ακόμα να μηδενίσετε τη λειτουργία σας σε μια νύχτα, αν αντιμετωπίσετε ανεξέλεγκτα προβλήματα.“
  • Αν κάνετε μόνο αντίγραφα ασφαλείας αλλά όχι ασφάλεια, θα πέσετε στον κύκλο του “χτυπιέστε κάθε μέρα και επαναφέρετε κάθε μέρα”, και ο χρόνος και το κόστος θα είναι εκτός ελέγχου!

Θα πρέπει να είστε σε θέση να το κάνετε αυτό αφού το διαβάσετε:

  • Να γνωρίζετε ακριβώς τι πρέπει να καλύψετε με το “εφεδρικό αντίγραφο ασφαλείας και ασφάλεια” (για να αποφύγετε να αγοράσετε το λάθος, να εγκαταστήσετε το λάθος και να υποθέσετε ότι είναι ασφαλές)
  • Δυνατότητα επιλογής της σωστής λύσης ανάλογα με τον τύπο του ιστότοπου (ιστότοπος περιεχομένου/επιχειρησιακός ιστότοπος/εμπορικό ιστότοπος/ ιστότοπος μελών)
  • Δυνατότητα σταδιακής μετάβασης σε λειτουργία βάσει ενός οδικού χάρτη (ευέλικτο, κατόπιν ελεγχόμενο, κατόπιν συστηματικό)
  • Μπορεί να επαληθευτεί με τον κατάλογο ελέγχου αυτοελέγχου: εφεδρικό αντίγραφο ασφαλείαςΕίναι πραγματικά ανακτήσιμο.ΑσφάλειαΥπάρχει πραγματικά μια άμυνα.
  • Να ξέρετε πού να κοιτάξετε πρώτα όταν εμφανίζονται προβλήματα (αποτυχία δημιουργίας αντιγράφων ασφαλείας, αποτυχία ανάκτησης, υποψία παραβίασης κ.λπ.)

1. Στόχος: Χρειάζεστε ένα “ανακτήσιμο σύστημα”, όχι ένα “plug-in”.”

Τα εφεδρικά αντίγραφα δεν έχουν να κάνουν με την “ύπαρξη ενός αρχείου αντιγράφων ασφαλείας”.”

Αντίθετα:Μπορείτε να επαναφέρετε τον ιστότοπο όπως τον θέλετε όταν τον χρειάζεστε;

Έτσι, ο βασικός δείκτης της δημιουργίας αντιγράφων ασφαλείας δεν είναι το “εγκατεστημένο πρόσθετο αντιγράφων ασφαλείας”, αλλά αυτά τα δύο πράγματα:

  • Αποδεκτό παράθυρο απώλειας δεδομένων (RPO): Πόσο καιρό μπορείτε να δεχτείτε την απώλεια δεδομένων στη χειρότερη περίπτωση;
    Παράδειγμα: ένας ιστότοπος περιεχομένου που χάνει 24 ώρες άρθρων μπορεί να είναι αποδεκτός- ένας ιστότοπος ηλεκτρονικού εμπορίου που χάνει 30 λεπτά παραγγελιών είναι σοβαρό.
  • Αποδεκτός χρόνος αποκατάστασης (RTO): Πόσο γρήγορα περιμένετε να επανέλθετε σε λειτουργία μετά το ατύχημα;
    Παράδειγμα: ένας εταιρικός ιστότοπος μπορεί να θέλει να ανακάμψει εντός 1 ώρας- ένας ιστότοπος ηλεκτρονικού εμπορίου μπορεί να θέλει να ανακάμψει εντός 10-30 λεπτών.

Δεν χρειάζεται να γράψετε αυτές τις μετρήσεις σε έναν τύπο, αλλά να τις χρησιμοποιήσετε για να αποφασίσετε:Συχνότητα δημιουργίας αντιγράφων ασφαλείας, χρόνος διατήρησης, ανάγκη δημιουργίας αντιγράφων ασφαλείας σε πραγματικό χρόνο/αυξητικά αντίγραφα ασφαλείας, ανάγκη ανάκτησης με ένα κλικ/αποκατάστασης εκτός χώρου

2. Ανάπτυξη ταχείας στρατηγικής ανά τύπο χώρου (προσανατολισμός, στη συνέχεια επιλογή εργαλείων)

Συμβουλές στρατηγικής:

Α. Ιστοσελίδες περιεχομένου / ιστολόγια

  • Συχνότητα αλλαγής: συνήθως “καθημερινά/εβδομαδιαία”.”
  • Συνιστώμενη συχνότητα δημιουργίας αντιγράφων ασφαλείας:καθημερινήΔημιουργία αντιγράφων ασφαλείας της βάσης δεδομένων + wp-content (uploads/themes/plugins)
  • Στόχος ανάκτησης: Η χθεσινή/σήμερη έκδοση είναι επαρκής (με έμφαση στη μη απώλεια άρθρων και βιβλιοθήκης πολυμέσων).

Β. Ιστοσελίδα επιχείρησης / ιστοσελίδα μάρκετινγκ (οι οδηγοί της φόρμας είναι σημαντικοί)

  • Συχνότητα αλλαγών: όχι απαραίτητα υψηλή, αλλά τα έντυπα/οδηγίες είναι κρίσιμα
  • Συνιστώμενη συχνότητα δημιουργίας αντιγράφων ασφαλείας: βάση δεδομένων τουλάχιστονκαθημερινήΤα δεδομένα της φόρμας και το email/CRM δεν θα είναι “σε ένα μέρος”.”
  • Στόχος ανάκαμψης: γρήγορη επαναφορά σε περίπτωση προβλημάτων με τα σενάρια παρακολούθησης ενημέρωσης/αναθεώρησης/προσθήκης

Γ. Ιστοσελίδα ηλεκτρονικού εμπορίου (WooCommerce)

  • Συχνότητα αλλαγής: παραγγελίες/αποθέματα/συμπεριφορά χρηστών συνεχής
  • Συνιστώμενη συχνότητα δημιουργίας αντιγράφων ασφαλείας: προτιμάταιυψηλότερη συχνότητα(ωριαία, ή ακόμη και σε πραγματικό/κοντά σε πραγματικό χρόνο), τουλάχιστον να κάνει ισχυρή την προστασία της βάσης δεδομένων
  • Στόχος αποκατάστασης: Ελάχιστη απώλεια δεδομένων παραγγελιών- δυνατότητα ταχείας αποκατάστασης συνδέσεων πληρωμής/παραγγελιών

Δ. Ιστοσελίδα μελών / ιστοσελίδα μαθημάτων / κοινότητα

  • Συχνότητα αλλαγών: πρόοδος χρήστη, δικαιώματα, ξεκλείδωμα περιεχομένου, δεδομένα αλληλεπίδρασης
  • Συνιστώμενη συχνότητα δημιουργίας αντιγράφων ασφαλείας: υψηλότερη συχνότητα για βάσεις δεδομένων- με σημεία ανάκτησης “point-in-time”.
  • Στόχος ανάκτησης: τα δεδομένα των χρηστών δεν αλλοιώνονται, τα δικαιώματα δεν χάνονται και το περιεχόμενο δεν αλλοιώνεται.

3. Οδικός χάρτης δημιουργίας αντιγράφων ασφαλείας (συνιστάται να προχωρήσετε σε αυτές τις 3 φάσεις)

Κορυφαία σημεία:Ας κάνουμε πρώτα “ικανή ανάκαμψη” και μετά ας μιλήσουμε για “αυτοματοποίηση και συστηματοποίηση”.

Στάδιο 1: Ξεκινήστε με το “Αυτόματο αντίγραφο ασφαλείας + αποθήκευση εκτός τόπου”

Αυτή είναι η ουσία. Όποιο εργαλείο κι αν χρησιμοποιείτε, να το συναντάτε:

  • αυτόματο:: Μην βασίζεστε στο “θα θυμηθώ να το πατήσω χειροκίνητα”.”
  • αποθήκευση εκτός του χώρου του ξενοδοχείου: Μην τοποθετείτε μόνο αντίγραφα ασφαλείας στον ίδιο διακομιστή
    Ο λόγος είναι πολύ απλός: ο διακομιστής κολλάει/ο δίσκος χαλάει/ο λογαριασμός εισβάλλει για να διαγράψει τη βιβλιοθήκη, το “τοπικό αντίγραφο ασφαλείας” σας μπορεί να χαθεί μαζί.

Οι τυπικές εφαρμογές του εργαλείου περιλαμβάνουν:

  • Το πρόσθετο αντιγράφων ασφαλείας ωθεί τα αντίγραφα ασφαλείας στη μονάδα δίσκου/αποθήκευσης αντικειμένων στο σύννεφο/FTP (UpdraftPlus (Για παράδειγμα, οι στόχοι Dropbox, Google Drive, Amazon S3 και πολλοί άλλοι υποστηρίζονται ρητά).
  • Μια υπηρεσία δημιουργίας αντιγράφων ασφαλείας cloud τοποθετεί τα αντίγραφα ασφαλείας στο cloud της και προσφέρει ανάκτηση με ένα κλικ (Jetpack VaultPress Δημιουργία αντιγράφων ασφαλείας (Κυρίως δημιουργία αντιγράφων ασφαλείας στο σύννεφο και ανάκτηση με ένα κλικ, αλλά πρέπει να συμπεριλάβετε ένα επί πληρωμή σχέδιο για τη δημιουργία αντιγράφων ασφαλείας)

Φάση 2: Αναβάθμιση των αντιγράφων ασφαλείας σε “ανακτήσιμα συστήματα”

Πολλοί ιστότοποι πραγματικά ανατρέπονται, όχι λόγω έλλειψης αντιγράφων ασφαλείας, αλλά λόγω:

  • Ελλιπές αντίγραφο ασφαλείας (μόνο βάση δεδομένων, όχι uploads/themes/plugins)
  • Κατεστραμμένο αρχείο αντιγράφων ασφαλείας/λανθασμένα δικαιώματα
  • Όταν πρέπει να ανακάμψετε, συνειδητοποιείτε ότι “η διαδικασία ανάκαμψης απλά δεν λειτουργεί”.”

Οι στόχοι της φάσης 2 είναι επομένως:Κάντε μια τακτική άσκηση αποκατάστασης(ακόμη και σε δοκιμαστικό περιβάλλον/προσωρινή αποκατάσταση καταλόγου), επιβεβαιώστε τα ακόλουθα σημεία:

  • Η βάση δεδομένων μπορεί να ανακτηθεί.
  • Η βιβλιοθήκη πολυμέσων μπορεί να αποκατασταθεί (wp-content/uploads/
  • Τα θέματα/προσθήκες μπορούν να αποκατασταθούν (wp-content/themes/wp-content/plugins/
  • Μετά την αποκατάσταση, η πρόσβαση στον ιστότοπο μπορεί να γίνει κανονικά, το backend μπορεί να συνδεθεί κανονικά και οι βασικές λειτουργίες μπορούν να εκτελεστούν (ηλεκτρονικό εμπόριο για να δοκιμαστεί η διαδικασία παραγγελίας/πληρωμής και ο ιστότοπος μελών για να δοκιμαστεί η σύνδεση/τα προνόμια).

Αυτός είναι ο λόγος για τον οποίο πολλές εμπορικές λύσεις δημιουργίας αντιγράφων ασφαλείας δίνουν έμφαση στην “ανάκτηση με ένα κλικ”, την “ανάκτηση λεπτό προς λεπτό” και τα “αυξητικά αντίγραφα ασφαλείας για τη μείωση του φόρτου”. Για παράδειγμα BlogVault Στην περιγραφή του πρόσθετου τονίζεται ότι παρέχονται **αυτόματα, αυξητικά αντίγραφα ασφαλείας (συμπεριλαμβανομένων των βάσεων δεδομένων, των θεμάτων, των πρόσθετων, των μέσων)** και λειτουργίες σταδιοποίησης/μετανάστευσης.ManageWP Έμφαση δίνεται επίσης στη μείωση του φόρτου με τεχνικές αυξητικής δημιουργίας αντιγράφων ασφαλείας και στην παροχή ανάκτησης με ένα κλικ.

Φάση 3: Συνδέστε τα αντίγραφα ασφαλείας με τη διαδικασία ενημέρωσης/απελευθέρωσης (σημείο επαναφοράς)

Σε αυτό το στάδιο, ο στόχος σας είναι:Σημείο επαναφοράς πριν από κάθε σημαντική αλλαγή

Τα τυπικά σενάρια περιλαμβάνουν:

  • Αναβάθμιση της κύριας έκδοσης του WordPress
  • Αλλαγή του θέματος/αναμόρφωση του προτύπου
  • Εγκατάσταση ή αντικατάσταση βασικών plug-ins (πληρωμές ηλεκτρονικού εμπορίου, συστήματα μελών, συστήματα εντύπων)
  • Αντικατάσταση εικόνας παρτίδας / μαζική μετάβαση περιεχομένου

Το νόημα του Σταδίου 3 είναι ότι δεν χρειάζεται να “προσεύχεστε ότι η αλλαγή είναι εντάξει”, αλλά ότι μπορείτε να επιστρέψετε γρήγορα στη “στιγμή πριν από την αλλαγή” αν η αλλαγή πάει στραβά.

4. Δημιουργία αντιγράφων ασφαλείας για το τι ακριβώς πρέπει να δημιουργηθεί (πολλοί άνθρωποι που δημιουργούν αντίγραφα ασφαλείας έχασαν αυτά τα βασικά σημεία)

Απαραίτητο 1: Βάση δεδομένων (όπου πηγαίνουν οι παραγγελίες/χρήστες/περιεχόμενο/ρυθμίσεις)

  • Άρθρα, Σελίδες, Σχόλια
  • Χρήστες, δικαιώματα
  • WooCommerce Παραγγελίες, απογραφή, κουπόνια
  • Διαμορφώσεις plug-in (μεγάλος αριθμός διαμορφώσεων αποθηκευμένων στη βάση δεδομένων)

Απαραίτητο 2: wp-content (αυτό είναι το μεγαλύτερο μέρος των “ορατών περιουσιακών στοιχείων” του ιστότοπου WordPress)

  • uploads: εικόνες, συνημμένα αρχεία, βιβλιοθήκη πολυμέσων (το πιο εύκολο μέρος για να “ξεχάσετε να δημιουργήσετε αντίγραφα ασφαλείας”)
  • themes: Αρχεία θέματος (προσαρμοσμένος κώδικας/πρότυπα)
  • plugins: αρχεία πρόσθετων (ορισμένα πρόσθετα γράφουν επίσης προσαρμοσμένα αρχεία)

Ανάλογα με την περίπτωση: πληροφορίες σχετικά με τη διαμόρφωση και το περιβάλλον λειτουργίας

Μην αγνοείτε τις περιβαλλοντικές διαφορές:

  • Οι διαφορές στην έκδοση PHP μπορεί να προκαλέσουν σφάλματα μετά την αποκατάσταση
  • Ειδικές διαφορές μεταξύ των στοιχείων επέκτασης/κρυφής μνήμης ενδέχεται να οδηγήσουν σε διαφορετικές συμπεριφορές.
  • Ο αντίστροφος διακομιστής μεσολάβησης/CDN/κανόνες ασφαλείας μπορεί να επηρεάσουν τη σύνδεση και τη διεπαφή backend

Η αποκατάσταση δεν αφορά μόνο την επαναφορά του αρχείου, αλλά και τη διασφάλιση ότι το λειτουργικό περιβάλλον και η διαμόρφωση μπορούν να υποστηρίξουν την εκτέλεσή του.

5. Επιλογή εφεδρικού προγράμματος

Τύπος Α: χρονομετρημένα αντίγραφα ασφαλείας με plug-in (μια κατάλληλη αρχική λύση για τις περισσότερες τοποθεσίες)

Χαρακτηριστικά: χαμηλό κόστος, ελέγξιμο, γρήγορη ανάπτυξη, αλλά πρέπει να κάνετε μια σταθερή “άσκηση αποθήκευσης και ανάκτησης εκτός τόπου”.

Εργαλεία αναπαράστασης:

  • UpdraftPlus: Η κύρια εστίαση είναι η δημιουργία αντιγράφων ασφαλείας και η ανάκτηση προγραμματισμένων εργασιών, με ρητή υποστήριξη για πολλαπλούς στόχους δημιουργίας αντιγράφων ασφαλείας (Dropbox, Google Drive, Amazon S3, FTP, email κ.λπ.) στη σελίδα του πρόσθετου.
    Ιδανικό για: ιστότοπους περιεχομένου/επιχειρηματικούς ιστότοπους που ξεκινούν και ιστότοπους που θέλουν “αντίγραφα ασφαλείας στο δικό τους ελεγχόμενο χώρο αποθήκευσης”.
  • WPvivid Δημιουργία αντιγράφων ασφαλείας & μετανάστευση: Η σελίδα του πρόσθετου επισημαίνει τα αντίγραφα ασφαλείας, τις μεταναστεύσεις και τη σταδιοποίηση (η σταδιοποίηση μπορεί να δημιουργηθεί σε έναν υποκατάλογο για τη δοκιμή των αλλαγών).
    Ιδανικό για: άτομα που μεταναστεύουν συχνά ιστότοπους και πρέπει συχνά να δοκιμάζουν αλλαγές σε ad-hoc βάση.
  • Αντιγραφέας: Η σελίδα Plugin δίνει έμφαση στη δημιουργία αντιγράφων ασφαλείας/συσκευασίας/μετανάστευσης/κλωνοποίησης ιστότοπων σε νέους κεντρικούς υπολογιστές ή νέους τομείς.
    Ιδανικό για: μετανάστευση, αντιγραφή ιστότοπων, δημιουργία δοκιμαστικών ιστότοπων, δημιουργία “μετακινούμενων πακέτων”.

Το UpdraftPlus είναι περισσότερο ένα “εφεδρικό σύστημα εκκίνησης”.”

Το WPvivid/ Duplicator είναι καλύτερο στη “μετανάστευση/συσκευασία/αντιγραφή”, αλλά μπορεί επίσης να κάνει αντίγραφα ασφαλείας.

Τύπος Β: Δημιουργία αντιγράφων ασφαλείας στο σύννεφο/αντίγραφα ασφαλείας σχεδόν σε πραγματικό χρόνο (πιο κατάλληλο για τοποθεσίες που είναι πιο ευαίσθητες σε δεδομένα και χρόνο ανάκτησης)

Χαρακτηριστικά: Έμφαση στην “προστασία ανά αλλαγή / προστασία αλλαγών υψηλής συχνότητας” και στην “ανάκτηση με ένα κλικ”, περισσότερο σαν ένα σύνολο υπηρεσιών.

Εργαλεία αναπαράστασης:

  • Jetpack VaultPress Backup (Jetpack Backup): Η σελίδα του πρόσθετου δίνει έμφαση στο cloud backup και την ανάκτηση με ένα κλικ και απαιτεί ρητά ένα επί πληρωμή πακέτο Jetpack που περιλαμβάνει το Backup, του οποίουΗ επίσημη σελίδα συνδρομής τονίζει επίσης“Αποθηκεύστε κάθε αλλαγή, επιστρέψτε γρήγορα σε μια εύχρηστη κατάσταση με ανάκτηση με ένα κλικ”.
    Ιδανικό για: ηλεκτρονικό εμπόριο/μέλη/ιστοσελίδες που είναι ευαίσθητες στην “ταχύτητα ανάκτησης” ή για όσους θέλουν να αναθέσουν τις εργασίες δημιουργίας αντιγράφων ασφαλείας σε μια ώριμη υπηρεσία.
  • BlogVault: Η περιγραφή του πρόσθετου περιλαμβάνει ρητά “αυτόματα, ασφαλή, αυξητικά αντίγραφα ασφαλείας (βάση δεδομένων, θέματα, πρόσθετα, πολυμέσα)” με ενσωματωμένες δυνατότητες σταδιοποίησης και μετανάστευσης.
    Ιδανικό για: Τοποθεσίες στις οποίες το “Δημιουργία αντιγράφων ασφαλείας + δοκιμή + μετανάστευση” είναι μια πλήρης ροή εργασιών.
  • ManageWP: Έμφαση στις τεχνικές αυξητικής δημιουργίας αντιγράφων ασφαλείας για τη μείωση του φόρτου του διακομιστή και την παροχή ανάκτησης με ένα κλικ.
    Ιδανικό για: άτομα (στούντιο/ομάδες) που διαχειρίζονται πολλούς ιστότοπους και θέλουν να κάνουν αντίγραφα ασφαλείας/ενημερώσεις/παρακολούθηση σε έναν πίνακα με ενιαίο τρόπο.

Τύπος C: Στιγμιότυπο/αυτόματο αντίγραφο ασφαλείας από την πλευρά του κεντρικού υπολογιστή (συνιστάται ιδιαίτερα ως “δεύτερη γραμμή ασφάλισης”)

Η αξία ενός αντιγράφου ασφαλείας κεντρικού υπολογιστή: τείνει να είναι ένα “στιγμιότυπο σε επίπεδο συστήματος” με ευρύτερη κάλυψη (συμπεριλαμβανομένης της κατάστασης των βάσεων δεδομένων και των αρχείων, ακόμη και του περιβάλλοντος σε κάποιο επίπεδο).

Κοινές παρανοήσεις:

  • Δημιουργία αντιγράφων ασφαλείας κεντρικού υπολογιστή ≠ Μετακινούμενα αντίγραφα ασφαλείας: Τα αντίγραφα ασφαλείας φιλοξενίας μπορεί να μην είναι βολικά όταν αλλάζετε οικοδεσπότη ή όταν πρέπει να πάρετε τα αντίγραφα ασφαλείας σας μακριά.
  • Τα εφεδρικά αντίγραφα ασφαλείας Plug-in είναι πιο μεταναστευτικάΤα αντίγραφα ασφαλείας πέφτουν στον αποθηκευτικό χώρο που μπορείτε να ελέγξετε, καθιστώντας την ανάκτηση σε διάφορα περιβάλλοντα πιο ευέλικτη.

Επομένως, ο πιο σταθερός συνδυασμός είναι συνήθως:

Hosted Backup (κάτω από την κουκούλα) + Plugin/Cloud Backup (μεταναστευτικό επίπεδο εφαρμογής + λεπτομερή σημεία ανάκτησης)

6. Οδικός χάρτης ασφάλειας (ξεκινήστε με τα πιο αποτελεσματικά βασικά, όχι με ένα σωρό πρόσθετα)

Η ασφάλεια δεν αφορά την “εγκατάσταση δέκα plug-ins”, αλλά την οικοδόμηση άμυνας σε επίπεδο προς επίπεδο:

Στάδιο 1: Λογαριασμοί και προνόμια (μεγαλύτερα και πιο άμεσα οφέλη)

Αυτό που θέλετε να κάνετε σε αυτό το στάδιο είναι να “δυσκολέψετε τα πιο συνηθισμένα σημεία εισόδου”:

  • Ελαχιστοποίηση λογαριασμού διαχειριστή: μόνο για όσους το χρειάζονται
  • Πολιτική ισχυρών κωδικών πρόσβασης: μην επαναχρησιμοποιείτε, μην χρησιμοποιείτε αδύναμους κωδικούς πρόσβασης
  • 2FA (επαλήθευση δύο βημάτων)Πρόκειται για μια από τις πιο αποτελεσματικές βελτιώσεις στην εποχή των “κωδικών πρόσβασης που καταρρέουν/διαρρέουν”.
    για παράδειγμα Στερεά ασφάλεια Η σελίδα του πρόσθετου υποστηρίζει ρητά πολλαπλές μεθόδους 2FA (Authy, Google Authenticator, email, εναλλακτικοί κωδικοί κ.λπ.).
  • Προστασία σύνδεσης: Περιορίστε τις προσπάθειες ωμής βίας, αποφύγετε τις σβηστές συνδέσεις
  • Θέματα/plugins που δεν χρησιμοποιούνται πλέον διαγράφονται (όχι μόνο απενεργοποιούνται).

Στάδιο 2: Ενημερώσεις και διαχείριση της έκθεσης (μην αφήνετε κινδύνους σε παλιές εκδόσεις)

Ένας μεγάλος αριθμός εισβολών στο WordPress προέρχεται από “παλιά πρόσθετα/θέματα/πυρήνα με δημόσια διαθέσιμες ευπάθειες”.

Ως εκ τούτου, η “ενημέρωση” αποτελεί μια από τις βασικές πτυχές της στρατηγικής ασφάλειας.
Η τεκμηρίωση του WordPress αναφέρει την εισαγωγή αυτόματων ενημερώσεων στο παρασκήνιο από το WordPress 3.7 για τη βελτίωση της ασφάλειας και αναφέρει ότι οι αυτόματες ενημερώσεις είναι ενεργοποιημένες από προεπιλογή στις περισσότερες τοποθεσίες και από το 5.6 Η εκκίνηση ενός νέου ιστότοπου ενεργοποιείται αυτόματαΣτρατηγικές όπως οι μεγάλες και οι μικρές ενημερώσεις εκδόσεων.

Αρχή:

  • Πυρήνας/θέματα/πρόσθετα να έχουν σαφή στρατηγική ενημέρωσης (αυτόματη/ημιαυτόματη/χειροκίνητη αναθεώρηση)
  • Σημεία επαναφοράς πριν από σημαντικές ενημερώσεις (ανατρέξτε στην ενότητα 3, “Στάδιο αντιγράφων ασφαλείας 3”)
  • Τα plug-ins που δεν συντηρούνται πλέον θα πρέπει να αντικαθίστανται το συντομότερο δυνατό (αυτός είναι ο πιο άμεσος τρόπος “μείωσης της έκθεσης”).

Στάδιο 3: Προστασία και ανίχνευση (δυσκολότερη επιτυχία των επιθέσεων και έγκαιρος εντοπισμός των ανωμαλιών)

Αυτό που θέλετε να κάνετε σε αυτό το στάδιο είναι να είστε “περισσότερο σαν συστηματική άμυνα”:

  • Firewall/WAF (μπλοκάροντας ένα μέρος της ανεπιθύμητης κυκλοφορίας πριν φτάσει στο WordPress)
  • Σάρωση κακόβουλου κώδικα, παρακολούθηση ακεραιότητας αρχείων
  • Αρχεία καταγραφής ασφαλείας και ειδοποιήσεις: μη φυσιολογικές συνδέσεις, αλλαγές προνομίων, αλλαγμένα αρχεία
  • Παρακολούθηση: παρακολούθηση χρόνου διακοπής λειτουργίας, λήξη πιστοποιητικών, ανώμαλα 5xx, ανώμαλες αιχμές κίνησης

Εργαλεία αναπαράστασης:

  • Wordfence: Η σελίδα του πρόσθετου περιλαμβάνει σαφώς το τείχος προστασίας, τη σάρωση κακόβουλου λογισμικού και την ασφάλεια σύνδεσης και αναφέρει ότι το Premium λαμβάνει ενημερώσεις κανόνων τείχους προστασίας και υπογραφών κακόβουλου λογισμικού σε πραγματικό χρόνο, ενώ η δωρεάν έκδοση έχει καθυστέρηση 30 ημερών.
    Σύσταση: Η δωρεάν έκδοση βελτιώνει σημαντικά τη βασική ασφάλεια, αλλά αν ο ιστότοπός σας είναι πιο επικίνδυνος ή βασίζεται περισσότερο σε “ενημερωμένες πληροφορίες για απειλές”, κατανοήστε τη διαφορά στις “καθυστερήσεις ενημέρωσης”.
  • Patchstack(ιδέες εικονικής επιδιόρθωσης/προστασίας από exploits): Ο επίσημος ιστότοπός της τονίζει την προστασία των ιστότοπων από ευάλωτα πρόσθετα/θέματα μέσω εικονικών επιδιορθώσεων.Patchstack; και υπάρχουν οδηγίες για τη δωρεάν έκδοση για την παροχή ειδοποιήσεων για ευπάθειες, την επί πληρωμή έκδοση για την παροχή αυτοματοποιημένης προστασίας από ευπάθειες και άλλες ιδέες.
  • Sucuri(Εκκαθάριση και ασφάλεια εξυπηρέτησης): Η σελίδα υπηρεσιών του δίνει έμφαση στον καθαρισμό από κακόβουλο λογισμικό με τη δυνατότητα συνεχούς σάρωσης/μπλοκαρίσματος μελλοντικών εισβολών Sucuri.

7. Προειδοποιήσεις κινδύνου

Παγίδες υψηλής συχνότητας που σχετίζονται με τη δημιουργία αντιγράφων ασφαλείας

  1. Τα αντίγραφα ασφαλείας είναι τοπικά στον διακομιστή μόνο
    Όταν οι διακομιστές πηγαίνουν στραβά, τα τοπικά αντίγραφα ασφαλείας συχνά χάνονται μαζί τους.
  2. Βάση δεδομένων μόνο όχι wp-content
    Κατά την αποκατάσταση θα διαπιστώσετε ότι: η ανάρτηση είναι μέσα, η εικόνα έχει εξαφανιστεί ή η προσαρμογή του θέματος έχει εξαφανιστεί ή τα αρχεία του πρόσθετου είναι ασυνεπή με αποτέλεσμα να προκύψει σφάλμα.
  3. Ποτέ μην κάνετε άσκηση ανάκτησης.
    Μόνο την κρίσιμη στιγμή συνειδητοποιείτε ότι η ανάκτηση έχει αποτύχει, ότι το αντίγραφο ασφαλείας έχει καταστραφεί ή ότι λείπουν κρίσιμα αρχεία.
  4. Η συχνότητα δημιουργίας αντιγράφων ασφαλείας δεν αντιστοιχεί στην επιχείρηση
    Σε ιστότοπους ηλεκτρονικού εμπορίου/μέλους που δημιουργούν αντίγραφα ασφαλείας μία φορά την ημέρα, στη χειρότερη περίπτωση θα μπορούσατε να χάσετε δεδομένα παραγγελιών/συμπεριφοράς χρηστών μιας ημέρας, με κόστος που θα μπορούσε να υπερβαίνει κατά πολύ το κόστος του αντιγράφου ασφαλείας.

Κουκούτσια υψηλής συχνότητας που σχετίζονται με την ασφάλεια

  1. Το πρόσθετο ασφαλείας έχει εγκατασταθεί αλλά δεν έχει ενημερωθεί για μεγάλο χρονικό διάστημα
    Τα πρόσθετα ασφαλείας δεν υποκαθιστούν τις ενημερώσεις. Οι παλιές ευπάθειες υπάρχουν και ο κίνδυνος δεν θα εξαφανιστεί.
  2. Πάρα πολλοί λογαριασμοί διαχειριστή/κοινόχρηστοι λογαριασμοί
    Τα δικαιώματα είναι εκτός ελέγχου, τα αρχεία καταγραφής είναι δύσκολο να εντοπιστούν και οι μεταβιβάσεις εξόδου είναι επικίνδυνες.
  3. Σκέφτεται “Το WAF/CDN είναι ασφαλές.”
    Τα WAF μπορούν να σταματήσουν πολλές γενικές επιθέσεις, αλλά δεν μπορούν να διορθώσουν αδύναμους κωδικούς πρόσβασης, παλιές ευπάθειες, πρόσθετα backdoor κ.λπ. Η ασφαλέστερη προσέγγιση είναι η “πολυεπίπεδη άμυνα”. Η ασφαλέστερη προσέγγιση είναι να έχετε "πολλαπλά επίπεδα άμυνας".
  4. Η στοίβαξη πολλαπλών πρόσθετων ασφαλείας που συγκρούονται μεταξύ τους επιβραδύνει επίσης τον ιστότοπο
    Οι πολιτικές ασφαλείας θα πρέπει να δίνουν προτεραιότητα στο “λιγότερα είναι περισσότερα”: 2FA + ενημερωμένες πολιτικές + τείχος προστασίας / σάρωση + ειδοποιήσεις- όχι “όσο περισσότερα εγκαθιστάτε τόσο πιο ασφαλείς είστε”.

8. Κατάλογος ελέγχου επικύρωσης

Επαλήθευση αντιγράφων ασφαλείας (μην λέτε “έχω αντίγραφο ασφαλείας” αν δεν περάσετε αυτά τα 8)

  • Εάν είναι ενεργοποιημένα τα αυτόματα αντίγραφα ασφαλείας (όχι χειροκίνητα)
  • Εάν το αντίγραφο ασφαλείας περιέχει μια βάση δεδομένων + wp-content (uploads/themes/plugins)
  • Εάν τα αντίγραφα ασφαλείας αποθηκεύονται εκτός του χώρου (μονάδα cloud/αποθήκευση αντικειμένων/αυτόνομος διακομιστής)
  • Υπάρχει σαφής στρατηγική διατήρησης (π.χ. 7/30/90 ημέρες διατήρησης)
  • Εάν το τελευταίο αντίγραφο ασφαλείας ήταν επιτυχές (όχι “το πρόγραμμα υπάρχει”)
  • Πότε ήταν η τελευταία άσκηση αποκατάστασης; Ήταν επιτυχής;
  • Υπάρχει ένα πρόσθετο σημείο επαναφοράς που δημιουργείται πριν από τη μεγάλη ενημέρωση;
  • Διαθεσιμότητα κρίσιμης διαδρομής μετά την αποκατάσταση (σύνδεση, φόρμες, πρόσβαση σε παραγγελίες ηλεκτρονικού εμπορίου/μέλη κ.λπ.)

Επικύρωση της ασφάλειας (πρώτα τα βασικά)

  • Έχει ελαχιστοποιηθεί ο λογαριασμός διαχειριστή; Υπάρχει μηχανισμός καθαρισμού του λογαριασμού εξόδου;
  • Ενεργοποίηση ή απενεργοποίηση 2FA(τουλάχιστον ρόλους διαχειριστή/εκδότη/διευθυντή καταστήματος με υψηλή εξουσία)
  • Υπάρχει σαφήςΣτρατηγική ενημέρωσης(πυρήνας/θέματα/πρόσθετα)
  • Εάν θέλετε να καταργήσετε αχρησιμοποίητα πρόσθετα/θέματα (όχι απλώς να τα απενεργοποιήσετε)
  • Διαθεσιμότητα τείχους προστασίας/προστασίας σύνδεσης/κακόβουλης σάρωσης (Wordfence (κ.λπ. μπορεί να καλύψει ένα μέρος)
  • Διαθεσιμότητα ειδοποιήσεων για ευπάθειες/ιδέες εικονικής επιδιόρθωσης (Patchstack κ.λπ.)
  • Διαθεσιμότητα συναγερμών (μη φυσιολογικές συνδέσεις, αλλαγές αρχείων, διακοπή λειτουργίας, λήξη πιστοποιητικών)
  • Διαθεσιμότητα “σχεδίων έκτακτης ανάγκης”: ποιο είναι το πρώτο βήμα που πρέπει να γίνει σε περίπτωση παραβίασης/παρεμβολής.

κοινά προβλήματα

1. Αρκεί να χρησιμοποιείτε μόνο το αντίγραφο ασφαλείας του ίδιου του κεντρικού υπολογιστή;

Συνήθως δεν συνιστάται να βασίζεστε σε μία μόνο πηγή.
Τα αντίγραφα ασφαλείας της φιλοξενίας είναι υπέροχα, αλλά δεν σας διευκολύνουν απαραίτητα να “απομακρύνετε, να μεταφέρετε και να επαναφέρετε τα δεδομένα σας”. Είναι πιο σταθερό:Hosted Backups για υποστήριξη + Plugin/Cloud Backups για μεταναστευσιμότητα και ελεγχόμενα σημεία ανάκτησης

2. Πόσο συχνά πρέπει να δημιουργώ αντίγραφα ασφαλείας;

Σύμφωνα με τον “ρυθμό μεταβολής των δεδομένων”:

  • Ιστοσελίδες περιεχομένου: συνήθως αρκετά ανά ημέρα
  • Enterprise site: καθημερινά (ειδικά αν υπάρχουν leads μέσω φόρμας) και επιβεβαιώστε ότι οι leads δεν βρίσκονται μόνο στο site
  • Ηλεκτρονικό εμπόριο/μέλη: συνιστάται πιο υψηλή συχνότητα (ωριαία ή ακόμη και σχεδόν σε πραγματικό χρόνο), καθώς τα δεδομένα παραγγελιών/χρηστών είναι πιο πολύτιμα.

3. Πόσο καιρό πρέπει να διατηρούνται τα αντίγραφα ασφαλείας;

Ανάλογα με το περιεχόμενο και τις ανάγκες συμμόρφωσης, μπορείτε να χρησιμοποιήσετε αυτή την ιδέα:

  • Κρατήστε τουλάχιστον 7-30 ημέρες για τακτική επαναφορά
  • Εάν ανησυχείτε για “λανθάνουσες κερκόπορτες/χρόνια αλλοίωση”, είναι πιο χρήσιμο να διατηρήσετε τον κύκλο μεγαλύτερο (π.χ. 90 ημέρες), ώστε να μπορείτε να επιστρέψετε σε μια προηγούμενη, καθαρότερη έκδοση.

4. Είναι το UpdraftPlus / WPvivid / Duplicator το “ίδιο πράγμα”;

Και οι δύο υποστηρίζουν, αλλά με διαφορετική έμφαση:

  • UpdraftPlus Πιο τυπικό είναι το “Scheduled Backup + Multi-Target Storage + Recovery”.”
  • WPvivid Έμφαση στα εφεδρικά αντίγραφα + μετανάστευση + σταδιοποίηση Δυνατότητες δοκιμών
  • Αντιγραφέας Πολύ ισχυρή στο “pack/migrate/clone site”

Αν χρησιμοποιείτε το “type” για να επιλέξετε, δεν θα μπερδευτείτε από το όνομα.

5. Γιατί πρέπει να πληρώσω για το Jetpack Backup; Για ποιο λόγο;

Επειδή πρόκειται ουσιαστικά περισσότερο για μια “υπηρεσία δημιουργίας αντιγράφων ασφαλείας στο σύννεφο” - με έμφαση στην αποθήκευση στο σύννεφο και την αποκατάσταση με ένα κλικ - η σελίδα του πρόσθετου πρέπει ρητά να περιλαμβάνει Προγράμματα πληρωμής για εφεδρικά αντίγραφα ασφαλείαςΗ επίσημη σελίδα της συνδρομής δίνει έμφαση στην αποθήκευση κάθε αλλαγής και στη γρήγορη ανάκτηση με ένα κλικ.
Ιδανικό για: ανθρώπους που είναι πιο ευαίσθητοι στην ταχύτητα ανάκτησης και θέλουν να αφήσουν τη διαχείριση των αντιγράφων ασφαλείας σε μια ώριμη υπηρεσία.

6. Ποιο είναι το νόημα των “αυξητικών αντιγράφων ασφαλείας” όπως το BlogVault / ManageWP;

Τα επαυξητικά αντίγραφα ασφαλείας βρίσκονται στον πυρήνα τους:Δημιουργία αντιγράφου ασφαλείας μόνο των αλλαγών, το οποίο μειώνει το φορτίο του διακομιστή, ενώ επιτρέπει τη δημιουργία σημείων ανάκτησης με μεγαλύτερη συχνότητα.

  • Πρόσθετο BlogVaultΟι οδηγίες δίνουν έμφαση στην αυτόματη, σταδιακή δημιουργία αντιγράφων ασφαλείας και την αντικατάσταση βάσεων δεδομένων/θεμάτων/plugins/μέσων, με ενσωματωμένη σταδιοποίηση και μετάβαση,
  • ManageWP Δίνεται επίσης έμφαση στις τεχνικές δημιουργίας αυξητικών αντιγράφων ασφαλείας για τη μείωση του φόρτου και την παροχή ανάκτησης με ένα κλικ.

Ιδανικό για: μεγάλες τοποθεσίες, πολλά μέσα, συχνές ενημερώσεις ή αν διαχειρίζεστε πολλές τοποθεσίες.

7. Είναι ένα πρόσθετο ασφαλείας αρκετό;

Για τους περισσότερους ιστότοπους, “ένα κύριο πρόσθετο ασφαλείας + σωστή βασική πολιτική” είναι συνήθως πιο αποτελεσματικό από “ένα σωρό από αυτά”.
για παράδειγμα Wordfence Μπορεί να καλύψει βασικές δυνατότητες, όπως τείχος προστασίας, σάρωση και ασφάλεια σύνδεσης. 2FA(η Solid Security προσφέρει διάφορους τρόπους για να το κάνετε αυτό), μπορεί ήδη να αυξήσει σημαντικά το κόστος μιας επίθεσης.

8. Λειτουργεί η δωρεάν έκδοση του Wordfence; Γιατί μερικοί άνθρωποι μιλούν για την αλλαγή σε Premium;

Σελίδα του πρόσθετου WordfenceΣαφήνεια: Το Premium παρέχει ενημερώσεις κανόνων τείχους προστασίας και κακόβουλων υπογραφών σε πραγματικό χρόνο, ενώ η δωρεάν έκδοση καθυστερεί κατά 30 ημέρες.
Το αν χρειάζεστε Premium εξαρτάται από τον κίνδυνο και το επίπεδο ανοχής σας:

  • Τοποθεσίες χαμηλού κινδύνου: δωρεάν έκδοση + έγκαιρες ενημερώσεις + 2FA, συνήθως ήδη χρήσιμες!
  • Υψηλότερος κίνδυνος ή μεγαλύτερη εξάρτηση από “ενημερωμένες πληροφορίες για απειλές”: η ανάγκη κατανόησης του παραθύρου που μπορεί να δημιουργήσουν οι “καθυστερημένες ενημερώσεις”.

9. Τι ακριβώς λύνει ένα “εικονικό patch” όπως το Patchstack;

Η ιδέα είναι ότι οι κανόνες χρησιμοποιούνται για τον αποκλεισμό της επιφάνειας επίθεσης των γνωστών ευπαθειών στο επίπεδο εφαρμογής πριν από την εκμετάλλευση των ευπαθειών του πρόσθετου/θέματος (ή πριν από την πλήρη διάδοση των επιδιορθώσεων).Patchstack επίσημη ιστοσελίδαΈμφαση στην προστασία εικονικών επιδιορθώσεων που είναι ευάλωτα plugins/θέματα, με επεξηγήσεις για τις διαφορές μεταξύ δωρεάν και επί πληρωμή στις ειδοποιήσεις και την αυτοματοποιημένη προστασία.
Αυτό δεν αποτελεί αντικατάσταση των ενημερώσεων, αλλά μάλλον έναν τρόπο ελαχιστοποίησης του κινδύνου ενός “παραθύρου επιδιόρθωσης”.

10. Θα κλειδωθώ αν ενεργοποιήσω το 2FA;

Συνιστάται να προετοιμαστείτε εκ των προτέρων:

  • Εναλλακτικός κωδικός/μέθοδος ανάκτησης (Στερεά ασφάλεια (αναφέρθηκαν επίσης προγράμματα όπως οι κωδικοί backup)
  • Διατήρηση τουλάχιστον ενός “διαχειριστή έκτακτης ανάγκης” και ασφαλείς πληροφορίες ανάκαμψης
  • Το κλειδί: μην τοποθετείτε τις πληροφορίες ανάκτησης στο ίδιο μέρος όπου μπορεί να φτάσει μια παραβίαση.

11. Θα πρέπει να ενεργοποιηθεί ή όχι η αυτόματη ενημέρωση του WordPress;

Τεκμηρίωση WordPressΕξηγήστε ότι ο μηχανισμός αυτόματης ενημέρωσης στο παρασκήνιο αποσκοπεί στη βελτίωση της ασφάλειας και είναι ενεργοποιημένος από προεπιλογή για τις περισσότερες τοποθεσίες και ότι μπορούν να ρυθμιστούν διαφορετικοί τύποι πολιτικών ενημέρωσης.
Σύσταση:

  • Ενημερώσεις ασφαλείας και δευτερευουσών εκδόσεων: τείνουν να είναι αυτοματοποιημένες (μείωση του χρόνου έκθεσης γνωστών ευπαθειών)
  • Σημαντικές κυκλοφορίες/κρίσιμες ενημερώσεις πρόσθετων: συνδυάστε σημεία επαναφοράς αντιγράφων ασφαλείας με μια διαδικασία δοκιμής πριν προχωρήσετε (τουλάχιστον για να μπορείτε να κάνετε επαναφορά)

12. Ποιο είναι το πρώτο βήμα αν υποπτεύομαι ότι ένας ιστότοπος έχει παραβιαστεί;

Σωστή σειρά (για να αποφύγετε μεγαλύτερο χάος):

  1. Σταματήστε πρώτα την αιμορραγία.: Προσωρινός περιορισμός των συνδέσεων στο παρασκήνιο, αναστολή των ύποπτων λειτουργιών και άνοιγμα σελίδων συντήρησης όταν είναι απαραίτητο.
  2. Διατήρηση αποδεικτικών στοιχείων & σημεία ανάκτησης πρώτα: Δημιουργήστε ένα άμεσο αντίγραφο ασφαλείας της τρέχουσας κατάστασης (για ανάλυση) ενώ προετοιμάζετε ένα καθαρό σημείο επαναφοράς
  3. Επαναφορά/καθαρισμός: Δώστε προτεραιότητα στην αποκατάσταση σε ένα γνωστό καθαρό χρονικό σημείο ή χρησιμοποιήστε μια επαγγελματική υπηρεσία καθαρισμού (Sucuri κ.λπ. με έμφαση στον καθαρισμό από κακόβουλες ενέργειες και τη συνεχή προστασία)
  4. μπαλώστε μια τρύπα: Ενημέρωση του πυρήνα/των plugins/των θεμάτων, επαναφορά κωδικών πρόσβασης και κλειδιών, ενεργοποίηση του 2FA, αφαίρεση ύποπτων λογαριασμών και plugins.

13. Κάνω ασφάλεια και δημιουργία αντιγράφων ασφαλείας, γιατί πρέπει να παρακολουθώ;

Επειδή η “έγκαιρη ανίχνευση” ελαχιστοποιεί τις απώλειες.
Χρόνος διακοπής λειτουργίας, ληγμένα πιστοποιητικά, μη φυσιολογική κίνηση, μη φυσιολογικές συνδέσεις, μη φυσιολογικές παραγγελίες - όλα αυτά είναι ζητήματα που όσο πιο γρήγορα τα μάθετε, τόσο το καλύτερο.