Jõudluse optimeerimine on suunatud “kiiremale”, kuid veebilehtede puhul on tegelik põhiline küsimus kaks asja:

  • tagatis: Püüa mitte sattuda raskustesse (ära hakka häkkida, ära jää rippuma, ära jookse kokku, ära löö liideseid ära, ära tamperdu).
  • varundamine: kiire taastumine isegi siis, kui midagi läheb valesti (juhuslik kustutamine, uuenduse üleviimine, serveri rike, tagasipöördumine pärast lunaraha/ sissetungi).

Kaks järgmist asja täiendavad üksteist:

  • Kui teete ainult turvalisust, kuid mitte varukoopiaid, võite ikkagi üleöö nulli minna, kui teil tekib kontrollimatuid probleeme.“
  • Kui teete ainult varukoopiaid, kuid mitte turvalisust, satute tsüklisse “iga päev tabatakse ja iga päev taastatakse” ning aeg ja kulud lähevad kontrolli alt välja!

Pärast lugemist peaksite seda tegema:

  • Teadmine, mida täpselt katta “varundamise ja turvalisusega” (et vältida vale ostmist, vale paigaldamist ja eeldamist, et see on lollikindel).
  • Võimalus valida õige lahendus saidi tüübi järgi (sisu sait/ärileht/e-kaubandus/liikmete sait).
  • Võimaldatakse järk-järgult kasutusele võtta tegevuskava alusel (paindlik, seejärel kontrollitav, seejärel süstemaatiline).
  • Saab kontrollida isetestimise kontrollnimekirjaga: varukoopiaSee on tõesti taastatav.TurvalisusKaitse on tõesti olemas.
  • Teada, kuhu probleemide ilmnemisel esimesena pöörduda (varukoopia ebaõnnestumine, taastamise ebaõnnestumine, häkkimise kahtlus jne).

1. Eesmärk: Teil on vaja “taastatavat süsteemi”, mitte “pistikprogrammi”.”

Varukoopia ei tähenda “varundatud faili olemasolu”.”

Selle asemel:Kas sa saad saidi tagasi nii, nagu sa tahad seda, kui sa seda vajad

Seega ei ole varundamise põhinäitaja mitte “installitud varundusplugin”, vaid need kaks asja:

  • Aktsepteeritav andmekadu (RPO): Kui kaua saate leppida andmete kaotamisega halvimal juhul?
    Näide: kui sisulehekülg kaotab 24 tundi artikleid, võib see olla vastuvõetav; kui e-kaubanduse lehekülg kaotab 30 minutit tellimusi, on see tõsine.
  • Aktsepteeritav taastumisaeg (RTO): Kui kiiresti te loodate pärast õnnetust taas võrgus olla?
    Näide: ettevõtte veebisait võib soovida taastuda 1 tunni jooksul; e-kaubanduse veebisait võib soovida taastuda 10-30 minuti jooksul.

Te ei pea neid mõõdikuid valemisse kirjutama, vaid kasutage neid otsustamiseks:Varundamise sagedus, säilitamisaeg, vajadus reaalajas/täiendavate varunduste järele, vajadus ühe klikiga taastamise/välise taastamise järele.

2. Kiire strateegia väljatöötamine objekti tüübi järgi (orienteerumine, seejärel vahendite valik)

Strateegia nõuanded:

A. Sisuga veebilehed / blogid

  • Muudatuste sagedus: tavaliselt “iga päev/nädalaselt”.”
  • Soovitatav varundamise sagedus:igapäevaneAndmebaasi varukoopia + wp-sisu (üleslaadimised/teemad/pluginid)
  • Taastumise eesmärk: eilne/tänapäevane versioon on piisav (keskendudes sellele, et artikleid ja meediakogu ei läheks kaduma).

B. Ärilehekülg / turundussait (vormi viited on olulised)

  • Muudatuste sagedus: ei pruugi olla suur, kuid vormid/juhised on kriitilise tähtsusega.
  • Soovitatav varundussagedus: andmebaas vähemaltigapäevaneVormiandmed ja e-posti/CRM ei ole “ühes kohas”.”
  • Taastumise eesmärk: kiire tagasipöördumine probleemide korral uuendamise/ülevaatamise/lisamise jälgimise skriptide puhul

C. E-kaubanduse sait (WooCommerce)

  • Muutuste sagedus: tellimused/varud/kasutaja käitumine pidev
  • Soovitatav varundamise sagedus: eelistatudsuurem sagedus(tunnis või isegi reaalajas/lähedases reaalajas), vähemalt teha andmebaasi kaitse tugevaks.
  • Taastamise eesmärk: tellimuste andmete minimaalne kadumine; võime kiiresti taastada makse/tellimusühendused.

D. Liikmelehekülg / kursuse lehekülg / kogukond

  • Muutuste sagedus: kasutaja edusammud, õigused, sisu avamine, suhtlusandmed
  • Soovitatav varundussagedus: andmebaaside puhul sagedamini; taastamispunktidega “point-in-time”.
  • Taastamise eesmärk: kasutaja andmed ei ole rikutud, õigused ei ole kadunud ja sisu ei ole võltsitud.

3. Varukoopia teekaart (soovitatav on liikuda edasi nendes 3 etapis)

Tähtsündmused:Teeme kõigepealt “võimeka taastamise” ja räägime siis “automatiseerimisest ja süstematiseerimisest”.

1. etapp: Alusta “Automaatne varundamine + Offsite Storage”.”

See on põhiline. Ükskõik, millist vahendit te kasutate, see peab olema täidetud:

  • automaatne:: Ärge toetuge sõnadele “ma mäletan, et vajutan seda käsitsi”.”
  • kohapealne ladustamine: Ära pane varukoopiaid lihtsalt samasse serverisse.
    Põhjus on väga lihtne: server ripub/ketas on katki/kontole tungitakse raamatukogu kustutamiseks, teie “kohalik varukoopia” võib olla koos kadunud.

Tööriista tüüpilised rakendused on järgmised:

  • Varundusplainer lükkab varukoopiaid pilvekettale/objektihoidlasse/FTP (UpdraftPlus (Näiteks Dropbox, Google Drive, Amazon S3 ja paljud teised sihtmärgid on selgesõnaliselt toetatud).
  • Pilve varundusteenus paigutab varukoopiad oma pilve ja pakub ühe klõpsuga taastamist (Jetpack VaultPressi varundamine (Peamiselt pilve varundamine ja taastamine ühe klõpsuga, kuid peab sisaldama tasulist varundusplaani)

2. faas: Varukoopiate ajakohastamine “taastatavateks süsteemideks”.”

Paljud saite tõesti ümber, mitte sellepärast, et puuduvad varukoopiad, vaid sellepärast, et:

  • Ebatäielik varundus (ainult andmebaas, mitte üleslaadimised/teemad/pluginid)
  • Vigastatud varundusfail / ebaõiged õigused
  • Kui teil on vaja taastuda, mõistate, et “taastumisprotsess lihtsalt ei toimi”.”

Seega on 2. etapi eesmärgid järgmised:Tehke regulaarselt taastumisõpet(isegi testkeskkonnas / ajutise kataloogi taastamisel), kinnitage järgmised punktid:

  • Andmebaasi saab taastada.
  • Meedia raamatukogu saab taastada (wp-content/uploads/
  • Teemad/pluginid saab taastada (wp-content/themes/wp-content/plugins/
  • Pärast taastumist saab saidile normaalselt ligi, backendisse saab normaalselt sisse logida ja põhifunktsioone saab läbi ajada (e-kaubandus tellimuse/maksmise protsessi testimiseks ja liikmesuse sait sisselogimise/õiguste testimiseks).

Seetõttu rõhutavad paljud kommertslikud varunduslahendused “ühe klikiga taastamist”, “minutipõhist taastamist” ja “inkrementaalseid varukoopiaid koormuse vähendamiseks”. Näiteks BlogVault Plugina kirjelduses on rõhutatud, et **automaatne, inkrementaalne varundamine (sh andmebaasid, teemad, pluginad, meedia)** ja staging/migratsioonifunktsioonid on olemas.ManageWP Samuti pööratakse rõhku koormuse vähendamisele inkrementaalse varundamise tehnikate abil ja ühe klõpsuga taastamise võimaldamisele.

3. faas: siduda varukoopiaid uuendamise/vabastamise protsessiga (tagasipöördumispunkt).

Selles etapis on teie eesmärk:Rollback-punkt enne iga suuremat muudatust

Tüüpilised stsenaariumid on järgmised:

  • WordPressi põhiversiooni uuendamine
  • Teema muutmine / malli uuendamine
  • Võtmeplokkide paigaldamine või asendamine (e-kaubanduse maksed, liikmesuse süsteemid, vormide süsteemid).
  • Partii pildi asendamine / massiline sisu migratsioon

3. etapi mõte on see, et te ei pea “palvetama, et muudatus oleks korras”, vaid et te saate kiiresti tagasi pöörduda “hetkele enne muudatust”, kui muudatus läheb valesti.

4. Varundamine, mida täpselt varundada (paljud inimesed varundavad, jättes need põhipunktid tähelepanuta)

Oluline 1: Andmebaas (kuhu lähevad tellimused/kasutajad/sisu/seadistused)

  • Artiklid, leheküljed, kommentaarid
  • Kasutajad, õigused
  • WooCommerce Tellimused, inventar, kupongid
  • Pistikprogrammi konfiguratsioon (suur hulk andmebaasi salvestatud konfiguratsioone)

Oluline 2: wp-content (see on suurem osa WordPressi saidi “nähtavatest varadest”)

  • uploads: pildid, manused, meediakogu (kõige lihtsam koht, kus “unustatakse varundada”)
  • themes: Teema failid (kohandatud kood/mustrid)
  • plugins: pluginafailid (mõned pluginad kirjutavad ka kohandatud faile)

Vajaduse korral: teave konfiguratsiooni ja töökeskkonna kohta

Ärge ignoreerige keskkonnaalaseid erinevusi:

  • PHP versiooni erinevused võivad põhjustada vigade teatamist pärast taastamist
  • Spetsiifilised erinevused laiendus-/ vahemälukomponentide vahel võivad põhjustada erinevat käitumist.
  • Reverse proxy/CDN/turbe-eeskirjad võivad mõjutada sisselogimist ja backend-liidest.

Taastamine ei tähenda mitte ainult faili tagasipanemist, vaid ka selle tagamist, et operatsioonikeskkond ja konfiguratsioon toetaksid selle käivitamist.

5. Tagavaraprogrammi valik

Tüüp A: ajastatud varukoopiad (sobilik käivitamislahendus enamiku saitide jaoks)

Omadused: madalad kulud, kontrollitav, kiire kasutuselevõtt; kuid tuleb teha kindel “off-site storage + recovery drill”.

Esindusvahendid:

  • UpdraftPlus: Põhirõhk on plaanipärasel varundamisel ja taastamisel, kusjuures pluginalehel on selgesõnaline toetus mitmele varundamise sihtmärgile (Dropbox, Google Drive, Amazon S3, FTP, e-post jne).
    Ideaalne: sisu saite/ärilehekülgede jaoks, mis alustavad; ja saitidele, mis soovivad “varukoopiaid oma kontrollitud salvestusruumi”.
  • WPvivid varundamine ja migratsioon: Plugina lehekülg toob esile varukoopiad, migratsioonid ja staging (staging saab luua alamkataloogi, et testida muudatusi).
    Ideaalne: inimestele, kes migreerivad saite sageli ja peavad sageli ad hoc muudatusi testima.
  • Duplikaator: Plugini lehekülg rõhutab saitide varundamist/pakkimist/migreerimist/kloonimist uutele hostidele või uutele domeenidele.
    Ideaalne: migreerimine, saitide replikatsioon, testsaitide ehitamine, “ümberpaigutatavate pakettide” tegemine.

UpdraftPlus on pigem “varusüsteemi starter”.”

WPvivid/ Duplicator on parem “migratsiooni/pakkimise/kopeerimise” puhul, kuid saab teha ka varukoopiaid.

Tüüp B: pilvepõhine varundamine / peaaegu reaalajas varundamine (sobib paremini andmetundlikumatele ja taastamisaja suhtes tundlikumatele saitidele).

Omadused: Rõhuasetus “muutuste/kõrge sagedusega muutuste kaitsele” ja “taastamine ühe klõpsuga”, pigem teenuste kogum.

Esindusvahendid:

  • Jetpack VaultPress Backup (Jetpack Backup): Plugina lehel rõhutatakse pilve varundamist ja ühe klikiga taastamist ning nõutakse selgesõnaliselt tasulist Jetpacki paketti, mis sisaldab varundamist, milleAmetlikul tellimuslehel rõhutatakse ka“Salvesta iga muudatus, naase kiiresti kasutatavasse olekusse ühe klõpsuga taastamise abil”.
    Ideaalne: e-kaubandus/liikmete/saitide jaoks, mis on tundlikud “taastamise kiiruse” suhtes, või neile, kes soovivad varundamistoiminguid allhankida küpsele teenusele.
  • BlogVault: Plugina kirjeldus sisaldab selgesõnaliselt “automaatseid, turvalisi, inkrementaalseid varukoopiaid (andmebaas, teemad, pluginad, meedia)” koos sisseehitatud staging- ja migratsioonivõimalustega.
    Ideaalne: Saidid, kus “Varundamine + testimine + migratsioon” on täielik töövoog.
  • ManageWP: rõhuasetus inkrementaalsetele varundustehnikatele, et vähendada serveri koormust ja pakkuda taastamist ühe klikiga.
    Ideaalne: inimestele (stuudiod/tiimid), kes haldavad mitut saiti ja soovivad teha varukoopiaid/uuendusi/monitooringut ühes paneelis ühtselt.

Tüüp C: hostipoolne hetkeseade/automaatne varundus (väga soovitatav kui “teine kindlustuse rida”)

Hosti varukoopia väärtus: see kipub olema “süsteemitasandi hetkeülesvõte”, millel on laiem katvus (sealhulgas andmebaaside ja failide olek ja isegi keskkond mingil tasemel).

Üldised väärarusaamad:

  • Hosti varundamine ≠ Migreeritav varundamine: Hosting varukoopiad ei pruugi olla mugavad, kui te vahetate vastuvõtjat või peate oma varukoopiad ära viima.
  • Plug-in varukoopiad on rändavamadVarukoopiad jäävad salvestusruumi, mida saate kontrollida, muutes taastamise erinevates keskkondades paindlikumaks.

Seetõttu on kõige stabiilsem kombinatsioon tavaliselt:

Hosted Backup (kapoti all) + Plugin/Cloud Backup (rakenduskihi migreeritav + granulaarsed taastamispunktid)

6. Turvalisuse teekaart (alustage kõige tõhusamate põhitõdedega, mitte hunniku lisaseadmetega)

Turvalisus ei tähenda “kümne pistikprogrammi paigaldamist”, vaid kaitsemeetmete ehitamist kihtide kaupa:

1. etapp: kontod ja privileegid (suurim ja kõige otsesem kasu)

Selles etapis tahate teha “kõige tavalisemaid sisenemiskohti raskemaks”:

  • Administraatori konto minimeerimine: ainult neile, kes seda vajavad
  • Tugev paroolistrateegia: ärge kasutage uuesti, ärge kasutage nõrku paroole.
  • 2FA (kaheastmeline kontroll)See on üks tõhusamaid täiustusi “crash/lekke paroolide” ajastul.
    näiteks Soliidne turvalisus Plugina leht toetab selgesõnaliselt mitut 2FA meetodit (Authy, Google Authenticator, e-post, alternatiivsed koodid jne).
  • Sisselogimise kaitse: piirake jõhkraid sisselogimiskatseid, vältige sisselogimist, mis on tehtud pühkimise teel
  • Kasutamata kontod on välja lülitatud/kustutatud; teemad/pluginid, mida enam ei kasutata, on kustutatud (mitte ainult deaktiveeritud).

2. etapp: Uuendused ja riskihaldus (ärge jätke riske vanadesse versioonidesse)

Suur osa WordPressi sissetungidest pärineb “vanadest pluginatest/teemidest/ tuumast, kus on avalikult kättesaadavad haavatavused”.

Seetõttu on “ajakohastamine” üks turvastrateegia põhiaspekte.
WordPressi dokumentatsioon mainib automaatsete taustauuenduste kasutuselevõttu alates WordPressi versioonist 3.7, et parandada turvalisust, ning väidab, et automaatsed uuendused on vaikimisi lubatud enamikel saitidel ja alates 5.6 Uue saidi käivitamine on automaatselt lubatudStrateegiad, nagu suuremad vs. väiksemad versiooniuuendused.

Põhimõtted:

  • tuumik/teemad/pluginid, millel peab olema selge uuendamisstrateegia (automaatne/poolautomaatne/manuaalne läbivaatamine).
  • Rollback-punktid enne suuremaid uuendusi (vt 3. jagu “Varukoopia 3. etapp”)
  • Pistikprogrammid, mida enam ei hooldata, tuleks võimalikult kiiresti asendada (see on kõige otsesem viis “kokkupuute vähendamiseks”).

3. etapp: kaitse ja avastamine (raskendab rünnakute õnnestumist ja muudab kõrvalekalded varem avastatavaks).

See, mida te tahate selles etapis teha, on olla “rohkem nagu süstemaatiline kaitse”:

  • Tulemüür/WAF (blokeerib osa rämpsu liiklusest enne WordPressi jõudmist)
  • Pahatahtliku koodi skaneerimine, failide terviklikkuse jälgimine
  • Turvalogid ja hoiatused: ebanormaalsed sisselogimised, õiguste muudatused, muudetud failid.
  • Seire: seisakute jälgimine, sertifikaatide aegumine, anomaalsed 5xx, anomaalsed liikluse piigid.

Esindusvahendid:

  • Wordfence: Plugina leheküljel on selgelt kirjas tulemüür, pahavara skaneerimine ja sisselogimise turvalisus ning mainitakse, et Premium versioon saab tulemüürireeglite ja pahavara allkirjade uuendused reaalajas, samas kui tasuta versioonil on 30-päevane viivitus.
    Soovitus: Tasuta versioon parandab oluliselt baasturvalisust, kuid kui teie sait on riskantsem või tugineb rohkem “ajakohasele ohuanalüüsile”, siis mõistke erinevust “uuendamisviivituste” osas.
  • Patchstack(virtuaalne parandamine/kaitsemeetmete kasutamise ideed): Selle ametlikul veebisaidil rõhutatakse saitide kaitset haavatavate pistikprogrammide/teemade eest virtuaalsete paranduste abil.Patchstack; ja seal on juhised tasuta versiooni jaoks, mis annab hoiatusi haavatavuste kohta, tasulise versiooni jaoks, mis pakub automaatset kaitset haavatavuste eest, ja muid ideid.
  • Sucuri(julgeolekukontrolli ja -teeninduse tagamine): Selle teenuslehel rõhutatakse pahavara puhastamist koos võimega pidevalt skaneerida/blokeerida tulevasi sissetungeid Sucuri.

7. Riskihoiatused

Varundamisega seotud kõrgsageduslikud lõksud

  1. Varukoopiad on ainult kohalikud serveris
    Kui serverid lähevad viltu, kaovad sageli ka kohalikud varukoopiad koos nendega.
  2. Ainult andmebaas, mitte wp-sisu
    Taastamisel leiate: postitus on sees, pilt on kadunud; või teema kohandamine on kadunud; või pluginafailid on vastuolulised, mille tulemuseks on viga.
  3. Ärge kunagi tehke taastamisharjutust.
    Alles kriitilisel hetkel saate aru, et taastamine on ebaõnnestunud, varukoopia on rikutud või kriitilised failid on kadunud.
  4. Varundamise sagedus ei vasta äritegevusele
    E-kaubanduse/liikmete veebisaitide puhul, mis teevad varukoopiaid kord päevas, võite halvimal juhul kaotada ühe päeva tellimuste/kasutaja käitumise andmed, mille kulud võivad olla palju suuremad kui varundamise kulud.

Ohutusega seotud kõrgsageduslikud kaevandused

  1. Turvalisuse pistikprogramm on paigaldatud, kuid seda ei ole pikka aega uuendatud.
    Turvapluginad ei asenda uuendusi. Vanad haavatavused on olemas ja risk ei kao.
  2. Liiga palju administraatori kontosid/jagatud kontosid
    Õigused on kontrolli alt väljas, logisid on raske jälgida ja väljumise üleandmine on riskantne.
  3. Mõtlemine “WAF/CDN on ohutu.”
    WAF-id suudavad peatada paljud üldised rünnakud, kuid nad ei suuda parandada nõrku paroole, vanu haavatavusi, tagaukse pistikprogramme jne. Kõige ohutum lähenemisviis on “mitmekihiline kaitse”. Kõige turvalisem on "mitmekihiline kaitse".
  4. Mitme üksteisega vastuolus oleva turvaplugina virnastamine aeglustab ka saidi tööd
    Turvalisuspoliitika peaks seadma prioriteediks “vähem on rohkem”: 2FA + ajakohastatud poliitikad + tulemüür/skaneerimine + hoiatused; mitte “mida rohkem paigaldad, seda turvalisem oled”.

8. Valideerimise kontrollnimekiri

Varukoopia kontrollimine (ärge öelge “mul on varukoopia”, kui te ei läbinud neid 8).

  • Kas automaatne varundamine on lubatud (mitte käsitsi).
  • Kas varukoopia sisaldab andmebaasi + wp-sisu (üleslaadimised/teemad/pluginid)
  • Kas varukoopiaid hoitakse väljaspool (pilveketas/objekti salvestusruum/iseseisev server).
  • Kas on olemas selge säilitamisstrateegia (nt 7/30/90 päeva säilitamine)?
  • Kas viimane varundamine oli edukas (mitte “ajakava on olemas”).
  • Millal oli viimane taastamisharjutus? Kas see oli edukas?
  • Kas enne suurt uuendust genereeritakse täiendav tagasipöördumispunkt?
  • Kriitilise tee kättesaadavus pärast taastamist (sisselogimine, vormid, e-kaubanduse tellimine/liikmete juurdepääs jne).

Turvalisuse valideerimine (kõigepealt tuleb omandada põhitõed)

  • Kas administraatori konto on minimeeritud? Kas on olemas väljumiskonto puhastusmehhanism?
  • Lubamine või keelamine 2FA(vähemalt administraatori/redaktori/kaupluse juhi ametikohad, millel on suured volitused)
  • Kas on olemas selgeStrateegia ajakohastamine(tuum/teemad/pluginid)
  • Kas eemaldada kasutamata pistikprogrammid/teemad (mitte lihtsalt deaktiveerida neid).
  • Tulemüüri/loginikaitse/ pahatahtliku skaneerimise kättesaadavus (Wordfence (jne. võib katta osa)
  • Haavatavusohu hoiatuste/virtuaalse parandamise ideede kättesaadavus (Patchstack jne.)
  • Häirete kättesaadavus (ebanormaalsed sisselogimised, faili muutused, seisakud, sertifikaadi kehtivuse lõppemine)
  • “situatsiooniplaanide” kättesaadavus: mis on esimene samm, mis tuleb teha häkkimise/kaebamise korral.

ühised probleemid

1. Kas piisab sellest, kui kasutada ainult peremehe enda varukoopiaid?

Tavaliselt ei ole soovitatav tugineda ainult ühele allikale.
Hostingu varukoopiad on suurepärased, kuid need ei pruugi lihtsustada “äravõtmist, migreerimist ja tagasipööramist”. See on stabiilsem:Hostitud varukoopiad aluspõhjuseks + Plugin/Cloud varukoopiad migreeritavuse ja kontrollitud taastepunktide jaoks

2. Kui tihti peaksin varundama?

Vastavalt “andmete muutumise kiirusele”:

  • Sisu saite: tavaliselt piisavalt päevas
  • Ettevõtte sait: iga päev (eriti kui on vormi viited) ja kinnitada, et viited ei ole ainult saidil
  • E-kaubandus/liikmed: soovitatav on suurem sagedus (tunnis või isegi peaaegu reaalajas), kuna tellimuste/kasutajate andmed on väärtuslikumad.

3. Kui kaua tuleb varukoopiaid säilitada?

Sõltuvalt sisust ja nõuetele vastavuse vajadusest võite seda ideed kasutada:

  • Hoidke vähemalt 7-30 päeva regulaarseks tagasipöördumiseks
  • Kui te olete mures “varjatud tagauste/kroonilise võltsimise” pärast, on väärtuslikum hoida tsüklit kauem (nt 90 päeva), et saaksite tagasi minna varasemale, puhtamale versioonile.

4. Kas UpdraftPlus / WPvivid / Duplicator on “sama asi”?

Nad mõlemad toetavad, kuid erinevate rõhuasetustega:

  • UpdraftPlus Tüüpilisem on “Plaaniline varundamine + mitme sihtmärgi salvestamine + taastamine”.”
  • WPvivid Rõhuasetus varundamisele + migratsioonile + staažile Testimisvõimalused
  • Duplikaator Väga tugev “pakkimise/migreerumise/kloonimise sait”

Kui kasutate valimiseks “tüüp”, ei aita nimi teid segadusse ajada.

5. Miks peaksin ma Jetpack Backupi eest maksma? Milleks see on mõeldud?

Kuna tegemist on sisuliselt pigem “pilve varundamise teenusega” - rõhuasetusega pilve salvestamisele ja ühe klikiga taastamisele -, peab pluginalehekülg selgesõnaliselt sisaldama järgmist Maksegraafikud varukoopia jaoksAmetlikul tellimuslehel rõhutatakse iga muudatuse salvestamist ja kiiret taastamist ühe klõpsuga.
Ideaalne: inimestele, kes on taastamiskiiruse suhtes tundlikumad ja soovivad jätta varukoopia O&M küpsele teenusele.

6. Mis mõte on “inkrementaalsetel varundustel” nagu BlogVault / ManageWP?

Nende keskmes on inkrementaalsed varukoopiad:Varundage ainult muudatused, mis vähendab serveri koormust, võimaldades samal ajal taastepunkte suurema sagedusega genereerida.

  • BlogVault pluginJuhistes rõhutatakse automaatset, inkrementaalset varundamist ja andmebaaside/teemade/pluginite/meedia ülekirjutamist koos sisseehitatud varundamise ja migratsiooniga;
  • ManageWP Samuti rõhutatakse inkrementaalse varundamise tehnikat, et vähendada koormust ja pakkuda ühe klõpsuga taastamist.

Ideaalne: suured saidid, palju meediat, sagedased uuendused või kui haldate mitut saiti.

7. Kas ühest turvaplugist piisab?

Enamiku saitide puhul on “üks peamine turvaplugin + õige põhipoliitika” tavaliselt tõhusam kui “mitu”.
näiteks Wordfence Võib hõlmata selliseid baasfunktsioone nagu tulemüür, skaneerimine ja sisselogimise turvalisus; koos 2FA(Solid Security pakub selleks erinevaid võimalusi), võib juba märkimisväärselt suurendada rünnaku kulusid.

8. Kas Wordfence'i tasuta versioon töötab? Miks mõned inimesed räägivad Premiumi üleminekust?

Wordfence plugin lehekülgSelgus: Premium pakub reaalajas tulemüürireeglite ja pahatahtlike allkirjade uuendusi, samas kui tasuta versioon viivitab 30 päeva.
See, kas teil on vaja Premiumi, sõltub teie riski- ja taluvustasemest:

  • Madala riskiga saidid: tasuta versioon + õigeaegsed uuendused + 2FA, tavaliselt juba kasulik!
  • Suurem risk või suurem sõltuvus “ajakohastatud ohuanalüüsist”: vajadus mõista akent, mida “hilinenud uuendused” võivad tekitada.

9. Mida täpselt lahendab selline “virtuaalne plaaster” nagu Patchstack?

Idee seisneb selles, et reegleid kasutatakse teadaolevate haavatavuste ründepinna blokeerimiseks rakenduskihis enne, kui pluginate/teemade haavatavusi kasutatakse ära (või enne, kui parandused on täielikult levinud).Patchstacki ametlik veebisaitRõhuasetus virtuaalsete plaastrite kaitsele, mis on haavatavad pluginad/teemad, koos selgitustega hoiatuste ja automatiseeritud kaitse tasuta/maksuliste erinevuste kohta.
See ei asenda uuendusi, vaid on pigem viis, kuidas minimeerida “paranduste akna” riski.

10. Kas ma lukustan end välja, kui ma aktiveerin 2FA?

Soovitatav on ette valmistada:

  • Alternatiivne kood/tagasivõtumeetod (Soliidne turvalisus (mainiti ka selliseid programme nagu backup koodid).
  • Vähemalt ühe “hädaolukordade halduri” ja turvalise taastamise teabe säilitamine.
  • Võti: ärge pange taastamise teavet samasse kohta, kus rikkumine võib sellele ligi pääseda.

11. Kas WordPressi automaatne uuendamine peaks olema sisse lülitatud või mitte?

WordPressi dokumentatsioonSelgitage, et automaatne taustauuendusmehhanism on mõeldud turvalisuse parandamiseks ja on enamiku saitide puhul vaikimisi sisse lülitatud ning et saab konfigureerida erinevaid uuenduspõhimõtteid.
Soovitus:

  • Turvalisuse ja vähemtähtsate versioonide uuendused: kipuvad olema automatiseeritud (vähendavad teadaolevate haavatavuste paljastamiseks kuluvat aega).
  • Suuremad versioonid/kriitilised pluginavärskendused: kombineerige varukoopiate tagasipööramispunktid testprotsessiga enne edasiliikumist (vähemalt selleks, et oleks võimalik tagasipöörata).

12. Milline on esimene samm, kui kahtlustan, et veebisaiti on häkitud?

Õige järjekord (et vältida suurema segaduse tekkimist):

  1. Esmalt peatage verejooks.: Ajutine taustalogimise piiramine, kahtlaste funktsioonide peatamine ja vajaduse korral hoolduslehtede avamine.
  2. Tõendite säilitamine ja taaskasutamise punktid Esmalt: Teha kohe varukoopia hetkeseisundist (analüüsiks) ja valmistada samal ajal ette puhas tagasipöördumispunkt.
  3. Tagasipöördumine/puhastamine: Seadke prioriteediks taastamine teadaolevalt puhtale ajahetkele või kasutage professionaalset puhastusteenust (Sucuri jne, rõhutades pahatahtliku tegevuse puhastamist ja pidevat kaitset)
  4. lappida auk: uuendage tuumik/pluginid/teemad, lähtestage paroolid ja võtmed, lülitage sisse 2FA, eemaldage kahtlased kontod ja pluginad.

13. Ma teen turva- ja varundustöid, miks ma pean jälgima?

Sest “varajane avastamine” minimeerib kahjusid.
Seisakud, aegunud sertifikaadid, ebanormaalne liiklus, ebanormaalsed sisselogimised, ebanormaalsed tellimused - need kõik on “mida varem teada, seda parem” probleemid.