Շահագործման օպտիմալացումը վերաբերում է ամեն ինչ “արագացնելուն”, սակայն կայքի համար իսկապես կարևոր են երկու հիմնական գործոններ:

  • ԱնվտանգությունՓորձեք խուսափել ցանկացած միջադեպից (չհաքվեք, չվարակվեք վնասակար ծրագրերով, չդառնաք հավատարմագրերի գուշակման հարձակման զոհ, չթույլ տվեք API-ի սպամինգ, չթույլ տվեք միջամտություն)
  • Պահուստավորում: Նույնիսկ եթե ինչ-որ բան սխալ գնա, դուք կարող եք արագ վերականգնել (պատահական ջնջում, թարմացման ձախողում, սերվերի խափանումներ, ransomware հարձակման կամ տվյալների խախտման հետևանքով կատարված հետընթաց)

Հետևյալ երկու հարցերը լրացնում են միմյանց։

  • Եթե կենտրոնանաք միայն անվտանգության վրա և անտեսեք պահուստավորումները, անսպասելի խնդիրների դեպքում կարող եք մեկ գիշերվա մեջ կրկին հայտնվել ելակետային դիրքում։“
  • Եթե կենտրոնանաք միայն պահուստավորման վրա և անտեսեք անվտանգությունը, կհայտնվեք “մշտական հարձակումների և մշտական վերականգնման” շրջափուլում, որտեղ ժամանակն ու ծախսերը դուրս են գալիս վերահսկողությունից։

Այս ամենի ավարտին դուք պետք է կարողանաք՝

  • Ճշգրիտ հասկացեք, թե ինչ է ենթադրում “պահուստավորումն ու անվտանգությունը” (որպեսզի չգնեք սխալ ապրանքներ, չտեղադրեք դրանք սխալ կամ չհամարեք, որ դրանց տեղադրումը ինքնին երաշխավորում է ամբողջական պաշտպանություն)
  • Կարող է ընտրել համապատասխան լուծում՝ կախված կայքի տեսակից (բովանդակային կայք/կորպորատիվ կայք/էլեկտրոնային առևտրի կայք/անդամակցային կայք)
  • Կարելի է աստիճանաբար ներդնել՝ ըստ ճանապարհային քարտեզի (առաջին՝ վերականգնում, ապա վերահսկողություն, և վերջապես՝ համակարգում)
  • Դուք կարող եք դա ստուգել ինքնստուգման ցուցակով՝ պահուստավորումԱյն իսկապես կարելի է վերականգնել։, ԱնվտանգությունԻրոք, գոյություն ունի պաշտպանության գիծ։
  • Գիտեք, թե որտեղ սկսել խնդիրների լուծումը, երբ առաջանում են խնդիրներ (պահուստավորման ձախողումներ, վերականգնման ձախողումներ, կասկածվող հաքերային հարձակման դեպքեր և այլն)

1. Նպատակ: Ձեզ անհրաժեշտ է “վերականգնվող համակարգ”, ոչ միայն “պլագին տեղադրել”

Պահուստավորման նպատակը պարզապես այն չէ, թե ունեք պահուստային ֆայլեր, թե ոչ։“

Փոխարենը:Կարո՞ղ եք ցանկացած պահի վերականգնել կայքը ձեր ուզած վիճակին։

Ուստի հաջողված պահուստավորման հիմնական ցուցանիշները ոչ թե պարզապես “պահուստավորման պլագին ունենալն” են, այլ այս երկու կետերը:

  • Տվյալների կորուստի ընդունելի պատուհան (RPO)Վատագույն սցենարի դեպքում, որքան ժամանակ կհամաձայնեիք ընդունել տվյալների կորուստը?
    Օրինակ՝ բովանդակային կայքի համար 24 ժամվա հոդվածների կորուստը կարող է ընդունելի լինել; էլեկտրոնային առևտրի կայքի համար 30 րոպեի պատվերների կորուստը լուրջ խնդիր է։
  • Վերականգնման ժամանակի նպատակ (RTO)Ինչքան շուտ կցանկանայիք վերադառնալ առցանց միջադեպից հետո?
    Օրինակ՝ կորպորատիվ կայքերը կարող են պահանջել վերականգնում մեկ ժամվա ընթացքում; էլեկտրոնային առևտրի կայքերը կարող են պահանջել վերականգնում 10–30 րոպեի ընթացքում։

Ձեզ հարկավոր չէ այս չափանիշները գրել բանաձևերի տեսքով, սակայն պետք է դրանք օգտագործեք որոշում կայացնելու համար:Պահուստավորման հաճախականությունը, պահպանման ժամկետը, պահանջվում է արդյոք իրական ժամանակի կամ ավելացուցիչ (incremental) պահուստավորում, և պահանջվում է արդյոք մեկ սեղմումով վերականգնում կամ արտաքին վայրում վերականգնում։

2. Արագորեն սահմանեք ռազմավարություն՝ հիմնված կայքի տեսակի վրա (առաջին որոշեք ուղղությունը, ապա ընտրեք գործիքները)

Ռազմավարական առաջարկություններ:

A. Բովանդակային կայք / Բլոգ

  • Թարմացումների հաճախականություն՝ սովորաբար “օրական” կամ «շաբաթական»
  • Խորհուրդ տրվող պահուստավորման հաճախականությունը:ամեն օրՊահուստավորեք տվյալների բազան և wp-content (uploads/themes/plugins)
  • Վերականգնման նպատակն է՝ կարողանալ վերականգնել կամ երեկվա, կամ այսօրվա տարբերակին (կարևորն է չկորցնել որևէ հոդված կամ մեդիա ֆայլ):

B. Կորպորատիվ կայքեր / Մարքեթինգային կայքեր (ֆորմերի միջոցով պոտենցիալ հաճախորդների ներգրավումը կենսական նշանակություն ունի)

  • Փոփոխությունների հաճախականությունը պարտադիր չէ որ բարձր լինի, սակայն ձևերն ու առաջնորդող ցուցիչները վճռորոշ են։
  • Խորհուրդ տրվող պահուստավորման հաճախականություն՝ առնվազն շաբաթը մեկ անգամ։ամեն օր…և ապահովեք, որ ձևաթղթի տվյալները չպահպանվեն միայն մեկ տեղում՝ օրինակ՝ էլփոստերում կամ CRM-ում։“
  • Վերականգնման նպատակն է թարմացումներից, վերանորոգումներից կամ հետևման սցրիպտների ավելացումից առաջացած խնդիրների դեպքում հնարավորինս արագ վերադառնալ նախորդ վիճակին։

C. Առցանց առևտրի կայք (WooCommerce)

  • Փոփոխության հաճախականություն՝ պատվերները, պահեստի մակարդակները և օգտվողների վարքագիծը անընդհատ փոխվում են
  • Խորհուրդ տրվող պահուստավորման հաճախականություն՝ առաջնահերթությունավելի բարձր հաճախականություն(ժամային, կամ նույնիսկ իրական ժամանակում/մոտ իրական ժամանակում), տվյալների բազայի պաշտպանությունը առնվազն պետք է լինի ամուր
  • Վերականգնման նպատակներ՝ նվազագույնի հասցնել պատվերներից տվյալների կորուստը; ապահովել վճարման և պատվերի գործընթացների արագ վերականգնումը

Դ. Անդամների կայք / Դասընթացի կայք / Համայնք

  • Թարմացումների հաճախականություն՝ օգտվողի առաջընթաց, թույլտվություններ, բովանդակության բացում, փոխազդեցության տվյալներ
  • Խորհուրդ տրվող պահուստավորման հաճախականություն՝ տվյալների բազաները պետք է պահուստավորվեն ավելի հաճախ; վերականգման կետերը նույնպես պետք է թույլ տան ժամանակային կետում վերականգնումը։
  • Վերականգնման նպատակներ՝ օգտվողի տվյալները մնում են անփոփոխ, թույլտվությունները պահպանվում են, և բովանդակությունը չի փոփոխվում։

3. Պահուստային ճանապարհային քարտեզ (մենք խորհուրդ ենք տալիս առաջ շարժվել այս երեք փուլերով)

Հիմնական կետեր:Առաջին հերթին եկեք “վերականգնման” մասը աշխատեցնենք, հետո կարող ենք խոսել “ավտոմատացման և համակարգման” մասին։

Փուլ 1. Սկսեք իրականացնել “ավտոմատ պահուստավորումներ + արտաքին պահեստավորում”

Սա բացարձակ նվազագույն պահանջն է։ Անկախ նրանից, թե ինչ գործիքներ եք օգտագործում, դուք պետք է ապահովեք, որ՝

  • ԱվտոմատացումՄի հույս դնեք “կհիշեմ ձեռքով սեղմել” վրա։”
  • Դուրս գտնվող պահեստավորումՄի պահպանեք պահուստային պատճենները միայն մեկ սերվերի վրա։
    Պատճառը պարզ է. եթե սերվերը փլուզվի, կոշտ սկավառակը ձախողվի կամ ձեր հաշիվը հաքվի և տվյալների բազան ջնջվի, ձեր “տեղական պահուստային պատճենը” նույնպես կարող է կորչել։

Գործիքի տիպիկ կիրառումները ներառում են՝

  • Պահուստավորման պլագինը պահուստային պատճենները ուղարկում է ամպային պահեստավորման/օբյեկտային պահեստավորման/FTP (ԱփդրաֆթՊլյուս (Այն հստակ աջակցում է տարբեր նպատակակետերի, այդ թվում՝ Dropbox-ին, Google Drive-ին և Amazon S3-ին)
  • Համպարկային պահուստավորման ծառայությունը պահպանում է պահուստային պատճենները իր ամպում և առաջարկում է մեկ սեղմումով վերականգնում (Jetpack VaultPress պահուստավորում (Կենտրոնացած է ամպային պահուստավորման և մեկ սեղմումով վերականգնման վրա, սակայն պահանջում է վճարովի պլան, որը ներառում է պահուստավորում)

Փուլ 2. Պահուստային պատճենը բարելավել “վերականգնելի համակարգի”

Շատ կայքեր իսկապես խափանվում են ոչ թե այն պատճառով, որ դրանց պահուստային պատճեններ չեն արվել, այլ որովհետև:

  • Պահուստավորումը անավարտ է (պահուստավորվել է միայն տվյալների բազան; վերբեռումները, թեմաները և պլագինները չեն ներառվել)
  • Պահուստային ֆայլը կոռումպացված է/ունի սխալ թույլտվություններ
  • Միայն երբ մեզ անհրաժեշտ դարձավ վերականգնում կատարել, հասկացանք, որ “վերականգման գործընթացը պարզապես չի աշխատի”։”

Երկրորդ փուլի նպատակը հետևաբար հետևյալն է:Պարբերաբար անցկացրեք վերականգնման վարժանք։(Թեստային միջավայրում կամ ժամանակավոր թղթապանակում վերականգնվելու դեպքում անգամ) խնդրում ենք ստուգել հետևյալ կետերը:

  • Տվյալների բազան կարելի է վերականգնել
  • Մեդիա գրադարանը կարելի է վերականգնել (wp-content/uploads/
  • Թեմերն ու պլագինները կարելի է վերականգնել (wp-content/themes/wp-content/plugins/
  • Վերականգնվելուց հետո կայքը պետք է հասանելի լինի, ադմինիստրատորի վահանակը պետք է հասանելի լինի, և հիմնական ֆունկցիաները պետք է ճիշտ աշխատեն (էլեկտրոնային առևտրի կայքերի համար փորձարկեք պատվերի և վճարման գործընթացները; անդամակցության կայքերի համար փորձարկեք մուտքը և թույլտվությունները):

Սա է պատճառը, որ բազմաթիվ առևտրային պահուստավորման լուծումներ ընդգծում են “մեկ սեղմումով վերականգնումը”, “վերականգնումը մի քանի րոպեում” և “ավելացուցիչ պահուստավորումները բեռը նվազեցնելու համար”: Օրինակ, ԲլոգՎոլթ Պլագինի նկարագրությունը ընդգծում է ավտոմատ, աստիճանական պահուստավորումները (ներառյալ տվյալների բազաները, թեմաները, պլագինները և մեդիան) և առաջարկում է ստեյջինգի և միգրացիայի հնարավորություններ։ՄենեջՎիՓի Այն նաև ընդգծում է բեռի նվազեցման նպատակով աստիճանական պահուստավորման տեխնոլոգիայի կիրառումը և առաջարկում է մեկ սեղմումով վերականգնում։

Փուլ 3: Պահուստային պատճենը կապել “թարմացման/թողարկման գործընթացին” (վերադարձի կետ)

Այս փուլում ձեր նպատակը հետևյալն է՝Յուրաքանչյուր խոշոր փոփոխությունից առաջ կա վերադարձի կետ։

Տիպիկ սցենարները ներառում են՝

  • WordPress-ի միջուկային հիմնական տարբերակի թարմացում
  • Թեմայի փոփոխություն/Տemplատի ամբողջական վերափոխում
  • Տեղադրել կամ փոխարինել հիմնական պլագինները (էլեկտրոնային առևտրի վճարում, անդամակցության համակարգ, ձևաթղթերի համակարգ)
  • Նկարների խմբային փոխարինում / Մեծածավալ բովանդակության միգրացիա

Երրորդ փուլի նպատակը այն է, որ ձեզ հարկավոր չէ “հուսալ, որ փոփոխությունները կանցնեն հարթ”; փոխարենը, եթե դրանք սխալ գնան, դուք կարող եք արագ վերադառնալ փոփոխություններից առաջ եղած վիճակին։

4. Ի՞նչ պետք է ճշգրիտ պահուստավորեք? (Շատերը անտեսում են այս կարևոր կետերը)

Հիմնական 1: Տվյալների բազա (այստեղ պահվում են պատվերները, օգտվողները, բովանդակությունը և կարգավորումները)

  • Հոդվածներ, էջեր, մեկնաբանություններ
  • Օգտվողներ, թույլտվություններ
  • WooCommerce պատվերներ, պահեստ և կուպոններ
  • Պլագինի կազմաձև (բազմաթիվ կարգավորումներ պահվում են տվյալների բազայում)

Հիմնական 2: wp-content (այստեղ է գտնվում WordPress կայքի “տեսանելի ռեսուրսների” մեծ մասը)

  • uploads: Պատկերներ, կցորդներ, մեդիա գրադարան (այն վայրերը, որոնք մարդիկ ամենայն հավանականությամբ “մոռանում են պահուստավորել”)
  • themesԹեմայի ֆայլեր (անձնական կոդ/տemplates)
  • pluginsՊլագինների ֆայլեր (որոշ պլագիններ կարող են նաև ստեղծել հարմարեցված ֆայլեր)

Հնարավորության դեպքում՝ տեղեկություններ կազմաձևման և շահագործման միջավայրի մասին

Մի՛ անտեսեք շրջակա միջավայրի տարբերությունները:

  • PHP տարբերակների միջև տարբերությունները կարող են վերականգնման ավարտից հետո սխալների պատճառ դառնալ։
  • Կոնկրետ ընդլայնման կամ քեշի բաղադրիչների տարբերությունները կարող են հանգեցնել տարբեր վարքագծի։
  • Հակադարձ պրոքսի / CDN / Անվտանգության կանոնները կարող են ազդել մուտքի և բեքենդի ինտերֆեյսների վրա

Վերականգնումը ենթադրում է ոչ միայն ֆայլերը տեղադրել իրենց տեղում, այլև ապահովել, որ գործարկման միջավայրն ու կազմաձևը կարող են աջակցել դրանց աշխատանքին։

5. Պահուստային լուծում ընտրել

Տիպ A: Պլագինի միջոցով պլանավորված պահուստավորումներ (սկզբնական լուծում, որը հարմար է կայքերի մեծամասնության համար)

Առանձնահատկություններ: ցածր արժեք, կառավարելի և արագ ներդնելու հնարավորություն; սակայն դուք պետք է համոզվեք, որ ձեր “արտաքին պահեստավորման և վերականգնման վարժանքները” ամբողջությամբ կազմակերպված են։

Ներկայացուցիչ գործիքներ:

  • ԱփդրաֆթՊլյուսԿենտրոնացած է պլանավորված առաջադրանքների պահուստավորման և վերականգնման վրա և պլագինների էջում հստակ աջակցում է տարբեր պահուստային նպատակակետերի (Dropbox, OneDrive, Google Drive, Amazon S3, FTP, էլփոստ և այլն):
    Համապատասխանում է բովանդակային կենտրոնացված կայքերին և նորաստեղծ կորպորատիվ կայքերին, ինչպես նաև այն կայքերին, որոնք ցանկանում են պահուստային պատճենները պահել իրենց սեփական, վերահսկվող պահեստում։
  • WPvivid Պահուստավորում և ՄիգրացիաՊլագինների էջը ընդգծում է պահուստային պատճենները, միգրացիան և ստեյջինգը (դուք կարող եք ստեղծել ստեյջինգ թղթապանակ փոփոխությունների փորձարկման համար):
    Իդեալական է նրանց համար, ովքեր հաճախ են տեղափոխում կայքեր կամ պետք է ժամանակավոր փորձարկեն փոփոխությունները։
  • ԿրկնօրինակիչՊլագինի էջը ընդգծում է կայքերի պահուստավորումը, փաթեթավորումը, միգրացիան և կլոնավորումը նոր հյուրընկալչի կամ դոմենի վրա։
    Հարմար է՝ կայքերի միգրացիայի, կլոնավորման, թեստային կայքեր ստեղծելու և “պորտատիվ կայքերի փաթեթներ” ստեղծելու համար։

UpdraftPlus-ը ավելի շուտ սկզբնական հավաքածու է պահուստային համակարգերի համար։“

WPvivid/Duplicator-ը ավելի հզոր է “տեղափոխման/փաթեթավորման/կլոնավորման” գործում, սակայն այն կարելի է օգտագործել նաև պահուստավորման համար։

Տիպ B՝ ամպային պահուստավորում/մոտ իրական ժամանակի պահուստավորում (ավելի հարմար է այն կայանների համար, որտեղ տվյալների ծավալը և վերականգման ժամանակները կենսական նշանակություն ունեն)

Առանձնահատկություններ: ընդգծում է “յուրաքանչյուր փոփոխությունից/հաճախակի փոփոխություններից պաշտպանություն” և “մեկ սեղմումով վերականգնում”, ինչը այն ավելի շատ ծառայության է նմանեցնում։

Ներկայացուցիչ գործիքներ:

  • Jetpack VaultPress պահուստավորում (Jetpack Backup)Պլագինի էջը ընդգծում է ամպային պահուստավորումը և մեկ սեղմումով վերականգնումը, և հստակ նշում է, որ վճարովի Jetpack պլանը պետք է ներառի Backup-ը, որըՊաշտոնական բաժանորդագրության էջը նույնպես ընդգծում է“Պահպանեք յուրաքանչյուր փոփոխություն և մեկ սեղմումով արագ վերականգնեք աշխատունակ վիճակ։
    Հարմար է էլեկտրոնային առևտրի կայքերի, անդամակցության վրա հիմնված կայքերի և այն կայքերի համար, որտեղ վերականգնման արագությունը կենսական նշանակություն ունի, կամ նրանց համար, ովքեր ցանկանում են պահուստավորման գործողությունները հանձնել հեղինակավոր ծառայություններ մատուցողին։
  • ԲլոգՎոլթՊլագինի նկարագրությունը հստակ նշում է, որ այն առաջարկում է “ավտոմատ, անվտանգ, աստիճանական պահուստավորումներ (տվյալների բազա, թեմաներ, պլագիններ, մեդիա)” և ներառում է ներկառուցված ստեյջինգի և միգրացիայի հնարավորություններ։
    Հարմար է այն կայքերի համար, որոնք “պահուստավորում + թեստավորում + միգրացիա” գործընթացները դիտարկում են որպես մեկ աշխատանքային հոսք։
  • ՄենեջՎիՓի: Հատուկ ուշադրություն է դարձնում ավելացուցիչ պահուստավորման տեխնոլոգիային՝ սերվերի բեռը նվազեցնելու և մեկ սեղմումով վերականգնում ապահովելու համար։
    Իդեալական է նրանց համար, ովքեր կառավարում են մի քանի կայքեր (ստուդիաներ/թիմեր) և ցանկանում են մեկ վահանակից իրականացնել պահուստավորում, թարմացումներ և մոնիթորինգ։

Տիպ C՝ հյուրընկալողի կողմից ստեղծվող snapshot-ներ/ավտոմատ պատճենահանման պատճեններ (ուժեղորեն խորհուրդ է տրվում որպես “պաշտպանության երկրորդ գիծ”)

Հյուրընկալիչի պահուստային պատճենի արժեքը. այն հաճախ համակարգային մակարդակի պատկեր է, որը ընդգրկում է ավելի լայն շրջանակ (ներառյալ տվյալների բազաները և ֆայլերը, ինչպես նաև միջավայրի որոշ ասպեկտների վիճակը):

Հաճախակի սխալ պատկերացումներ:

  • Հյուրընկալչային պահուստավորում ≠ պորտատիվ պահուստավորում: Երբ փոխում եք հոստինգի մատակարարին կամ պետք է վերականգնեք ձեր պահուստային պատճենները, հոստինգի պահուստավորումը միշտ հարմար չէ
  • Պլագինների պահուստային պատճենները նույնպես պորտատիվ են։Պահուստային պատճենները պահվում են ձեր վերահսկողության տակ գտնվող վայրում, ինչը թույլ է տալիս տարբեր միջավայրերում ավելի ճկուն վերականգնում։

Ուստի, ամենակայուն համադրությունը սովորաբար հետևյալն է՝

Հյուրընկալչի վրա հիմնված պահուստավորում (հիմնական պաշտպանություն) + պլագին/ամպային պահուստավորում (կիրառական շերտի շարժունակություն + մանրակրկիտ վերականգնման կետեր)

6. Անվտանգության ճանապարհային քարտեզ (սկսելով ամենաարդյունավետ հիմնարար միջոցառումներից, այլ ոչ թե հենվելով բազմաթիվ պլագինների վրա)

Անվտանգության հարցում մի՛ շտապեք անմիջապես տեղադրել տասնյակ պլագիններ. ճիշտ մոտեցումն է պաշտպանությունը շերտ առ շերտ կառուցել:

Փուլ 1: Հաշիվներ և թույլտվություններ (առավելագույն վերադարձ, ամենաարագ արդյունքներ)

Այս փուլում ձեր առաջադրանքն է “ամենատարածված մուտքի կետերը դարձնել ավելի դժվար շահագործելու համար”:

  • Նվազագույնի հասցրեք ադմինիստրատորի հաշիվները՝ դրանք տրամադրեք միայն նրանց, ովքեր դրանց կարիքն ունեն։
  • Ուժեղ գաղտնաբառային քաղաքականություն՝ մի՛ կրկնեք գաղտնաբառերը և մի՛ օգտագործեք թույլ գաղտնաբառեր։
  • 2FA (երկաստիճան վավերացում)Սա “վկայականների լցոնման և գաղտնաբառերի արտահոսքի” դարաշրջանում ամենաարդյունավետ բարելավումներից մեկն է։
    Օրինակ Հուսալի անվտանգություն Պլագինի էջը հստակ աջակցում է 2FA տարբեր մեթոդների (Authy, Google Authenticator, էլփոստ, մեկանգամյա կոդեր և այլն):
  • Մուտքի պաշտպանություն՝ սահմանափակում է բռնի ուժի փորձերը և կանխում մուտքի սպամը
  • Անջատեք կամ ջնջեք չօգտագործվող հաշիվները; ջնջեք այլևս չօգտագործվող թեմաներն ու պլագինները (ոչ միայն անջատեք դրանք)

Փուլ 2: Թարմացումներ և խոցելիության մակերեսի կառավարում (Մի թողեք ռիսկերը հին տարբերակներում)

WordPress-ի խախտումների զգալի թիվը բխում է հնացած պլագիններից, թեմաներից կամ միջուկի տարբերակներից, որոնք ունեն հայտնի խոցելիություններ։

Հետևաբար, “թարմացումները” անվտանգության քաղաքականության հիմնական տարրերից մեկն են։
WordPress-ի փաստաթղթավորումը նշում է, որ WordPress 3.7-ում անվտանգությունն ուժեղացնելու նպատակով ներդրվել է ավտոմատ ֆոնային թարմացման մեխանիզմ, և բացատրում է, որ ավտոմատ թարմացումները նախապես միացված են մեծամասնություն կայքերում, և որից 5.6 Այս հատկությունը ավտոմատ կերպով ակտիվանում է, երբ սկսում եք նոր կայքՄեծ և փոքր տարբերակների թարմացումների և այլնի վերաբերյալ քաղաքականություններ

Ուղեցույցներ:

  • Ամենակարևոր բաղադրիչները, թեմաները և պլագինները պետք է ունենան հստակ թարմացման քաղաքականություն (ավտոմատ, կիսաավտոմատ կամ ձեռքով վերանայում)
  • Մեծ թարմացման նախօրեին համոզվեք, որ ունեք վերադարձման կետ (տես բաժին 3, “Պահուստավորման 3-րդ փուլ”)
  • Ավելին, այլևս չպահպանվող պլագինները պետք է հնարավորինս շուտ փոխարինվեն (սա հարձակման մակերեսը նվազեցնելու ամենաուղղակի միջոցն է)

Փուլ 3: Պաշտպանություն և հայտնաբերում (Հարձակումների հաջողության հասնելը դժվարացնելը և անոմալիաները ավելի վաղ հայտնաբերելու հնարավորություն ապահովելը)

Այս փուլում ձեր նպատակը ավելի համակարգված պաշտպանություն կառուցելն է։

  • Ֆայրվոլ/WAF (արգելափակում է որոշ սպամ երթևեկություն, մինչև հարցումները հասնեն WordPress)
  • Վնասակար ծրագրերի սկանավորում, ֆայլերի ամբողջականության վերահսկում
  • Անվտանգության լոգեր և ծանուցումներ՝ կասկածելի մուտքեր, թույլտվությունների փոփոխություններ և ֆայլերի փոփոխություններ
  • Հսկողություն՝ անջատումների հսկողություն, սերտիֆիկատի ժամկետի ավարտ, 5xx սխալներ, աննորմալ երթևեկության բարձրացումներ

Ներկայացուցիչ գործիքներ:

  • ՈւորդֆենսՊլագինների էջը հստակ ընդգրկում է firewall-ները, վնասակար ծրագրերի սկանավորումը և մուտքի անվտանգությունը, և նշում է, որ Premium տարբերակը firewall-ի կանոնների և վնասակար ծրագրերի ստորագրությունների թարմացումները ստանում է իրական ժամանակում, մինչդեռ անվճար տարբերակը ուշանում է 30 օրով։
    Խորհուրդ. Անվճար տարբերակը կարող է զգալիորեն բարելավել հիմնական անվտանգությունը, սակայն եթե ձեր կայքը գտնվում է ավելի բարձր ռիսկային գոտում կամ ավելի շատ է հենվում “վերջին սպառնալիքների հետախուզության” վրա, պետք է տեղյակ լինեք “թարմացման ուշացման” այս տարբերության մասին։
  • Պաչստեք(Վիրտուալ փաթչավորման/թերությունների պաշտպանության մոտեցում)Նրա պաշտոնական կայքը ընդգծում է, որ վիրտուալ փաթչինգը պաշտպանում է կայքերը խոցելի պլագինների և թեմաների ազդեցությունից։Պաչստեք; այն նաև ընդգծում է, որ անվճար տարբերակը առաջարկում է խոցելիության ծանուցումներ, մինչդեռ վճարովի տարբերակը ապահովում է ավտոմատ խոցելիության պաշտպանություն և այլն։
  • Սուկուրի(Մաքրման և ծառայակենտրոն ճարտարապետության անվտանգություն)Sucuri-ի ծառայության էջը ընդգծում է նրա վնասակար ծրագրերի հեռացման կարողությունները և շարունակական սկանավորման ու ապագա ներթափանցումների կանխարգելման ունակությունը։

7. Ռիսկերի բացահայտում

Պահուստավորման հետ կապված ընդհանուր թերությունները

  1. Պահուստային պատճենները պահվում են միայն սերվերի վրա։
    Երբ սերվերը անջատվում է, տեղական պահուստային պատճենները նույնպես հաճախ կորչում են։
  2. Մատչելի է միայն տվյալների բազան; wp-content թղթապանակը մատչելի չէ։
    Վերականգնելուց հետո կտեսնեք, որ գրառումները պահպանվել են, սակայն պատկերները բացակայում են; կամ թեման հարմարեցումները կորել են; կամ պլագինի ֆայլերում անհամապատասխանությունների պատճառով սխալներ են առաջացել։
  3. Երբեք մի իրականացրեք վերականգնման վարժանքներ
    Միայն վճռորոշ պահին եք հասկանում, որ վերականգնումը ձախողվել է, պահուստային պատճենը կոռումպացված է կամ կարևոր ֆայլերը բացակայում են։
  4. Պահուստավորման հաճախականությունը չի համապատասխանում բիզնեսի պահանջներին
    Եթե էլեկտրոնային առևտրի կամ անդամակցության կայքը պահուստավորվում է օրական միայն մեկ անգամ, վատագույն դեպքում կարող եք կորցնել մեկ օրվա պատվերների և օգտվողների վարքագծի տվյալները, որոնց արժեքը կարող է շատ ավելի գերազանցել հենց պահուստավորման ծախսը։

Անվտանգության տարածված թերությունները

  1. Ես տեղադրել եմ անվտանգության պլագին, բայց երկար ժամանակ է, ինչ այն չեմ թարմացրել։
    Անվտանգության թարմացումները արդարացում չեն թարմացում չկատարելու համար։ Հին խոցելիությունները դեռևս առկա են, և ռիսկերը չեն անհետանա։
  2. Չափազանց շատ ադմինիստրատորի հաշիվներ / կիսված հաշիվներ
    Թույլտվությունների նկատմամբ վերահսկողության բացակայություն, լոգերի հետքերի որոնման դժվարություն և աշխատակիցների հեռանալիս հանձնման-ընդունման ընթացակարգերի հետ կապված նշանակալի ռիսկեր։
  3. մտածելով, որ “երբ տեղադրեք WAF/CDN-ը, դուք ամբողջությամբ ապահով եք”
    WAF-ը կարող է արգելափակել բազմաթիվ տարածված հարձակումներ, սակայն չի կարող լուծել թույլ գաղտնաբառերի, հնացած խոցելիությունների կամ backdoor պլագինների խնդիրները։ Ամենահուսալի մոտեցումը բազմաշերտ պաշտպանության կիրառումն է։
  4. Մի քանի անվտանգության պլագիններ տեղադրելը կարող է հանգեցնել հակամարտությունների և դանդաղեցնել ձեր կայքը։
    Անվտանգության քաղաքականությունները պետք է առաջնահերթություն տան “ավելի քիչ, բայց կարևոր” մոտեցմանը՝ 2FA + քաղաքականությունների թարմացում + firewall-ներ/սկանավորում + ծանուցումներ, այլ ոչ թե “քանիք շատ բան տեղադրես, այնքան ավելի ապահով ես” գաղափարին։

8. Վավերացման ստուգաթերթիկ

Պահուստավորման ստուգում (եթե ձախողեք այս 8 կետերը, մի պնդեք, որ ունեք պահուստավորում)

  • Ակտիվացնել ավտոմատ պահուստավորումները (ոչ ձեռքով)
  • Պահուստավորումը ներառու՞մ է տվյալների բազան և wp-content թղթապանակը (uploads/themes/plugins):
  • Պահուստային պատճենները պահվում են արդյոք արտաքին վայրում (ամպային պահեստում, օբյեկտային պահեստում կամ առանձնացված սերվերում)?
  • Կա՞ հստակ պահպանման քաղաքականություն (օրինակ՝ 7/30/90 օր):
  • Վերջին պահուստավորումը հաջող եղա՞վ (ոչ միայն այն, որ գրաֆիկը գոյություն ունի)։
  • Վերջին փրկարարական վարժանքը երբ էր? Այն հաջողակ էր՞
  • Արդյո՞ք հիմնական թարմացումից առաջ կստեղծվի լրացուցիչ վերականգնման կետ։
  • Վերականգնվելուց հետո արդյո՞ք հասանելի կլինի կարևորագույն ճանապարհը (մուտք, ձևաթղթեր, էլեկտրոնային առևտրի պատվերներ/անդամների թույլտվություններ և այլն):

Անվտանգության ստուգում (սկսեք ամուր հիմք կառուցելով)

  • Ադմինիստրատորների հաշիվների քանակը նվազագույնի՞ է հասցված։ Արդյո՞ք գոյություն ունի մեխանիզմ նախկին աշխատակիցների հաշիվները մաքրելու համար։
  • Ակտիվացնել երկաստիճան մուտքային վավերացում(առնվազն բարձր մակարդակի դերեր, ինչպիսիք են ադմինիստրատորը, խմբագիրը կամ խանութի մենեջերը)
  • Կա՞ հստակԹարմացնել քաղաքականությունը(միջուկ/թեմա/պլագին)
  • Պետք է՞ ջնջեմ չօգտագործվող պլագիններն ու թեմաները (ոչ միայն անջատելու փոխարեն)։
  • Կա՞ ֆայրվոլ/մուտքի պաշտպանություն/վնասակար ծրագրերի սկանավորում (Ուորդֆենս (օրինակ՝ կարող է ծածկել դրա մի մասը)
  • Կան արդյոք մոտեցումներ խոցելիության ազդանշանների կամ վիրտուալ փաթչավորման համար՞ (Պաչստեք և այլն
  • Կան արդյոք որևէ զգուշացումներ (կասկածելի մուտքեր, ֆայլերի փոփոխություններ, համակարգի անջատման ժամանակ, վկայականի ժամկետի ավարտ)?
  • Կա՞ “արտակարգ պլան”։ Եթե համակարգը հաքվի կամ խախտվի, ո՞րն է առաջին քայլը։

Հաճախակի տրվող հարցեր

1. Հյուրընկալողի տրամադրած պահուստավորումը բավարար է՞

Ընդհանուր առմամբ խորհուրդ չի տրվում հենվել մեկ աղբյուրի վրա։
Հյուրընկալչային պահուստավորումները ամուր են, սակայն դրանք պարտադիր չէ, որ նախագծված լինեն հեշտությամբ “հեռացնելու, միգրացնելու կամ ճշգրիտ հետ վերադարձնելու” համար։ Ավելի հուսալի տարբերակն է՝Հյուրընկալիչի վրա հիմնված պահուստային պատճենները ապահովում են հիմնական անվտանգության ցանց, մինչդեռ պլագիններն ու ամպային պահուստավորումները առաջարկում են տեղափոխելի և վերահսկելի վերականգնման կետեր։

2. Ինչքան հաճախ պետք է պահուստավորեմ իմ տվյալները?

Տվյալների փոփոխության արագության հիման վրա։

  • Բովանդակային կայք՝ սովորաբար օրական մեկ անգամ բավական է։
  • Կորպորատիվ կայք՝ ամեն օր (հատկապես երբ կան ֆորմային լիդեր) և ապահովել, որ լիդերը չսահմանափակվեն միայն կայքով։
  • Էլեկտրոնային առևտուր/անդամակցություն: Մենք խորհուրդ ենք տալիս ավելի բարձր հաճախականություն (ժամային կամ նույնիսկ գրեթե իրական ժամանակում), քանի որ պատվերների և օգտվողների տվյալները ավելի մեծ արժեք ունեն։

3. Պահուստային պատճենները որքան ժամանակ պետք է պահվեն?

Բովանդակությանը և համապատասխանության պահանջներին կախված՝ կարող եք կիրառել հետևյալ մոտեցումը:

  • Պլանավորեք առնվազն 7–30 օր կանոնավոր վերադարձների համար։
  • Եթե ձեզ անհանգստացնում են “թաքնված հետևողական մուտքերը կամ աստիճանական խեղաթյուրումները”, արժե տվյալները պահպանել ավելի երկար ժամանակ (օրինակ՝ 90 օր), որպեսզի կարողանաք վերադառնալ ավելի վաղ, մաքուր տարբերակին։

4. UpdraftPlus-ը, WPvivid-ը և Duplicator-ը արդյո՞ք նույնն են։

Նրանք բոլորը կարող են պահուստավորվել, սակայն ունեն տարբեր կենտրոնացումներ:

  • ԱփդրաֆթՊլյուս Ավելի սովորական մոտեցումն է՝ պլանավորված առաջադրանքի պահուստավորում + բազմաուղղված պահեստավորում + վերականգնում“
  • WPvivid Ուշադրություն կենտրոնացված է պահուստավորման, միգրացիայի և նախապատրաստական փորձարկման հնարավորությունների վրա
  • Կրկնօրինակիչ Հատկապես ուժեղ է կայքերի փաթեթավորման/տեղափոխման/կլոնավորման մեջ“

Եթե ընտրեք ըստ “տեսակի”, անունների պատճառով չեք շփոթվի։

5. Ինչու՞ է Jetpack Backup վճարովի ծառայություն։ Երբ է այն հարմար։

Քանի որ այն էապես ավելի շատ նման է “ամպային պահուստավորման ծառայությանը”՝ շեշտը դրելով ամպային պահեստավորման և մեկ սեղմումով վերականգնման վրա, պլագինի էջը պետք է հստակ ներառի Backup-ի վճարովի պլաններըՊաշտոնական բաժանորդագրության էջը ընդգծում է յուրաքանչյուր փոփոխությունը պահպանելու և մեկ սեղմումով դրանք արագ վերականգնելու հնարավորությունը։
Հարմար է նրանց համար, ովքեր առանձնապես մտահոգված են վերականգնման ժամանակներով և ցանկանում են պահուստավորման գործողությունները վստահել փորձված ծառայող մատակարարին։

6. Ի՞նչ իմաստ ունեն BlogVault-ի և ManageWP-ի նման “incremental backups”-ները?

Աճային պահուստավորումների հիմքը հետևյալն է՝Պահուստավորեք միայն փոփոխությունները, սերվերի բեռը նվազեցնելով՝ միաժամանակ թույլ տալով վերականգնման կետեր ավելի հաճախակի ստեղծել։

  • BlogVault հավելվածՆկարագրությունը ընդգծում է ավտոմատ, աստիճանական պահուստավորումները, որոնք գերակատարում են տվյալների բազաները, թեմաները, պլագինները և մեդիան, և ներառում է ներկառուցված ստեյջինգի և միգրացիայի հնարավորություններ։
  • ՄենեջՎիՓի Այն նաև ընդգծում է, թե ինչպես է ավելացական պահուստավորման տեխնոլոգիան նվազեցնում աշխատանքային բեռը և առաջարկում մեկ սեղմումով վերականգնում։

Հարմար է՝ մեծ կայքերի, բազմաթիվ մեդիա հարթակների, հաճախակի թարմացումների կամ եթե դուք կառավարում եք մի քանի կայքեր։

7. Մի՞թե մեկ անվտանգության պլագինը բավական է։

Շատ կայքերի համար “մեկ հիմնական անվտանգության պլագին և հիմնական կարգավորումների ճիշտ կատարում” սովորաբար ավելի արդյունավետ է, քան “բազմաթիվ պլագիններ տեղադրելը”:
Օրինակ Ուորդֆենս Այն ընդգրկում է հիմնական հնարավորությունները, ինչպիսիք են firewall պաշտպանությունը, սկանավորումը և մուտքի անվտանգությունը; համակցված երկաստիճան մուտքային վավերացում(Solid Security-ը առաջարկում է տարբեր մեթոդներ), ինչը բավական է հարձակման ծախսը զգալիորեն բարձրացնելու համար։

8. Արդյո՞ք Wordfence-ի անվճար տարբերակը լավ է։ Ինչո՞ւ որոշ մարդիկ ասում են, որ պետք է թարմացնել Premium տարբերակին։

Wordfence պլագինի էջըՆշեք, որ Պրեմիում տարբերակը ապահովում է firewall կանոնների և վնասակար ծրագրերի ստորագրությունների թարմացումները իրական ժամանակում, մինչդեռ անվճար տարբերակը ունի 30-օրյա ուշացում։
Ձեզ Պրեմիումի անհրաժեշտ լինելը կախված է ձեր ռիսկային պրոֆիլից և հանդուրժողականությունից:

  • Ցածր ռիսկային կայքեր՝ անվճար տարբերակը + ժամանակին թարմացումները + 2FA—սա սովորաբար բավական օգտակար է
  • Բարձր ռիսկ կամ “վերջին սպառնալիքային հետախուզության” վրա մեծ կախվածություն. անհրաժեշտ է հասկանալ, թե “թարմացման ուշացումները” ինչ հնարավորությունների պատուհան կարող են ստեղծել

9. Patchstack-ի նման “վիրտուալ патչը” կոնկրետ ինչ խնդիր է լուծում?

Մեթոդը կայանում է կանոնների կիրառման մեջ՝ հավելվածային շերտում կանխարգելելու հայտնի խոցելիությունները մինչև պլագինների կամ թեմաների խոցելիությունները շահագործվեն (կամ մինչև թարմացումները լայնորեն տարածվեն):Patchstack կայքԱյն ընդգծում է, որ վիրտուալ փաթչինգը պաշտպանում է խոցելի պլագիններն ու թեմաները և բացատրում է անվճար և վճարովի տարբերակների միջև տարբերությունները վաղ նախազգուշացումների և ավտոմատ պաշտպանության առումով։
Սա թարմացումների փոխարինիչ չէ, այլ “patch gap”-ի հետ կապված ռիսկերը նվազեցնելու միջոց։

10. 2FA-ն միացնելը կարգելի՞ ինձ մուտք գործել իմ հաշիվ։

Խորհուրդ ենք տալիս նախապես պատրաստվել։

  • Պահուստային կոդ/Վերականգնման մեթոդ (Հուսալի անվտանգություն (Այն նաև հիշատակում է backup կոդերի նման սխեմաներ)
  • Համոզվեք, որ առնվազն մեկ “արտակարգ ադմինիստրատոր” նշանակված է և վերականգնման տեղեկատվությունը պահվում է անվտանգ։
  • Գլխավոր կետը հետևյալն է՝ վերականգման տեղեկատվությունը մի պահպանեք այնպիսի վայրում, որը հնարավոր կլինի մուտք գործել, եթե համակարգը խախտվի։

11. Արդյո՞ք պետք է միացված լինեն WordPress-ի ավտոմատ թարմացումները, թե ոչ?

WordPress փաստաթղթավորումԽնդրում ենք նկատի ունենալ, որ ավտոմատ ֆոնային թարմացման մեխանիզմը նախատեսված է անվտանգությունն ուժեղացնելու համար; այն նախապես միացված է կայքերի մեծ մասում, և կարելի է կարգավորել թարմացման տարբեր քաղաքականություններ։
Խորհուրդներ:

  • Անվտանգության և փոքր թարմացումներ. Առաջնահերթություն տալ ավտոմատ թարմացումներին (որպեսզի խոցելիությունները հնարավորինս քիչ ժամանակ մնան բացահայտված)
  • Մեծ թարմացումներ/կրիտիկական պլագինների թարմացումներ: Շարունակեք իրականացումը՝ միաժամանակ ներառելով պահուստային վերադարձի կետեր և թեստավորման ընթացակարգեր (առնվազն վերադարձի հնարավորություն ապահովելով)

12. Եթե կասկածում եմ, որ իմ կայքը հաքերվել է, ինչ պետք է անեմ առաջին հերթին?

Ճիշտ հերթականությունը (որպեսզի իրավիճակը չվատթարանա):

  1. Նախ կանգնեցրեք արյունահոսությունը։Ժամանակավորապես սահմանափակել բեքենդի մուտքը, կասեցնել կասկածելի ֆունկցիաները և, անհրաժեշտության դեպքում, ցուցադրել սպասարկման էջ։
  2. Ապացույցների պահպանություն և վերականգման կետերԱնմիջապես պահեք ընթացիկ վիճակի կրկնօրինակը (վերլուծության համար) և պատրաստեք մաքուր վերադարձի կետ։
  3. Վերադարձ/ՄաքրումՎերականգնել հայտնի մաքուր ժամանակային կետին կամ օգտվել պրոֆեսիոնալ տվյալների վերականգնման ծառայությունից (Սուկուրի (օրինակ՝ չարամիտ հեռացման և շարունակական պաշտպանության ընդգծում)
  4. Տուփը փակելԹարմացնել միջուկը, պլագինները և թեմաները; վերականգնել գաղտնաբառերն ու բանալիները; միացնել երկաստիճան վավերացումը; ջնջել կասկածելի հաշիվները և պլագինները

13. Ես հոգացել եմ անվտանգության և պահուստավորման մասին, ուրեմն ինչու՞ ինձ նաև մոնիթորինգ է անհրաժեշտ։

Քանի որ “առաջնական հայտնաբերումը” կարող է նվազագույնի հասցնել վնասը։
Համակարգի անջատում, վկայականի ժամկետի ավարտ, անսովոր տրաֆիկ, կասկածելի մուտքեր, պատվերների անոմալիաներ՝ այս բոլոր դեպքերում որքան շուտ իմանաք, այնքան լավ։