"WordPress" atsarginė kopija ir saugumas

Optimizuojant našumą atsižvelgiama į greitesnį veikimą, tačiau iš tikrųjų svarbiausi interneto svetainėms yra du dalykai:

• laidavimas: Stenkitės nepatekti į bėdą (neįsilaužkite į kompiuterį, nelaužkite jo, nesugadinkite jo, nesuklastokite sąsajų, nesikėsinkite į jį).
• atsarginį kopijavimą: greitas atkūrimas, net jei kas nors nepavyko (atsitiktinis ištrynimas, atnaujinimo perkėlimas, serverio gedimas, atkūrimas po išpirkos ar įsilaužimo).

Šie du dalykai papildo vienas kitą:

• Jei vykdote tik saugumo, bet ne atsarginių kopijų kūrimą, per naktį vis tiek galite pereiti prie nulinės versijos, jei susidursite su nekontroliuojamomis problemomis.“
• Jei atliksite tik atsargines kopijas, bet ne saugos priemones, įsitrauksite į ciklą “kiekvieną dieną nukentėti ir kiekvieną dieną atkurti”, o laikas ir išlaidos bus nekontroliuojamos!

Perskaitę šią knygą turėtumėte tai padaryti:

• Tiksliai žinoti, ką tiksliai apima “atsarginė kopija ir saugumas” (kad nepirktumėte netinkamos sistemos, neįdiegtumėte netinkamos ir nemanytumėte, kad ji yra patikima)
• Galimybė pasirinkti tinkamą sprendimą pagal svetainės tipą (turinio svetainė / verslo svetainė / elektroninė prekyba / narystės svetainė)
• Galimybė palaipsniui pradėti veikti pagal veiksmų planą (atsparus, tada kontroliuojamas, tada sistemingas)
• Galima patikrinti naudojant savikontrolės kontrolinį sąrašą: atsarginė kopijaJį tikrai galima atkurti.ApsaugaGynyba tikrai yra.
• Žinoti, kur pirmiausia ieškoti iškilus problemoms (atsarginės kopijos nesėkmė, atkūrimo nesėkmė, įtariamas įsilaužimas ir t. t.)

1. Tikslas: jums reikia “atkuriamos sistemos”, o ne “papildinio”.”

Atsarginės kopijos nėra susijusios su “atsarginės kopijos failo turėjimu”.”

Vietoj to:Ar galite grąžinti svetainę į norimą būseną, kai jums to reikia。

Taigi pagrindinis atsarginės kopijos rodiklis yra ne “įdiegtas atsarginės kopijos įskiepis”, o šie du dalykai:

• Priimtinas duomenų praradimo langas (RPO): Kiek laiko galite susitaikyti su duomenų praradimu blogiausiu atveju?
  Pavyzdys: jei turinio svetainė praranda 24 valandas straipsnių, tai gali būti priimtina, o jei e. prekybos svetainė praranda 30 minučių užsakymų, tai jau rimta.
• Priimtinas atkūrimo laikas (RTO): Kaip greitai po avarijos tikitės grįžti prie interneto?
  Pavyzdys: įmonės svetainė gali norėti atsistatyti per 1 valandą, o e. parduotuvės svetainė - per 10-30 minučių.

Šių rodiklių nebūtina įrašyti į formulę, bet naudokite juos sprendimui priimti:Atsarginių kopijų darymo dažnumas, saugojimo laikas, realaus laiko / papildomų atsarginių kopijų poreikis, poreikis atkurti vienu spustelėjimu / atkurti ne vietoje。

2. Skubus strategijos kūrimas pagal vietovės tipą (orientavimasis, po to įrankių parinkimas)

Strategijos patarimai:

A. Turinio svetainės ir (arba) tinklaraščiai

• Keitimo dažnumas: paprastai “kasdien / kas savaitę”.”
• Rekomenduojamas atsarginių kopijų darymo dažnumas:kasdienisAtsarginė duomenų bazės kopija + wp-turinys (įkėlimai/temos/įskiepiai)
• Atkūrimo tikslas: pakanka vakarykštės/šiandienės versijos (daugiausia dėmesio skiriant straipsnių ir medijos bibliotekos nepraradimui).

B. Verslo svetainė / rinkodaros svetainė (svarbios formos nuorodos)

• Pokyčių dažnumas: nebūtinai didelis, tačiau formos ir (arba) nuorodos yra labai svarbios.
• Rekomenduojamas atsarginių kopijų darymo dažnumas: duomenų bazė ne rečiau kaipkasdienisFormos duomenys ir el. paštas / CRM nebus “vienoje vietoje”.”
• Atkūrimo tikslas: greitas grįžimas atgal, jei kyla problemų su atnaujinimo, peržiūros ir pridėjimo sekimo scenarijais.

C. Elektroninės prekybos svetainė (WooCommerce)

• Pokyčių dažnumas: užsakymai / inventorius / naudotojų elgesys nuolat
• Rekomenduojamas atsarginių kopijų darymo dažnumas: pageidautinasaukštesnis dažnis(kas valandą ar net realiuoju laiku arba beveik realiuoju laiku), bent jau užtikrinkite stiprią duomenų bazės apsaugą.
• Atkūrimo tikslas: minimalus užsakymo duomenų praradimas; galimybė greitai atkurti mokėjimo ir užsakymo sąsajas.

D. Narystės svetainė / kursų svetainė / bendruomenė

• Keitimo dažnumas: naudotojo pažanga, leidimai, turinio atrakinimas, sąveikos duomenys.
• Rekomenduojamas atsarginių kopijų darymo dažnumas: duomenų bazėms - dažniau; su “point-in-time” atkūrimo taškais.
• Atkūrimo tikslas: naudotojo duomenys nesugadinami, leidimai neprarandami ir turinys nepažeidžiamas.

3. Atsarginių kopijų kūrimo planas (rekomenduojama judėti į priekį šiais 3 etapais)

Svarbiausi įvykiai:Pirmiausia padarykime “pajėgų atkūrimą”, o tada kalbėkime apie “automatizavimą ir sisteminimą”.

1 etapas: pradėkite nuo “Automatinės atsarginės kopijos + saugykla kitoje vietoje”

Tai svarbiausia. Nesvarbu, kokią priemonę naudojate, ji turi būti įvykdyta:

• automatinis:: Nepasikliaukite “nepamiršiu spustelėti rankiniu būdu”.”
• saugojimas ne vietoje: Atsarginių kopijų nedėkite tik į tą patį serverį
  Priežastis labai paprasta: serveris pakimba, diskas sugadinamas, įsilaužiama į paskyrą, kad būtų galima ištrinti biblioteką, ir jūsų “vietinė atsarginė kopija” gali dingti kartu.

Įrankis paprastai įgyvendinamas:

• Atsarginės kopijos įskiepis stumia atsargines kopijas į debesų diską / objektų saugyklą / FTP ("UpdraftPlus" (Pavyzdžiui, "Dropbox", "Google Drive", "Amazon S3" ir daugelis kitų tikslų yra aiškiai palaikomi).
• Atsarginių kopijų darymo debesyje paslauga deda atsargines kopijas į savo debesį ir siūlo atkūrimo vienu spustelėjimu galimybę ("Jetpack VaultPress" atsarginė kopija (Daugiausia atsarginės kopijos debesyje ir atkūrimo vienu spustelėjimu, tačiau reikia įtraukti mokamą atsarginės kopijos planą)

---

2 etapas: atsarginių kopijų atnaujinimas į “atkuriamas sistemas”

Daug svetainių iš tiesų apsiverčia ne dėl atsarginių kopijų trūkumo, o dėl:

• Nepilna atsarginė kopija (tik duomenų bazės, o ne įkėlimų / temų / įskiepių)
• Sugadintas atsarginės kopijos failas / neteisingi leidimai
• Kai jums reikia atsigauti, suprantate, kad “atsigavimo procesas tiesiog neveikia”.”

Todėl 2 etapo tikslai yra šie:Atlikite reguliarų atsigavimo pratimą(net ir bandomojoje aplinkoje / laikinojo katalogo atkūrime), patvirtinkite šiuos dalykus:

• Duomenų bazę galima atkurti.
• Medijos biblioteką galima atkurti (wp-content/uploads/）
• Temas ir (arba) papildinius galima atkurti (wp-content/themes/、wp-content/plugins/）
• Atkūrus svetainę, prie jos galima prisijungti įprastai, prie vidinės svetainės galima prisijungti įprastai, o pagrindinės funkcijos gali būti paleistos (elektroninė prekyba, kad būtų išbandytas užsakymo / mokėjimo procesas, ir narystės svetainė, kad būtų išbandytas prisijungimas / leidimai).

Štai kodėl daugelyje komercinių atsarginių kopijų kūrimo sprendimų pabrėžiamas “atkūrimas vienu spustelėjimu”, “atkūrimas minutė po minutės” ir “laipsniškas atsarginių kopijų kūrimas siekiant sumažinti apkrovą”. Pvz. BlogVault Įskiepio aprašyme pabrėžiama, kad yra numatytos **automatinės, inkrementinės atsarginės kopijos (įskaitant duomenų bazes, temas, įskiepius, medijas)** ir etapavimo/migravimo funkcijos.ManageWP Taip pat akcentuojamas apkrovos mažinimas naudojant inkrementinio atsarginių kopijų darymo metodus ir atstatymo vienu spustelėjimu užtikrinimas.

---

3 etapas: susiekite atsargines kopijas su atnaujinimo / išleidimo procesu (atšaukimo taškas)

Šiame etape jūsų tikslas yra:Atšaukimo taškas prieš kiekvieną svarbų pakeitimą。

Įprasti scenarijai:

• WordPress pagrindinės versijos atnaujinimas
• Temos keitimas / šablono atnaujinimas
• Pagrindinių papildinių (e. prekybos mokėjimų, narystės sistemų, formų sistemų) diegimas arba keitimas.
• Partijos vaizdų keitimas / masinis turinio perkėlimas

3 etapo esmė yra ta, kad nereikia “melstis, kad pokytis būtų geras”, o reikia, kad galėtumėte greitai grįžti į “momentą prieš pokytį”, jei pokytis nepavyktų.

4. Atsarginė kopija, ką tiksliai kurti atsarginę kopiją (daugelis žmonių, darančių atsargines kopijas, praleido šiuos pagrindinius punktus)

1 esminis elementas: duomenų bazė (į kurią patenka užsakymai, naudotojai, turinys ir nuostatos)

• Straipsniai, puslapiai, komentarai
• Naudotojai, leidimai
• "WooCommerce" užsakymai, inventorius, kuponai
• Įskiepių konfigūracijos (duomenų bazėje saugoma daug konfigūracijų)

2 esminis elementas: wp-content (tai didžioji dalis “WordPress” svetainės "matomo turto")

• uploads: nuotraukos, priedai, medijos biblioteka (vieta, kurios atsarginę kopiją lengviausia “pamiršti”).
• themes: Temos failai (pasirinktinis kodas / šablonai)
• plugins: įskiepių failai (kai kurie įskiepiai taip pat rašo pasirinktinius failus)

Atitinkamai: konfigūracijos ir darbo aplinkos informacija.

Neignoruokite aplinkos skirtumų:

• PHP versijų skirtumai gali lemti, kad po atkūrimo bus pranešta apie klaidas
• Dėl specifinių plėtinių ir talpyklos komponentų skirtumų gali skirtis elgesys
• Atvirkštinio tarpinio serverio/CDN/saugumo taisyklės gali turėti įtakos prisijungimui ir vidinei sąsajai

Atkūrimas - tai ne tik failo atkūrimas, bet ir užtikrinimas, kad operacinė aplinka ir konfigūracija galėtų palaikyti jo veikimą.

5. Atsarginės programos pasirinkimas

A tipas: įskiepių laikinės atsarginės kopijos (tinkamas pradinis sprendimas daugumai svetainių)

Savybės: mažos sąnaudos, kontroliuojamas, greitas diegimas; tačiau turite atlikti tvirtą “saugojimą ne vietoje + atkūrimo pratybas”.

Atstovavimo priemonės:

• "UpdraftPlus": Pagrindinis dėmesys skiriamas suplanuotai užduočių atsarginei kopijai ir atkūrimui, o įskiepio puslapyje aiškiai palaikomos kelios atsarginės kopijos (Dropbox, "Google Drive", "Amazon S3", FTP, el. paštas ir t. t.).
  Idealiai tinka: turinio svetainėms ir (arba) verslo svetainėms, pradedančioms veiklą, ir svetainėms, kurios nori kurti atsargines kopijas savo kontroliuojamoje saugykloje.
• WPvivid Atsarginė kopija ir migracija: Įskiepio puslapyje išskiriamos atsarginės kopijos, perkėlimas ir stadija (norint išbandyti pakeitimus, stadija gali būti sukurta pakatalogyje).
  Idealiai tinka: žmonėms, kurie dažnai migruoja svetaines ir dažnai turi išbandyti pakeitimus ad hoc pagrindu.
• Kopijavimo įrenginys: Įskiepio puslapyje akcentuojamos atsarginės kopijos / pakuotės / migravimas / svetainių klonavimas į naujus kompiuterius arba naujus domenus.
  Idealiai tinka: migruoti, kopijuoti svetaines, kurti bandomąsias svetaines, kurti perkeliamus paketus.

“UpdraftPlus” yra daugiau "atsarginės sistemos užkandinė".”

WPvivid / Duplicator yra geresnis “migracijos / pakavimo / kopijavimo”, bet taip pat gali daryti atsargines kopijas.

---

B tipas: atsarginės kopijos debesyje / beveik realaus laiko atsarginės kopijos (labiau tinka svetainėms, kurios yra jautresnės duomenims ir atkūrimo laikui)

Funkcijos: akcentuojama “apsauga nuo vieno pakeitimo / dažno pakeitimo” ir “atkūrimo vienu spustelėjimu”, labiau panaši į paslaugų rinkinį.

Atstovavimo priemonės:

• "Jetpack VaultPress" atsarginė kopija (Jetpack Backup): Įskiepio puslapyje pabrėžiama debesies atsarginė kopija ir atkūrimo vienu spustelėjimu, ir aiškiai reikalaujama mokamo "Jetpack" plano, į kurį įeina atsarginė kopija, kuriosOficialiame prenumeratos puslapyje taip pat pabrėžiama, kad“Išsaugokite kiekvieną pakeitimą, greitai grįžkite į naudojamą būseną vienu spustelėjimu”.
  Idealiai tinka: e. parduotuvėms, narystės svetainėms ir svetainėms, kurioms svarbi atkūrimo sparta, arba tiems, kurie nori atsarginių kopijų kūrimo operacijas perduoti brandžiai paslaugai.
• BlogVault: Įskiepio aprašyme aiškiai nurodyta, kad “automatinės, saugios, inkrementinės atsarginės kopijos (duomenų bazės, temos, įskiepiai, laikmenos)” su integruotomis etapų ir migracijos galimybėmis.
  Idealiai tinka: svetainėms, kuriose “atsarginė kopija + testavimas + migravimas” yra visa darbo eiga.
• ManageWP: Daugiausia dėmesio skiriama inkrementinių atsarginių kopijų kūrimo metodams, kad būtų sumažinta serverio apkrova ir būtų galima atkurti vienu spustelėjimu.
  Idealiai tinka: žmonėms (studijoms / komandoms), kurie valdo kelias svetaines ir nori daryti atsargines kopijas / atnaujinti / stebėti viename skydelyje.

---

C tipas: kompiuterio pusės momentinė ir (arba) automatinė atsarginė kopija (labai rekomenduojama kaip “antroji draudimo linija”)

Kompiuterio atsarginės kopijos vertė: tai paprastai būna “sistemos lygio momentinė kopija” su platesne aprėptimi (įskaitant duomenų bazių ir failų būseną ir net tam tikro lygio aplinką).

Dažniausiai pasitaikantys klaidingi įsitikinimai:

• Prieglobos kompiuterio atsarginė kopija ≠ Migruojanti atsarginė kopija: Hostingo atsarginės kopijos gali būti nepatogios, kai keičiate hostingą arba kai reikia išsivežti atsargines kopijas.
• Įskiepių atsarginės kopijos yra labiau migruojančiosAtsarginės kopijos patenka į saugyklą, kurią galite kontroliuoti, todėl atsistatymas įvairiose aplinkose yra lankstesnis.

Todėl stabiliausias derinys paprastai yra:

Prieglobos atsarginės kopijos (po gaubtu) + įskiepiai / debesų atsarginės kopijos (migruojamas taikomųjų programų sluoksnis + granuliuoti atkūrimo taškai)

6. Saugumo veiksmų planas (pradėkite nuo efektyviausių pagrindų, o ne nuo daugybės papildinių)

Saugumas - tai ne “dešimties papildinių įdiegimas”, o apsaugos priemonių kūrimas sluoksnis po sluoksnio:

1 etapas: paskyros ir privilegijos (didžiausia ir tiesioginė nauda)

Šiame etape norite “apsunkinti dažniausiai pasitaikančius įėjimo taškus”:

• Administratoriaus paskyros mažinimas: tik tiems, kuriems to reikia
• Griežta slaptažodžių politika: nenaudokite pakartotinai, nenaudokite silpnų slaptažodžių
• 2FA (dviejų žingsnių patvirtinimas)Tai vienas iš veiksmingiausių patobulinimų “sugedusių ir nutekėjusių slaptažodžių” eroje.
  pvz. Tvirtas saugumas Įskiepio puslapyje aiškiai palaikomi keli 2FA metodai ("Authy", "Google Authenticator", el. paštas, alternatyvūs kodai ir kt.).
• Prisijungimo apsauga: ribokite bandymus brutalia jėga, venkite prisijungimo su braukiamuoju klavišu.
• Nenaudojamos paskyros išjungtos / ištrintos; nebenaudojamos temos / įskiepiai ištrinti (ne tik deaktyvuoti)

---

2 etapas: atnaujinimai ir poveikio valdymas (nepalikite rizikos senose versijose)

Daug “WordPress” įsilaužimų įvyksta dėl "senų įskiepių, temų ir branduolio su viešai prieinamomis pažeidžiamomis vietomis".

Todėl “atnaujinimas” yra vienas iš pagrindinių saugumo strategijos aspektų.
"WordPress" dokumentuose minimas automatinių fono atnaujinimų įdiegimas nuo "WordPress 3.7", siekiant pagerinti saugumą, ir teigiama, kad automatiniai atnaujinimai yra įjungti pagal numatytuosius nustatymus daugumoje svetainių, o iš 5.6 Naujos svetainės paleidimas įjungiamas automatiškaiStrategijos, pavyzdžiui, pagrindinės ir mažosios versijos atnaujinimai.

Principai:

• Aiškios atnaujinimo strategijos (automatinė / pusiau automatinė / rankinė peržiūra).
• Atkūrimo taškai prieš pagrindinius atnaujinimus (grįžkite į 3 skyrių “3 atsarginės kopijos etapas”)
• Nebenaudojamus įskiepius reikėtų kuo greičiau pakeisti (tai pats tiesiausias būdas “sumažinti poveikį”).

---

3 etapas: apsauga ir aptikimas (apsunkinti sėkmingų atakų vykdymą ir anksčiau aptikti anomalijas)

Šiame etape norite “labiau priminti sisteminę gynybą”:

• Ugniasienė / WAF (blokuoja dalį nepageidaujamo duomenų srauto prieš jam patenkant į "WordPress")
• Kenkėjiško kodo nuskaitymas, failų vientisumo stebėjimas
• Saugumo žurnalai ir įspėjimai: neįprasti prisijungimai, privilegijų pakeitimai, pakeisti failai.
• Stebėsena: prastovų stebėjimas, sertifikato galiojimo laikas, anomalūs 5xx, anomalūs duomenų srauto šuoliai.

Atstovavimo priemonės:

• "Wordfence": Įskiepio puslapyje aiškiai nurodyta ugniasienė, kenkėjiškų programų nuskaitymas ir prisijungimo apsauga, taip pat paminėta, kad "Premium" užkardos taisyklės ir kenkėjiškų programų parašai atnaujinami realiuoju laiku, o nemokamos versijos atnaujinimas atidedamas 30 dienų.
  Rekomendacija: Nemokama versija gerokai pagerina bazinį saugumą, tačiau jei jūsų svetainė yra rizikingesnė arba labiau priklauso nuo “naujausios grėsmių žvalgybos”, supraskite skirtumą tarp “atnaujinimo vėlavimų”.
• Patchstack(virtualios pataisos / apsaugos nuo išnaudojimo idėjos): Oficialioje svetainėje pabrėžiama svetainių apsauga nuo pažeidžiamų įskiepių ir (arba) temų naudojant virtualius pataisymus.Patchstack; ir yra instrukcijos, kaip nemokama versija pateikti įspėjimus apie pažeidžiamumą, mokama versija - automatinę apsaugą nuo pažeidžiamumo ir kitų idėjų.
• Sucuri(Leidimas ir aptarnavimo saugumas): Jos paslaugų puslapyje pabrėžiamas kenkėjiškų programų valymas ir galimybė nuolat skenuoti ir blokuoti būsimus įsilaužimus Sucuri.

7. Įspėjimai apie riziką

Su atsarginėmis kopijomis susiję didelio dažnio spąstai

1. Atsarginės kopijos daromos tik serverio vietoje
   Kai serveriai sugenda, dažnai kartu su jais dingsta ir vietinės atsarginės kopijos.
2. Duomenų bazė tik ne wp-turinys
   Atkūrus rasite: pranešimas yra, bet vaizdas dingo; arba temos pritaikymas dingo; arba įskiepių failai yra nenuoseklūs, todėl atsiranda klaida.
3. Niekada nedarykite atkūrimo pratybų.
   Tik lemiamu momentu suprantate, kad atkūrimas nepavyko, kad atsarginė kopija sugadinta arba kad trūksta svarbių failų.
4. Atsarginių kopijų darymo dažnumas neatitinka verslo
   Elektroninės komercijos ir (arba) narystės svetainėse, kuriose atsarginės kopijos daromos kartą per dieną, blogiausiu atveju galite prarasti vienos dienos užsakymų ir (arba) naudotojų elgsenos duomenis, kurių kaina gali gerokai viršyti atsarginės kopijos kainą.

---

Su sauga susijusios aukšto dažnio duobės

1. Įdiegtas, bet ilgą laiką neatnaujintas saugumo papildinys
   Saugumo įskiepiai nepakeičia atnaujinimų. Senų pažeidžiamumų yra ir rizika neišnyks.
2. Per daug administratoriaus paskyrų / bendrų paskyrų
   Leidimai nekontroliuojami, žurnalus sunku atsekti, o išėjimo perdavimas yra rizikingas.
3. Mąstymas “WAF/CDN yra saugus”.”
   WAF gali sustabdyti daugelį bendrųjų atakų, tačiau negali ištaisyti silpnų slaptažodžių, senų pažeidžiamumų, galinių įskiepių ir t. t. Saugiausias metodas - “daugiasluoksnė apsauga”. Saugiausia yra "kelių lygių gynyba".
4. Kelių saugumo įskiepių, kurie prieštarauja vienas kitam, krovimas taip pat lėtina svetainės veikimą.
   Saugumo politikoje pirmenybė turėtų būti teikiama principui “mažiau yra daugiau”: 2FA + atnaujinta politika + ugniasienė ir (arba) skenavimas + įspėjimai; o ne “kuo daugiau įdiegsite, tuo būsite saugesni”.

8. Patvirtinimo kontrolinis sąrašas

Atsarginės kopijos tikrinimas (nesakykite “turiu atsarginę kopiją”, jei nepateikėte šių 8)

• Ar įjungtas automatinis atsarginių kopijų kūrimas (ne rankiniu būdu)
• Ar atsarginėje kopijoje yra duomenų bazė + wp turinys (įkėlimai/temos/įskiepiai)
• Ar atsarginės kopijos saugomos ne vietoje (debesų diske / objektų saugykloje / atskirame serveryje)
• Ar yra aiški išlaikymo strategija (pvz., 7/30/90 dienų išlaikymas)
• Ar paskutinė atsarginė kopija buvo sėkminga (ne “tvarkaraštis egzistuoja”)
• Kada paskutinį kartą buvo atliekami atsigavimo pratimai? Ar jis buvo sėkmingas?
• Ar prieš didįjį atnaujinimą sukurtas papildomas grįžimo atgal taškas?
• kritinio kelio prieinamumas po atkūrimo (prisijungimas, formos, e. parduotuvės užsakymų / narystės prieiga ir t. t.)

Saugumo patvirtinimas (pirmiausia išmokite pagrindinius dalykus)

• Ar administratoriaus paskyra yra sumažinta? Ar yra išėjimo paskyros valymo mechanizmas?
• Įjungti arba išjungti 2FA(bent jau administratoriaus, redaktoriaus ir parduotuvės vadovo vaidmenys, turintys didelius įgaliojimus)
• Ar yra aiškusAtnaujinimo strategija(Pagrindinė dalis/temos/įskiepiai)
• Ar pašalinti nenaudojamus įskiepius / temas (ne tik juos išjungti)
• Užkardos, apsaugos nuo prisijungimo ir kenkėjiško skenavimo prieinamumas ("Wordfence" (ir t. t. gali apimti dalį)
• Galimybė naudotis pažeidžiamumo įspėjimais ir virtualiomis pataisų idėjomis (Patchstack ir t. t.)
• Įspėjamųjų signalų prieinamumas (neįprasti prisijungimai, failų keitimai, prastovos, sertifikato galiojimo pabaiga)
• “nenumatytų atvejų planų” prieinamumas: ko pirmiausia reikia imtis įsilaužimo ir (arba) įsilaužimo atveju.

Dažniausiai pasitaikančios problemos

1. Ar pakanka naudoti tik paties kompiuterio atsarginę kopiją?

Paprastai nerekomenduojama remtis tik vienu šaltiniu.
Prieglobos atsarginės kopijos yra puikios, tačiau jos nebūtinai palengvina “atimti, perkelti ir grąžinti atgal”. Ji yra stabilesnė:Prieglobos atsarginės kopijos, skirtos pagrindams + "Plugin/Cloud" atsarginės kopijos, skirtos migravimui ir kontroliuojamiems atkūrimo taškams。

---

2. Kaip dažnai turėčiau kurti atsarginę kopiją?

Pagal “duomenų kitimo greitį”:

• Turinio svetainės: paprastai pakankamai per dieną
• Įmonių svetainė: kasdien (ypač jei yra formų pavadinimų) ir patvirtinkite, kad pavadinimai yra ne tik svetainėje.
• Elektroninė prekyba ir (arba) narystė: rekomenduojama dažniau (kas valandą ar net beveik realiuoju laiku), nes užsakymų ir (arba) naudotojų duomenys yra vertingesni.

---

3. Kiek laiko turi būti saugomos atsarginės kopijos?

Priklausomai nuo turinio ir atitikties poreikių, galite pasinaudoti šia idėja:

• Laikykite bent 7-30 dienų, kad galėtumėte reguliariai atkurti duomenis
• Jei nerimaujate dėl “paslėptų užkardų ir (arba) chroniško klastojimo”, vertingiau išlaikyti ilgesnį ciklą (pvz., 90 dienų), kad galėtumėte grįžti prie ankstesnės, švaresnės versijos.

---

4. Ar UpdraftPlus / WPvivid / Duplicator yra “tas pats”?

Jie abu atsigręžia atgal, tačiau skirtingai:

• "UpdraftPlus" Įprastesnis variantas yra “Suplanuota atsarginė kopija + daugiatikslė saugykla + atkūrimas”.”
• WPvivid Didelis dėmesys atsarginėms kopijoms, migracijai ir inscenizacijai Testavimo galimybės
• Kopijavimo įrenginys Labai stiprus “pakuotės/migracijos/klonavimo svetainėje”

Jei pasirinkimui naudosite “type”, pavadinimas jūsų neklaidins.

---

5. Kodėl turėčiau mokėti už "Jetpack Backup"? Kam ji skirta?

Kadangi tai iš esmės yra daugiau “debesies atsarginių kopijų kūrimo paslauga”, kurioje daugiausia dėmesio skiriama išsaugojimui debesyje ir atkūrimui vienu spustelėjimu, įskiepio puslapyje turi būti aiškiai nurodyta Atsarginės kopijos mokėjimo planai, oficialiame prenumeratos puslapyje pabrėžiamas kiekvieno pakeitimo išsaugojimas, greitas atkūrimas vienu spustelėjimu.
Idealiai tinka: žmonėms, kuriems svarbesnė atkūrimo sparta ir kurie nori atsarginių kopijų tvarkymo ir administravimo funkciją patikėti brandžiai veikiančiai tarnybai.

---

6. Kokia yra “inkrementinių atsarginių kopijų”, tokių kaip BlogVault / ManageWP, prasmė?

Jų esmė - didinti atsargines kopijas:Atsarginės kopijos tik pakeitimų, todėl sumažėja serverio apkrova, o atkūrimo taškus galima kurti dažniau.

• BlogVault įskiepisNurodymuose pabrėžiama, kad atsarginės kopijos daromos automatiškai, palaipsniui, o duomenų bazės, temos, papildiniai ir laikmenos perrašomos, be to, įdiegta etapavimo ir migracijos funkcija;
• ManageWP Taip pat pabrėžiami inkrementinių atsarginių kopijų kūrimo būdai, kad būtų sumažinta apkrova ir būtų galima atkurti vienu spustelėjimu.

Idealiai tinka: didelėms svetainėms, daug medijos, dažniems atnaujinimams arba jei valdote kelias svetaines.

---

7. Ar pakanka vieno saugumo papildinio?

Daugumai svetainių “vienas pagrindinis saugumo įskiepis + teisinga bazinė politika” paprastai yra veiksmingesnis nei “jų krūva”.
pvz. "Wordfence" Gali apimti pagrindines funkcijas, pvz., ugniasienę, skenavimą ir prisijungimo saugumą; kartu su 2FA("Solid Security" siūlo įvairius būdus, kaip tai padaryti), jau dabar gali gerokai padidinti atakos kainą.

---

8. Ar veikia nemokama "Wordfence" versija? Kodėl kai kurie žmonės kalba apie "Premium"?

"Wordfence" įskiepio puslapisAiškumas: "Premium" teikia ugniasienės taisyklių ir kenkėjiškų parašų atnaujinimus realiuoju laiku, o nemokama versija vėluoja 30 dienų.
Ar jums reikia priemokos, priklauso nuo jūsų rizikos ir tolerancijos lygio:

• Mažos rizikos svetainės: nemokama versija + savalaikiai atnaujinimai + 2FA, paprastai jau naudinga!
• Didesnis pavojus arba didesnis pasitikėjimas “naujausia grėsmių žvalgybos informacija”: reikia suprasti, kokią galimybę gali suteikti “vėluojantys atnaujinimai”.

---

9. Ką tiksliai išsprendžia “virtualus pleistras”, pavyzdžiui, "Patchstack"?

Idėja ta, kad taisyklės naudojamos žinomų pažeidžiamumų atakos paviršiui blokuoti taikomosios programos lygmenyje prieš išnaudojant įskiepių ir (arba) temų pažeidžiamumus (arba prieš išplatinant pataisas).Oficiali "Patchstack" svetainėDaugiausia dėmesio skiriama pažeidžiamiems virtualių pataisų apsaugos įskiepiams ir temoms, paaiškinami nemokamų ir mokamų įspėjimų ir automatinės apsaugos skirtumai.
Tai nėra atnaujinimų pakaitalas, bet veikiau būdas sumažinti “pataisymų lango” riziką.

---

10. Ar užblokuosiu save, jei aktyvuosiu 2FA?

Rekomenduojama pasiruošti iš anksto:

• Pakaitinis kodas ir (arba) atkūrimo metodas (Tvirtas saugumas (taip pat buvo paminėtos tokios programos kaip backup kodai)
• Turėti bent vieną “ekstremaliųjų situacijų vadovą” ir saugią atkūrimo informaciją.
• Svarbiausia: nedėkite atkūrimo informacijos toje pačioje vietoje, kur ją gali pasiekti pažeidėjas.

---

11. Ar reikia įjungti "WordPress" automatinį atnaujinimą, ar ne?

WordPress dokumentacijaPaaiškinkite, kad automatinio fono atnaujinimo mechanizmas skirtas saugumui pagerinti ir yra įjungtas pagal numatytuosius nustatymus daugumoje svetainių, taip pat kad galima konfigūruoti įvairių tipų atnaujinimo politiką.
Rekomendacija:

• Saugumo ir nedidelių versijų atnaujinimai: dažniausiai automatizuoti (sutrumpėja žinomų pažeidžiamumų atskleidimo laikas).
• Dideli išleidimai / kritiniai įskiepių atnaujinimai: prieš judėdami pirmyn (bent jau tam, kad būtų galima grįžti atgal), derinkite atsarginių kopijų sukūrimo taškus su bandymo procesu.

---

12. Koks pirmas žingsnis, jei įtariu, kad į svetainę buvo įsilaužta?

Teisingas eiliškumas (kad nesusidarytų didesnė netvarka):

1. Pirmiausia sustabdykite kraujavimą.: Laikinai apriboti fono prisijungimus, sustabdyti įtartinas funkcijas ir prireikus atidaryti techninės priežiūros puslapius.
2. Pirmiausia įrodymų išsaugojimas ir atkūrimo taškai: Nedelsiant sukurkite dabartinės būsenos atsarginę kopiją (analizei) ir tuo pačiu metu paruoškite švarų atstatymo tašką
3. Atšaukimas ir (arba) valymas: Pirmenybę teikite atkūrimui iki žinomo švaraus laiko taško arba naudokitės profesionaliomis valymo paslaugomis (Sucuri ir t. t., akcentuojant kenkėjišką valymą ir nuolatinę apsaugą).
4. užtaisyti skylę: atnaujinkite pagrindinius / papildinius / temas, iš naujo nustatykite slaptažodžius ir raktus, įjunkite 2FA, pašalinkite įtartinas paskyras ir papildinius.

---

13. Aš atlieku saugumo ir atsarginių kopijų kūrimą, kodėl man reikia stebėti?

Nes “ankstyvas aptikimas” sumažina nuostolius.
Prastovos, pasibaigę sertifikatai, neįprastas duomenų srautas, neįprasti prisijungimai, neįprasti užsakymai - tai problemos, apie kurias kuo greičiau sužinosite, tuo geriau.