Veiktspējas optimizācija ir vērsta uz “ātrāku”, taču patiesais mājaslapu pamatprincips ir divi aspekti:

  • galvojums: Mēģiniet neiekļūt nepatikšanās (nesaņemiet hacked, nesaņemiet hung, nesaņemiet crashed, nesaņemiet saskarnes swiped, nesaņemiet manipulācijas ar).
  • dublēšana: ātra atjaunošana pat tad, ja kaut kas notiek nepareizi (nejauša dzēšana, atjaunināšanas pārveide, servera atteice, atgriešanās pēc izpirkuma/uzbrukuma).

Šādas divas lietas viena otru papildina:

  • Ja veicat tikai drošības, bet ne dublējumu veidošanu, jūs joprojām varat pāriet uz nulles režīmu vienas nakts laikā, ja rodas nekontrolējamas problēmas.“
  • Ja jūs veicat tikai dublējumu, bet ne drošību, jūs nonāksiet ciklā, kurā “katru dienu tiek veikts trieciens un katru dienu tiek veikta atjaunošana”, un laiks un izmaksas būs nekontrolējamas!

Pēc izlasīšanas jums būtu jāspēj to izdarīt:

  • Precīzi zināt, ko tieši jāsedz ar “dublēšanu un drošību” (lai izvairītos no nepareizas sistēmas iegādes, nepareizas instalēšanas un pieņēmuma, ka tā ir droša).
  • Iespēja izvēlēties pareizo risinājumu atkarībā no vietnes tipa (satura vietne/uzņēmējdarbības vietne/ e-komercija/dalībnieku vietne).
  • Spēja pakāpeniski sākt darboties saskaņā ar ceļvedi (elastīgs, tad kontrolējams, tad sistemātisks).
  • Var pārbaudīt ar pašpārbaudes kontrolsarakstu: dublēšanaTo patiešām var atgūt.DrošībaAizsardzība patiešām pastāv.
  • zināt, kur vispirms meklēt informāciju, ja rodas problēmas (dublējuma neveiksme, atkopšanas neveiksme, aizdomas par uzlaušanu u. c.).

1. Mērķis: jums ir nepieciešama “atkopjama sistēma”, nevis “spraudnis”.”

Rezerves kopijas nav saistītas ar “rezerves kopijas faila izveidi”.”

Tā vietā:Vai varat atjaunot vietni tā, kā to vēlaties, kad tas ir nepieciešams?

Tātad galvenais rezerves kopijas rādītājs ir nevis “instalēts dublēšanas spraudnis”, bet gan šīs divas lietas:

  • Pieņemams datu zuduma logs (RPO): Cik ilgi jūs varat pieņemt datu zaudēšanu sliktākajā gadījumā?
    Piemērs: ja satura vietne zaudē 24 stundas rakstu, tas varētu būt pieņemami; ja e-komercijas vietne zaudē 30 minūtes pasūtījumu, tas ir nopietni.
  • Pieņemamais atkopšanas laiks (RTO): Cik ātri pēc negadījuma jūs plānojat atgriezties tiešsaistē?
    Piemērs: uzņēmuma vietne var vēlēties atjaunoties 1 stundas laikā; e-komercijas vietne var vēlēties atjaunoties 10-30 minūšu laikā.

Šie rādītāji nav jāieraksta formulā, bet gan jāizmanto, lai pieņemtu lēmumu:Rezerves kopiju veidošanas biežums, saglabāšanas laiks, vajadzība pēc reāllaika/pastiprinātām dublējuma kopijām, vajadzība pēc atjaunošanas ar vienu klikšķi/atjaunošanas ārpus vietnes.

2. Ātrā stratēģijas izstrāde pēc vietas tipa (orientācija, pēc tam rīku izvēle)

Stratēģijas ieteikumi:

A. Satura vietnes / emuāri

  • Izmaiņu biežums: parasti “katru dienu/nedēļā”.”
  • Ieteicamais dublēšanas biežums:ikdienasDublējiet datu bāzi + wp saturu (augšupielādes / tēmas / spraudņi)
  • Atjaunošanas mērķis: pietiek ar vakardienas/šodienas versiju (koncentrējoties uz to, lai nezaudētu rakstus un multivides bibliotēku).

B. Biznesa vietne / mārketinga vietne (svarīga ir veidlapu vadlīnijas)

  • Izmaiņu biežums: ne vienmēr liels, bet veidlapas/vadlīnijas ir ļoti svarīgas.
  • Ieteicamais dublēšanas biežums: datu bāze vismazikdienasVeidlapas dati un e-pasta/CRM nebūs “vienā vietā”.”
  • Atjaunošanas mērķis: ātra atgriešanās atpakaļ, ja rodas problēmas ar atjaunināšanas/pārskatīšanas/pievienošanas izsekošanas skriptiem.

C. E-komercijas vietne (WooCommerce)

  • Izmaiņu biežums: pasūtījumi/inventārs/lietotāju uzvedība pastāvīgi
  • Ieteicamais dublēšanas biežums: vēlamsaugstāka frekvence(katru stundu vai pat reālā/tuvu reālā laikā), vismaz nodrošināt spēcīgu datubāzes aizsardzību.
  • Atjaunošanas mērķis: minimāli pasūtījuma datu zaudējumi; spēja ātri atjaunot maksājumu/uzdevumu saites.

D. Dalības vietne / kursu vietne / kopiena

  • Izmaiņu biežums: lietotāja progress, atļaujas, satura atbloķēšana, mijiedarbības dati.
  • Ieteicamais dublēšanas biežums: datubāzēm - biežāk; ar “point-in-time” atjaunošanas punktiem.
  • Atjaunošanas mērķis: lietotāja dati netiek izjaukti, atļaujas netiek zaudētas un saturs netiek bojāts.

3. Rezerves kopēšanas ceļvedis (ieteicams virzīties uz priekšu šajos 3 posmos).

Svarīgākie notikumi:Vispirms izveidosim “spējīgu atveseļošanu” un tad runāsim par “automatizāciju un sistematizāciju”.

1. posms: sāciet ar “Automātiskā dublēšana + ārvietas krātuve”

Tas ir galvenais. Neatkarīgi no tā, kādu rīku izmantojat, izmantojiet to:

  • automātiskais:: Nepaļaujieties uz “es atcerēšos to noklikšķināt manuāli”.”
  • uzglabāšana ārpus uzņēmuma: Neizvietojiet dublējumkopijas tikai tajā pašā serverī.
    Iemesls ir ļoti vienkāršs: serveris pakāras/disks ir bojāts/konts ir iebrucis, lai izdzēstu bibliotēku, jūsu “vietējā dublējuma” var pazust kopā.

Tipiskas rīka implementācijas ietver:

  • Rezerves dublēšanas spraudnis spiež rezerves kopijas uz mākoņdisku/objektu glabātuvi/FTP (UpdraftPlus (Piemēram, Dropbox, Google Drive, Amazon S3 un daudzi citi mērķi ir skaidri atbalstīti).
  • Mākoņa dublējuma pakalpojums saglabā dublējumus savā mākonī un piedāvā atgūšanu ar vienu klikšķi (Jetpack VaultPress dublējums (Galvenokārt mākoņa dublēšana un atgūšana ar vienu klikšķi, bet ir jāiekļauj maksas plāns dublēšanai)

2. posms: dublējumu uzlabošana līdz “atjaunojamām sistēmām”.”

Daudzas vietnes patiešām apgāžas nevis tāpēc, ka trūkst rezerves kopiju, bet tāpēc, ka:

  • Nepilnīga dublējums (tikai datu bāze, nevis augšupielādes / tēmas / spraudņi)
  • Bojāts dublējuma fails/nepareizas atļaujas
  • Kad jums ir nepieciešams atgūties, jūs saprotat, ka “atveseļošanās process vienkārši nedarbojas”.”

Tāpēc 2. posma mērķi ir šādi:Veiciet regulāru atveseļošanās vingrinājumu(pat testa vidē/ pagaidu direktoriju atjaunošanas režīmā), apstipriniet šādus punktus:

  • Datu bāzi var atjaunot.
  • Multivides bibliotēku var atjaunot (wp-content/uploads/
  • Var atjaunot tēmas/plugīnus (wp-content/themes/wp-content/plugins/
  • Pēc atgūšanas vietnei var piekļūt normāli, backend var normāli pieteikties, un galvenās funkcijas var palaist (e-komercija, lai pārbaudītu pasūtījuma/apmaksas procesu, un dalības vietne, lai pārbaudītu pieteikšanos/atļaujas).

Tāpēc daudzos komerciālajos dublēšanas risinājumos tiek uzsvērta “atjaunošana ar vienu klikšķi”, “atjaunošana pēc minūtēm” un “inkrementālas dublējumu veidošana, lai samazinātu slodzi”. Piemēram. BlogVault Iespraudņa aprakstā ir uzsvērts, ka tiek nodrošinātas **automātiskas, inkrementālas rezerves kopijas (ieskaitot datu bāzes, tēmas, spraudņus, multivides)** un stadionēšanas/migrācijas funkcijas.ManageWP Uzsvars tiek likts arī uz slodzes samazināšanu, izmantojot inkrementālas dublējuma veidošanas metodes un nodrošinot atjaunošanu ar vienu klikšķi.

3. posms: dublējumu piesaiste atjaunināšanas/izlaišanas procesam (atgriešanas punkts)

Šajā posmā jūsu mērķis ir:Atgriešanās punkts pirms katras būtiskas izmaiņas

Tipiski scenāriji ir šādi:

  • WordPress kodola galvenās versijas atjaunināšana
  • Tēmas maiņa/šablona pārveidošana
  • galveno spraudņu (e-komercijas maksājumu, dalības sistēmu, veidlapu sistēmu) uzstādīšana vai nomaiņa.
  • Partijas attēlu nomaiņa / masveida satura migrācija

3. posma būtība ir tā, ka jums nav “jālūdzas, lai pārmaiņas ir kārtībā”, bet gan tas, ka jūs varat ātri atgriezties “brīdī pirms pārmaiņām”, ja pārmaiņas neizdodas.

4. Rezerves kopija, ko tieši dublēt (daudzi cilvēki, kas dublē šos galvenos punktus ir palaiduši garām)

1. pamatelements: datu bāze (kurā tiek saglabāti pasūtījumi/lietotāji/ietilpība/iestatījumi).

  • Raksti, lappuses, komentāri
  • Lietotāji, atļaujas
  • WooCommerce pasūtījumi, inventārs, kuponi
  • Plug-in konfigurācijas (liels skaits konfigurāciju, kas tiek glabātas datu bāzē)

2. būtiskākais: wp-content (tā ir lielākā daļa WordPress vietnes “redzamo aktīvu”).

  • uploads: bildes, pielikumi, multivides bibliotēka (visvieglāk “aizmirst dublēt”).
  • themes: tēmas faili (pielāgots kods/šabloni)
  • plugins: spraudņu faili (daži spraudņi raksta arī pielāgotus failus)

Attiecīgā gadījumā: konfigurācijas un darbības vides informācija.

Neignorējiet vides atšķirības:

  • PHP versiju atšķirības var izraisīt kļūdu ziņošanu pēc atjaunošanas
  • Īpašas paplašinājuma/atmiņas kešatmiņas komponentu atšķirības var izraisīt atšķirīgu uzvedību.
  • Reversais starpniekserveris/CDN/drošības noteikumi var ietekmēt pieteikšanos un backend interfeisu

Atjaunošana nenozīmē tikai atjaunot failu, bet arī nodrošināt, ka operētājsistēma un konfigurācija var nodrošināt tā darbību.

5. Rezerves kopēšanas programmas izvēle

A tips: spraudņa dublējums ar laika grafiku (piemērots starta risinājums lielākajai daļai vietņu).

Raksturojums: zemas izmaksas, kontrolējama, ātra izvietošana; bet jums ir jāveic stabila “uzglabāšana ārpus vietas + atkopšanas treniņš”.

Pārstāvības rīki:

  • UpdraftPlus: Galvenais uzsvars tiek likts uz plānotu uzdevumu dublēšanu un atkopšanu, skaidri atbalstot vairākus dublēšanas mērķus (Dropbox, Google Drive, Amazon S3, FTP, e-pasts utt.) spraudņa lapā.
    Ideāli piemērots: satura vietnēm/uzņēmējdarbības vietnēm, kas uzsāk darbību, un vietnēm, kas vēlas dublēt dublējumus uz pašu kontrolētu krātuvi.
  • WPvivid dublēšana & migrācija: Spraudņa lapā ir izceltas dublējumu, migrāciju un stadijas (stadiju var izveidot apakšdirektorijā, lai pārbaudītu izmaiņas).
    Ideāli piemērots: cilvēkiem, kuri bieži migrē vietnes un kuriem bieži ir nepieciešams testēt izmaiņas ad-hoc režīmā.
  • Duplikators: Plugin lapa uzsver vietņu dublēšanu/iepakošanu/migrēšanu/klonēšanu uz jauniem resursdatoriem vai jauniem domēniem.
    Ideāli piemērots: migrēšanai, vietņu replikācijai, testa vietņu izveidei, pārvietojamu paku izveidei.

UpdraftPlus ir vairāk “rezerves sistēmas starteris”.”

WPvivid/ Duplicator ir labāka “migrācija/iepakošana/kopēšana”, bet var veikt arī rezerves kopijas.

B tips: mākoņa dublējums/reālā laika dublēšana (vairāk piemērots vietnēm, kas ir jutīgākas pret datu un atjaunošanas laiku)

Funkcijas: uzsvars uz “aizsardzību pret izmaiņām/augstas frekvences izmaiņām” un “atgūšanu ar vienu klikšķi”, vairāk kā pakalpojumu kopumu.

Pārstāvības rīki:

  • Jetpack VaultPress Backup (Jetpack Backup): Spraudņa lapā tiek uzsvērta mākoņa dublēšana un atgūšana ar vienu klikšķi, un nepārprotami ir nepieciešams maksas Jetpack plāns, kas ietver dublēšanu, kurasOficiālajā abonēšanas lapā arī uzsvērts, ka“Saglabājiet katru izmaiņu un ātri atgriezieties lietojamā stāvoklī, izmantojot viena klikšķa atjaunošanu”.
    Ideāli piemērots: e-komercijas/locekļu vietnēm/vietnēm, kurām ir svarīgs “atkopšanas ātrums”, vai tiem, kas vēlas uzticēt dublēšanas operācijas nobriedušam pakalpojumam.
  • BlogVault: Spraudņa aprakstā ir skaidri norādīts “automātiskas, drošas, inkrementālas dublējumkopijas (datu bāze, tēmas, spraudņi, multivides)” ar iebūvētām inscenēšanas un migrācijas iespējām.
    Ideāli piemērots: Vietnēm, kurās “dublēšana + testēšana + migrācija” ir pilnīga darba plūsma.
  • ManageWP: Uzsvars uz inkrementālām dublēšanas metodēm, lai samazinātu servera slodzi un nodrošinātu atjaunošanu ar vienu klikšķi.
    Ideāli piemērots: cilvēkiem (studijām/komandām), kuri pārvalda vairākas vietnes un vēlas veikt dublēšanu/atjaunināšanu/uzraudzību vienā panelī vienotā veidā.

C tips: momentuzņēmums/automatizēta dublējuma izveide (ļoti ieteicams kā “otrā apdrošināšanas līnija”).

Mājvietas dublējumkopijas vērtība: tā parasti ir “sistēmas līmeņa momentuzņēmums” ar plašāku pārklājumu (ieskaitot datubāzu un failu stāvokli un pat vidi noteiktā līmenī).

Biežāk sastopamie maldīgie priekšstati:

  • Uzņēmēja dublējums ≠ Migrējams dublējums: Hostinga dublējumu veidošana var nebūt ērta, ja maināt mitinātāju vai ja nepieciešams izņemt dublējumus.
  • Plug-in dublējumkopijas ir migrējošākasRezerves kopijas tiek saglabātas kontrolējamā krātuvē, tādējādi padarot elastīgāku atjaunošanu dažādās vidēs.

Tāpēc visstabilākā kombinācija parasti ir:

Hosted Backup (zem pārsega) + Plugin/Cloud Backup (migrējams lietojumprogrammu slānis + granulāri atjaunošanas punkti)

6. Drošības ceļvedis (sāciet ar visefektīvākajiem pamatiem, nevis ar virkni spraudņu).

Drošība nenozīmē “instalēt desmit spraudņus”, bet gan veidot aizsardzību pa slāņiem:

1. posms: konti un privilēģijas (lielākie un tūlītējie ieguvumi).

Šajā posmā jūs vēlaties “apgrūtināt visbiežāk sastopamos ieejas punktus”:

  • Administratora konta minimizēšana: tikai tiem, kam tas ir nepieciešams
  • Stingras paroles politika: neizmantojiet atkārtoti, neizmantojiet vājas paroles.
  • 2FA (divpakāpju verifikācija)Tas ir viens no efektīvākajiem uzlabojumiem “avārijas/ noplūdes paroļu” laikmetā.
    piemēram. Cieša drošība Spraudņa lapa nepārprotami atbalsta vairākas 2FA metodes (Authy, Google Authenticator, e-pastu, alternatīvos kodus u. c.).
  • Pieslēgšanās aizsardzība: Ierobežojiet brutālā spēka mēģinājumus, izvairieties no viltotiem pieteikumiem.
  • Neizmantotie konti atspējoti/izdzēsti; tēmas/plugini, kas vairs netiek izmantoti, dzēsti (ne tikai deaktivizēti).

2. posms: atjauninājumi un iedarbības pārvaldība (neatstājiet riskus vecajās versijās)

Liela daļa WordPress uzlaušanu nāk no “veciem spraudņiem/tēmām/kodola ar publiski pieejamām ievainojamībām”.

Tāpēc “atjaunināšana” ir viens no drošības stratēģijas pamataspektiem.
WordPress dokumentācijā minēts, ka no WordPress 3.7 ir ieviesti automātiskie fona atjauninājumi, lai uzlabotu drošību, un norādīts, ka automātiskie atjauninājumi ir iespējoti pēc noklusējuma vairumā vietņu un no 5.6 Jaunas vietnes palaišana tiek iespējota automātiskiStratēģijas, piemēram, lielās un mazās versijas atjauninājumi.

Princips:

  • Pamatnei/tēmām/pluginiem jābūt skaidrai atjaunināšanas stratēģijai (automātiska/pusautomātiska/manuāla pārskatīšana).
  • Atgriešanas punkti pirms lieliem atjauninājumiem (skatiet 3. sadaļu “Rezerves kopijas 3. posms”).
  • Iespraudņi, kas vairs netiek uzturēti, pēc iespējas ātrāk jānomaina (tas ir vistiešākais veids, kā “samazināt iedarbību”).

3. posms: aizsardzība un atklāšana (apgrūtina uzbrukumu sekmīgu iznākumu un ļauj agrāk atklāt anomālijas).

Šajā posmā jūs vēlaties būt “vairāk līdzīgs sistemātiskai aizsardzībai”:

  • Ugunsmūris/WAF (bloķē daļu nevēlamas datplūsmas, pirms tā nonāk WordPress).
  • Ļaunprātīga koda skenēšana, failu integritātes uzraudzība
  • Drošības žurnāli un brīdinājumi: neparasti pieteikumi, privilēģiju izmaiņas, izmainīti faili.
  • Uzraudzība: dīkstāves laika uzraudzība, sertifikāta derīguma termiņa beigas, anomāli 5xx, anomāli datplūsmas lēcieni.

Pārstāvības rīki:

  • Wordfence: Iespraudņa lapā ir skaidri norādīta ugunsmūra, ļaunprātīgu programmatūru skenēšanas un pieteikšanās drošība, kā arī minēts, ka Premium saņem ugunsmūra noteikumus un ļaunprātīgu programmatūru parakstu atjauninājumus reāllaikā, bet bezmaksas versijai ir 30 dienu kavēšanās.
    Ieteikums: Bezmaksas versija ievērojami uzlabo pamata drošību, bet, ja jūsu vietne ir riskantāka vai vairāk paļaujas uz “atjauninātu draudu izlūkošanas informāciju”, izprotiet atšķirību starp “atjauninājumu kavējumiem”.
  • Patchstack(idejas par virtuālo plāksteri/aizsardzību pret izlaupīšanu): Tās oficiālajā tīmekļa vietnē ir uzsvērta vietņu aizsardzība pret neaizsargātiem spraudņiem/tēmām, izmantojot virtuālos ielāpus.Patchstack; un ir norādījumi par bezmaksas versiju, lai sniegtu brīdinājumus par ievainojamībām, par maksas versiju, lai nodrošinātu automātisku aizsardzību pret ievainojamībām, un citas idejas.
  • Sucuri(Drošības pārbaude un apkalpošanas drošība): Tās pakalpojumu lapā tiek uzsvērta ļaunprātīgas programmatūras tīrīšana ar iespēju nepārtraukti skenēt/ bloķēt turpmākus ielaušanās gadījumus Sucuri.

7. Riska brīdinājumi

Ar dublēšanu saistītās biežās rezerves kopijas slazdi

  1. Rezerves kopijas tiek veidotas tikai serverī
    Kad serveri sabojājas, vietējās dublējuma kopijas bieži vien pazūd kopā ar tiem.
  2. Tikai datu bāze, nevis wp saturs
    Pēc atjaunošanas jūs atradīsiet: amats ir, attēls ir pagājis; vai tēma pielāgošana ir pagājis; vai spraudnis faili ir nekonsekventa, kā rezultātā kļūda.
  3. Nekad neveiciet atkopšanas vingrinājumus.
    Tikai izšķirošajā brīdī jūs saprotat, ka atkopšana nav izdevusies, ka dublējums ir bojāts vai ka trūkst kritiski svarīgu failu.
  4. Rezerves kopiju veidošanas biežums neatbilst uzņēmējdarbībai
    E-komercijas/locekļu vietnēs, kuru dublējumkopijas tiek veidotas reizi dienā, sliktākajā gadījumā jūs varētu zaudēt vienas dienas pasūtījumu/lietotāju uzvedības datus, un izmaksas varētu ievērojami pārsniegt dublējuma izmaksas.

Ar drošību saistītas augstas frekvences bedres

  1. Drošības spraudnis ir instalēts, bet ilgu laiku nav atjaunināts
    Drošības spraudņi nav atjauninājumu aizstājējs. Vecās ievainojamības pastāv, un risks nepazudīs.
  2. Pārāk daudzi administratora konti/koplietoti konti
    Atļaujas ir nekontrolējamas, žurnālus ir grūti izsekot, un izejas nodošana ir riskanta.
  3. Domāšana “WAF/CDN ir drošs.”
    WAF var apturēt daudzus vispārīgus uzbrukumus, taču tie nevar novērst vājas paroles, vecas ievainojamības, aizmugurējo durvju spraudņus u. c. Visdrošākā pieeja ir “daudzlīmeņu aizsardzība”. Visdrošākā ir "daudzlīmeņu aizsardzība".
  4. Vairāku drošības spraudņu kraušanas, kas konfliktē viens ar otru, arī palēnina vietnes darbību.
    Drošības politikā prioritātei jābūt “mazāk ir vairāk”: 2FA + atjauninātas politikas + ugunsmūris/skenēšana + brīdinājumi, nevis “jo vairāk instalējat, jo esat drošāks”.

8. Validācijas kontrolsaraksts

Rezerves kopijas verifikācija (nesakiet “man ir rezerves kopija”, ja neizturat šos 8).

  • Vai ir iespējotas automātiskās dublējumu veidošana (nevis manuālā).
  • Vai dublējums satur datu bāzi + wp saturu (augšupielādes / tēmas / spraudņus)
  • Vai rezerves kopijas tiek glabātas ārpus uzņēmuma (mākoņdisks/objektu glabātuve/atsevišķs serveris).
  • Vai ir skaidra saglabāšanas stratēģija (piemēram, 7/30/90 dienu saglabāšana)?
  • Vai pēdējā dublējuma izveide bija veiksmīga (nevis “grafiks pastāv”).
  • Kad bija pēdējais atveseļošanās vingrinājums? Vai tas bija veiksmīgs?
  • Vai pirms lielā atjauninājuma ir izveidots papildu atiestatīšanas punkts?
  • Kritiskā ceļa pieejamība pēc atjaunošanas (pieteikšanās, veidlapas, e-komercijas pasūtījumu/dalības piekļuve utt.)

Drošības validēšana (vispirms apgūstiet pamatus)

  • Vai administratora konts ir minimizēts? Vai ir izvešanas konta tīrīšanas mehānisms?
  • Ieslēgt vai izslēgt 2FA(vismaz administratora/redaktora/veikala vadītāja amats ar lielām pilnvarām).
  • Vai ir skaidrsAtjaunināšanas stratēģija(kodols/tēmas/plugīni)
  • Neizmantoto spraudņu/tēmu noņemšana (ne tikai to deaktivizēšana).
  • Ugunsmūra/pierakstīšanās aizsardzības/kaitnieciskas skenēšanas pieejamība (Wordfence (u.c. var segt daļu)
  • Neaizsargātību brīdinājumu/virtuālo labošanas ideju pieejamība (Patchstack utt.)
  • Trauksmes signālu pieejamība (neparasti pieteikumi, failu izmaiņas, dīkstāve, sertifikāta derīguma termiņa beigas).
  • “Ārkārtas rīcības plānu” pieejamība: kāds ir pirmais solis, kas jāveic uzlaušanas/laupīšanas gadījumā.

bieži sastopamās problēmas

1. Vai ir pietiekami izmantot tikai resursdatora rezerves kopiju?

Parasti nav ieteicams paļauties tikai uz vienu avotu.
Hostinga dublējumi ir lieliski, taču tie ne vienmēr atvieglo “noņemšanu, migrēšanu un atjaunošanu atpakaļ”. Tas ir stabilāk:Hosted dublējumi pamatnei + Plugin/Cloud dublējumi migrējamībai un kontrolētiem atkopšanas punktiem

2. Cik bieži jāveic dublējums?

Saskaņā ar “datu izmaiņu ātrumu”:

  • Satura vietnes: parasti pietiek dienā
  • Uzņēmuma vietne: katru dienu (jo īpaši, ja ir veidlapas, kas ved uz vietni) un apstipriniet, ka vadoņi ir ne tikai vietnē.
  • E-komercija/dalība: ieteicams biežāks (ik stundu vai pat gandrīz reālā laikā), jo vērtīgāki ir pasūtījumu/lietotāju dati.

3. Cik ilgi ir jāsaglabā dublējumi?

Atkarībā no satura un atbilstības vajadzībām varat izmantot šo ideju:

  • Saglabājiet vismaz 7-30 dienas regulārai atiestatīšanai.
  • Ja esat nobažījies par “slēptiem aizmugurējiem vārtiem/ hroniskiem viltojumiem”, vērtīgāk ir saglabāt ilgāku ciklu (piemēram, 90 dienas), lai varētu atgriezties pie agrākas, tīrākas versijas.

4. Vai UpdraftPlus / WPvivid / Duplicator ir “tas pats”?

Abi viņi atbalsta, bet ar atšķirīgiem uzsvariem:

  • UpdraftPlus Tipiskāka ir “Plānotais dublējums + vairāku mērķu krātuve + atjaunošana”.”
  • WPvivid Uzsvars uz dublēšanu + migrāciju + staging Testēšanas iespējas
  • Duplikators Ļoti spēcīgs “pack/migrēt / klons vietā”

Ja atlasei izmantosiet “tips”, nosaukums jūs nesajauks.

5. Kāpēc man būtu jāmaksā par Jetpack Backup? Kādam nolūkam tas ir paredzēts?

Tā kā tas būtībā ir vairāk “mākoņa dublēšanas pakalpojums”, kurā uzsvars tiek likts uz mākoņa saglabāšanu un atjaunošanu ar vienu klikšķi, spraudņa lapā ir skaidri jāiekļauj. Maksājumu plāni dublējumamOficiālajā abonēšanas lapā ir uzsvērta katras izmaiņas saglabāšana un ātra atjaunošana ar vienu klikšķi.
Ideāli piemērots: cilvēkiem, kuriem svarīgāks ir atkopšanas ātrums un kuri vēlas atstāt dublēšanas operatīvo uzturēšanu un pārvaldību nobriedušam pakalpojumam.

6. Kāda ir “inkrementālo rezerves kopiju”, piemēram, BlogVault / ManageWP, jēga?

To pamatā ir inkrementālās dublējumkopijas:Dublējiet tikai izmaiņas, kas samazina servera slodzi, vienlaikus ļaujot biežāk ģenerēt atkopšanas punktus.

  • BlogVault spraudnisNorādījumos uzsvērta automātiska, pakāpeniska datu bāzu/tēmu/pluginu/mediju dublēšana un pārrakstīšana, kā arī iebūvēta pakāpeniska un migrācija;
  • ManageWP Lai samazinātu slodzi un nodrošinātu atjaunošanu ar vienu klikšķi, uzsvars tiek likts arī uz inkrementālās dublēšanas metodēm.

Ideāli piemērots: lielām vietnēm, daudziem multivides līdzekļiem, biežiem atjauninājumiem vai vairāku vietņu pārvaldībai.

7. Vai pietiek ar vienu drošības spraudni?

Lielākajai daļai vietņu “viens galvenais drošības spraudnis + pareizas pamatpolitikas izveide” parasti ir efektīvāks nekā “vairāki spraudņi”.
piemēram. Wordfence Var aptvert pamatfunkcijas, piemēram, ugunsmūri, skenēšanu un pieteikšanās drošību; apvienojumā ar 2FA(Solid Security piedāvā dažādus veidus, kā to izdarīt), var ievērojami palielināt uzbrukuma izmaksas.

8. Vai darbojas Wordfence bezmaksas versija? Kāpēc daži cilvēki runā par pāreju uz Premium?

Wordfence spraudņa lapaSkaidrība: Premium nodrošina ugunsmūra noteikumu un ļaunprātīgo parakstu atjauninājumus reāllaikā, savukārt bezmaksas versija kavējas 30 dienas.
Tas, vai jums ir vai nav nepieciešama prēmija, ir atkarīgs no jūsu riska un pieļaujamā līmeņa:

  • Zema riska vietnes: bezmaksas versija + savlaicīgi atjauninājumi + 2FA, parasti jau noderīgi!
  • Lielāks risks vai lielāka paļaušanās uz “jaunāko draudu izlūkinformāciju”: nepieciešamība saprast iespēju logu, ko var radīt “novēlota atjaunināšana”.

9. Ko tieši atrisina tāds “virtuālais ielāps” kā Patchstack?

Ideja ir tāda, ka noteikumi tiek izmantoti, lai bloķētu zināmo ievainojamību uzbrukuma virsmu lietojumprogrammu slānī, pirms tiek izmantotas spraudņu/temu ievainojamības (vai pirms pilnībā tiek izplatīti labojumi).Patchstack oficiālā vietneUzsvars uz neaizsargātajiem virtuālās ielāpu aizsardzības spraudņiem/tēmām ar skaidrojumiem par bezmaksas/apmaksāto brīdinājumu un automātiskās aizsardzības atšķirībām.
Tas nav atjaunināšanas aizstājējs, bet gan veids, kā samazināt “ielāpu loga” risku.

10. Vai es bloķēšos, ja aktivizēšu 2FA?

Ieteicams sagatavoties iepriekš:

  • Alternatīvais kods/atgūšanas metode (Cieša drošība (tika minētas arī tādas programmas kā backup kodi)
  • Uzturēt vismaz vienu “ārkārtas situāciju vadītāju” un drošu atjaunošanas informāciju.
  • Galvenais: nenovietojiet atgūšanas informāciju vietā, kur tai var piekļūt pārkāpējs.

11. Vai WordPress automātiskā atjaunināšana ir ieslēgta vai ne?

WordPress dokumentācijaPaskaidrojiet, ka automātiskais fona atjaunināšanas mehānisms ir paredzēts drošības uzlabošanai un ir ieslēgts pēc noklusējuma lielākajā daļā vietņu, un ka var konfigurēt dažādu veidu atjaunināšanas politikas.
Ieteikums:

  • Drošības un maznozīmīgu versiju atjauninājumi: parasti tiek automatizēti (samazina laiku, kas nepieciešams zināmu ievainojamību atklāšanai).
  • Lielas versijas/kritiski spraudņu atjauninājumi: pirms virzības uz priekšu apvienojiet dublējuma atiestatīšanas punktus ar testa procesu (vismaz, lai varētu atiestatīt).

12. Kāds ir pirmais solis, ja man ir aizdomas, ka tīmekļa vietne ir uzlauzta?

Pareiza kārtība (lai neradītu lielāku haosu):

  1. Vispirms apstādiniet asiņošanu.: Pagaidu ierobežošana fona pieteikšanās, aizdomīgu funkciju apturēšana un uzturēšanas lapu atvēršana, ja nepieciešams.
  2. Pierādījumu saglabāšana un atgūšanas punkti vispirms: Nekavējoties izveidojiet pašreizējā stāvokļa rezerves kopiju (analīzei) un vienlaikus sagatavojiet tīru atiestatīšanas punktu.
  3. Atgriešanās/attīrīšana: Atjaunošanu prioritārā kārtā veiciet zināmā tīrā laikā vai izmantojiet profesionālu attīrīšanas pakalpojumu (Sucuri u.c., uzsverot ļaunprātīgu tīrīšanu un nepārtrauktu aizsardzību).
  4. aizlāpīt caurumu: atjaunināt kodolu/plugīnus/tēmas, atiestatīt paroles un atslēgas, ieslēgt 2FA, noņemt aizdomīgus kontus un spraudņus.

13. Es nodrošinu drošību un dublēšanu, kāpēc man ir nepieciešams monitorings?

Jo “agrīna atklāšana” samazina zaudējumus.
Dīkstāves, sertifikātu derīguma termiņa beigas, neparasta datplūsma, neparasti pieteikumi, neparasti pasūtījumi - visas šīs problēmas ir “jo ātrāk uzzināsiet, jo labāk”.