Оптимизацијата на перформансите се занимава со прашањето “побрзо”, но вистинската суштина за веб-страниците се сведува на две работи:

  • БезбедностИзбегнувајте инциденти по секоја цена (не дозволувајте да бидете хакирани, не дозволувајте да бидете заразени со малвер, не станувајте жртва на напади со полнење на кориснички податоци, не трпете напади со брутфорс на API, не дозволувајте да се манипулира со вашите податоци).
  • Резервна копијаДури и ако нешто тргне наопаку, можете брзо да се опоравите (случајно бришење, неуспешни надградби, дефекти на серверот, враќање во претходна состојба по ransomware/упад).

Следните две прашања се комплементарни една на друга:

  • Фокусирањето исклучиво на безбедноста без спроведување резервни копии може сепак да резултира со целосен губиток на податоци преку ноќ кога ќе се појават непредвидени проблеми.“
  • Ако се фокусирате исклучиво на резервни копии без да ја приоритетизирате безбедноста, ќе се најдете во циклус на “дневни напади и дневно опоравување”, каде што и времето и трошоците излегуваат од контрола.

Откако ќе го прочитате ова, треба да можете да:

  • Да се разбере точно што треба да опфати “Резервно копирање и безбедност” (за да се избегне купување на погрешен производ, неправилна инсталација или претпоставка дека самата инсталација гарантира целосна заштита)
  • Изберете соодветно решение врз основа на типот на сајтот (сајт со содржина/корпоративен сајт/е-трговија/сајт за членство)
  • Воведете постепено според патот на дејствување (прво овозможете опоравување, потоа постигнете контрола, и на крај воспоставете систематска рамка)
  • Може да се провери со помош на листата за самопроверка: БекапНавистина обновувачкиБезбедностНавистина постои линија
  • Знајте каде да започнете со отстранување на проблеми кога ќе се појават (неуспеси при резервно копирање, неуспеси при враќање, сомнителни компромитирања итн.)

1. Цел: Она што ви е потребно е “систем што може да се врати во првобитна состојба”, а не само “инсталирање на додаток”.”

Резервните копии не се прашање дали постојат резервни датотеки или не.“

Наместо тоа:Можете ли да ја вратите веб-страницата во посакуваната состојба секогаш кога ви е потребно?

Затоа, клучните индикатори за резервни копии не се само “инсталиран додаток за резервни копии”, туку овие две точки:

  • Прифатлив прозорец за загуба на податоци (RPO)Кој е максималниот период на губење на податоци што би можеле да го толерирате во најлош случај?
    Пример: За сајтови со содржина, губењето на статии за 24 часа може да биде сè уште толерантно; за платформи за е-трговија, губењето на нарачки за 30 минути е многу проблематично.
  • Прифатлив објектив за време на опоравување (RTO)Колку брзо по инцидентот би сакале да ги продолжите операциите?
    Пример: Корпоративните веб-страници може да бараат обновување во рок од еден час; платформите за е-трговија бараат обновување во рок од 10–30 минути.

Не е потребно да ги изразувате овие метрики како формули, туку да ги користите за да определите:Честота на резервни копии, период на задржување, барање за резервни копии во реално време/инкрементални резервни копии, барање за обновување со еден клик/обновување надвор од локацијата

2. Брзо одредете ја стратегијата според типот на сајт (прво утврдете ја насоката, потоа изберете ги алатките)

Стратешки препораки:

A. Сајт со содржина / Блог

  • Честота на ажурирање: Обично “дневни/неделни ажурирања”
  • Препорачана фреквенција на резервни копии:секој денНаправете резервна копија на базата на податоци и на wp-content (uploads/themes/plugins)
  • Целта на обновувањето: обновување на која било верзија од вчера или денес е прифатливо (клучно е да не се изгубат статиите и медиумската библиотека).

B. Корпоративна веб-страница / маркетинг веб-страница (водечките преку формулари се клучни)

  • Честота на промена: не мора да биде висока, но формите/лидовите се клучни.
  • Препорачана фреквенција на резервни копии: најмалкусекој дени да се осигура дека податоците од формуларот не се наоѓаат исклучиво на една локација, како што се е-пошта или CRM системи.“
  • Целта на обновувањето е да овозможи брзо враќање во претходна состојба кога ќе се појават проблеми при ажурирања, редизајни или при имплементација на скрипти за следење.

C. Сајт за е-трговија (WooCommerce)

  • Честота на промени: Нарачки/инвентар/поведение на корисниците се случуваат континуирано
  • Препорачана фреквенција на резервни копии: Првостепено разгледувањеповисока фреквенција(часовно, или дури во реално/речиси реално време), барем заштитата на базата на податоци мора да биде робусна.
  • Целта на обновувањето: Минимизирање на загубата на податоци за нарачки; овозможување брзо обновување на патеките за обработка на плаќања/нарачки.

D. Членски портал / Портал за курс / Заедница

  • Честота на промени: напредок на корисникот, дозволи, отклучување на содржина, податоци за интеракција
  • Препорачана фреквенција на резервни копии: базите на податоци бараат поголема фреквенција; истовремено, точките за опоравување мора да бидат специфични за одреден временски момент.
  • Цели на обновување: Податоците на корисникот остануваат недопрени, дозволите се зачувуваат и содржината не е изменета.

3. План за резервно копирање (Се препорачува да се продолжи во овие три фази)

Клучни точки:Прво воспоставете ја способноста за опоравување, потоа дискутирајте за автоматизација и систематизација.

Фаза 1: Прво постигнете “автоматски резервни копии + складирање надвор од локацијата”

Ова е апсолутниот минимален услов. Без оглед на алатките што ги користите, тие мора да ги исполнуваат следниве критериуми:

  • АвтоматизацијаНе се потпирајте на “Се сеќавам дека кликнав рачно”.”
  • Складирање надвор од локацијатаНе ги чувај резервните копии само на истиот сервер.
    Причината е прилично едноставна: ако серверот падне, дискот откаже или вашата сметка биде компромитирана и базата на податоци избришана, вашиот “локален бекап” може да исчезне заедно со неа.

Типични имплементации на алатката вклучуваат:

  • Плугинот за резервни копии ги испраќа резервните копии во облачно складиште/објектно складиште/FTP.АпдрафтПлус (Експлицитно поддржува разновидни дестинации, вклучувајќи ги Dropbox, Google Drive и Amazon S3)
  • Услугите за резервни копии во облак ги чуваат резервните копии во својата облачна инфраструктура и овозможуваат обновување со еден клик.Jetpack VaultPress резервна копија (Се фокусира на резервна копија во облак и обновување со еден клик, но бара платен план што вклучува резервна копија)

Фаза 2: Надградба на резервната копија во “систем што може да се врати”

Многу веб-страници навистина се рушат не затоа што им недостасуваат резервни копии, туку затоа што:

  • Резервното копирање е нецелосно (само базата на податоци е зачуваната, а не и прикачувањата/темите/плагините)
  • Резервната датотека е оштетена/погрешни дозволи
  • Само кога беше потребно опоравување, стана очигледно дека процесот на опоравување е суштински нефункционален.“

Затоа, целта на Фаза 2 е:Периодично спроведувајте вежба за опоравување.(Дури и при обновување во тест-околина/привремена папка), проверете ги следниве точки:

  • Базата на податоци може да се врати.
  • Медијската библиотека може да се врати.wp-content/uploads/
  • Темите/приклучоците може да се вратат.wp-content/themes/wp-content/plugins/
  • По обновувањето, сајтот треба да биде достапен, бекендот треба да овозможи нормално најавување, а основните функционалности треба да работат правилно (сајтовите за е-трговија мора да ги тестираат процесите на нарачување/плаќање; сајтовите за членство мора да ги проверат системите за најавување/дозволи).

Токму затоа многу комерцијални решенија за резервни копии ги нагласуваат функциите како “обновување со еден клик”, “обновување на ниво на минута” и “инкрементални резервни копии за намалување на оптоварувањето”. На пример, Блогволт Описот на додатокот ги нагласува автоматските, инкрементални резервни копии (вклучувајќи бази на податоци, теми, додатоци и медиуми) и обезбедува функционалност за стагирање/миграција.Менаџирај WP Исто така, ја нагласува употребата на технологија за инкрементално резервно копирање за намалување на оптоварувањето, додека овозможува обновување со еден клик.

Фаза 3: Поврзување на резервните копии со “Процесот на ажурирање/издавање” (Точка за враќање)

Во оваа фаза, вашата цел е:Точка за враќање е достапна пред секоја поголема промена.

Типични сценарија вклучуваат:

  • Голема надградба на основната верзија на WordPress
  • Промена на тема/Голема ревизија на шаблонот
  • Инсталирање или замена на клучни приклучоци (системи за плаќање во е-трговија, системи за членство, системи за формулари)
  • Масовно заменување на слики/Миграција на содржина на голема скала

Значењето на Фаза 3 е следново: не треба да се надевате дека промените ќе поминат без проблеми, туку треба да можете брзо да се вратите во “моментот пред промените” доколку тие се покажат проблематични.

4. Што точно треба да се резервира? (Многу луѓе ги занемаруваат овие клучни точки)

Основно 1: База на податоци (каде што се чуваат нарачките, корисниците, содржината и поставките)

  • Статии, страници, коментари
  • Корисници, Дозволи
  • WooCommerce нарачки, залихи и ваучери
  • Конфигурација на додатокот (опширни поставки зачувани во базата на податоци)

Суштинско 2: wp-content (Ова претставува најголемиот дел од “видливите ресурси” на WordPress-страницата)

  • uploadsСлики, прилози, медијска библиотека (најлесно “заборавените” ставки за резервна копија)
  • themesТематски датотеки (прилагоден код/шаблони)
  • pluginsДатотеки на додатоците (некои додатоци може да пишуваат и во прилагодени датотеки)

Каде што е применливо: информации за конфигурацијата и за средината на извршување

Не ги занемарувајте разликите во животната средина:

  • Разликите во верзиите помеѓу PHP може да предизвикаат грешки по опоравувањето.
  • Разлики во специфични компоненти за проширување/кеширање може да резултираат со различно однесување.
  • Обратен прокси / CDN / Правилата за безбедност може да влијаат на интерфејсите за најава и за задниот крај

Обновувањето вклучува не само враќање на датотеките на нивната оригинална локација, туку и обезбедување дека оперативната средина и конфигурацијата се способни да ја поддржат нивната извршност.

5. Избор на решение за резервна копија

Тип А: Закажани резервни копии со приклучок (Погодно како почетна точка за повеќето веб-страници)

Карактеристики: ниски трошоци, контролирано, брзо распоредување; сепак, бара темелна имплементација на “надворешно складирање + вежби за опоравување”.

Типични алатки:

  • АпдрафтПлусСе фокусира на закажани резервни копии и враќање на задачи и експлицитно поддржува различни дестинации за резервни копии (Dropbox, OneDrive, Google Drive, Amazon S3, FTP, е-пошта итн.) на страницата со додатоци.
    Погодно за: сајтови со содржина/корпоративни веб-страници што штотуку започнуваат; и сајтови кои сакаат да направат резервна копија на сопствено складиште под нивна контрола.
  • WPvivid Бекап и МиграцијаСтраницата на додатокот ги нагласува резервното копирање, миграцијата и поставувањето (каде што може да се создаде средина за поставување во поддиректориум за тестирање на промени).
    Погодно за: оние кои често мигрираат веб-страници или имаат потреба од привремено тестирање на измени.
  • ДупликаторСтраницата на додатокот ја нагласува резервното копирање, пакувањето, миграцијата и клонирањето на сајтови на нови хостови или нови домени.
    Погодно за: мигрирање, реплицирање на веб-страници, поставување тест-окружувања и создавање преносливи пакети со веб-страници.

UpdraftPlus е повеќе насочен кон “започнување со резервни системи”.”

WPvivid/Duplicator е одличен за миграција, пакување и репликација, иако може да врши и резервни копии.

Тип Б: Облачен резервен копија/резервна копија во речиси реално време (погодно за сајтови со зголемена чувствителност кон податоците и времето на опоравување)

Карактеристики: Нагласува “заштита при секоја промена/чести промени” и “обновување со еден клик”, функционирајќи повеќе како пакет услуги.

Типични алатки:

  • Jetpack VaultPress резервна копија (Jetpack Backup)Страницата на додатокот ги истакнува резервните копии во облак и обновувањето со еден клик, и јасно наведува дека платениот Jetpack план мора да вклучува Backup, којОфицијалната страница за претплата исто така нагласува“Зачувајте секоја промена и со еден клик вратете ја во употреблива состојба.
    Погодно за: сајтови за е-трговија/членство, или за оние чувствителни на брзината на опоравување, или за оние кои сакаат да ги префрлат операциите за резервни копии на зрел давател на услуги.
  • БлогволтОписот на додатокот експлицитно вклучува “автоматски, безбедни, инкрементални резервни копии (база на податоци, теми, додатоци, медиуми)” и вклучува вградени можности за staging и миграција.
    Погодно за: Сајтови кои “резервна копија + тестирање + миграција” ги третираат како еден интегриран работен процес.
  • Менаџирај WPЈа нагласува технологијата за инкрементално резервно копирање за намалување на оптоварувањето на серверот и овозможува обновување со еден клик.
    Погодно за: лица кои управуваат со повеќе локации (студија/тимови) и сакаат централно да извршуваат резервни копии, ажурирања и мониторинг преку една контролна табла.

Тип C: Снимки на домаќинот/автоматски резервни копии (силно се препорачува како “втора линија на одбрана”)

Вредноста на резервните копии на хостот: Тие често се “слики на системот на ниво”, нудејќи пошироко покритие (вклучувајќи бази на податоци и датотеки, па дури и состојбата на одредени слоеви на околината).

Вообичаени заблуди:

  • Локален резервен копија ≠ пренослива резервна копијаКога ќе го промените провајдерот на хостинг или ќе треба да ги понесете вашите резервни копии со себе, системот за резервни копии на хостот може да не биде погоден.
  • Резервните копии на додатоците исто така се преносливи.Резервните копии се наоѓаат во складиште што го контролирате, овозможувајќи поголема флексибилност за опоравување низ различни средини.

Затоа, најстабилната комбинација обично е:

Резервна копија на домаќин (основно резервно решение) + резервна копија со приклучок/во облак (миграција на апликациски слој + грануларни точки за враќање)

6. Патна карта за безбедност (Започнувајќи со најефикасните основни мерки, без да се потпира на додатоци)

Не инсталирајте веднаш десет безбедносни додатоци; правилниот пристап е да воспоставите одбрана во слоеви:

Фаза 1: Сметки и дозволи (најголем принос, најбрзи резултати)

Во оваа фаза, вашата задача е да ги направите најчестите влезни точки потешки:

  • Сметки на администратори минимизирани: доделени само на оние на кои им се потребни
  • Политика за силни лозинки: Не повторувајте ги лозинките; не користете слаби лозинки.
  • Двофакторска автентикација (2FA)Ова е едно од најефективните подобрувања во ерата на полнење на акредитиви и протекување на лозинки.
    На пример Цврста безбедност Страницата на додатокот експлицитно поддржува повеќе 2FA методи (Authy, Google Authenticator, е-пошта, резервни кодови итн.).
  • Заштита при најавување: Ограничете брутфорс обиди и спречете преплавување при најавување.
  • Оневозможете/избришете ги неактивните сметки; Отстранете (не само деактивирајте) неактивните теми/приклучоци.

Фаза 2: Ажурирања и управување со изложеноста на ранливости (Не оставајте ризици во застарените верзии)

Значителен број компромитирања на WordPress произлегуваат од застарени додатоци/теми/јадро кои содржат јавно објавени ранливости.

Затоа, во рамките на безбедносната стратегија, “ажурирањето” е еден од клучните елементи.
Документацијата на WordPress наведува: Во WordPress 3.7 беше воведен автоматски механизам за ажурирање на бекендот за да се подобри безбедноста. Таа објаснува дека автоматските ажурирања се овозможени по подразбирање за повеќето сајтови, и од 5.6 Новите сајтови автоматски ќе бидат овозможени при започнувањето.Стратегии за ажурирање на главни и споредни верзии, итн.

Принципи:

  • Јадрото/темата/приклучоците мора да имаат јасна стратегија за ажурирање (автоматска/полуавтоматска/рачна ревизија).
  • Осигурајте постоење точка за враќање пред големи ажурирања (погледнете го Делот 3, “Фаза 3 на резервно копирање”)
  • Плугините кои повеќе не се одржуваат треба да се заменат што е можно поскоро (ова е најдиректниот начин за намалување на површината на напад).

Фаза 3: Заштита и откривање (Правење на нападите потешки за успех, овозможувајќи порано откривање на аномалии)

Во оваа фаза, она што треба да го направите е да изградите по-систематска одбрана:

  • Пожарен ѕид/WAF (блокира дел од непотребниот сообраќај пред барањата да стигнат до WordPress)
  • Скенирање на злонамерен код, следење на интегритетот на датотеки
  • Безбедносни логови и предупредувања: ненормални најавувања, промени на дозволи, измени на датотеки
  • Мониторинг: Мониторинг на прекини во работата, истекување на сертификати, ненормални 5xx грешки, ненормални скокови на сообраќајот

Типични алатки:

  • ВордфенсСтраницата на додатокот експлицитно ги вклучува функциите за заштитен ѕид, скенирање на малвер и безбедност при најавување, при што се наведува дека премиум корисниците добиваат ажурирања во реално време за правилата на заштитниот ѕид и сигнатурите за малвер, додека бесплатната верзија доживува 30-дневно задоцнување.
    Препорака: Бесплатната верзија може значително да ја подобри основната безбедност, но ако вашата страница се соочува со поголеми ризици или повеќе се потпира на најновата разузнавачка информација за закани, треба да ги разберете импликациите од ова задоцнување на ажурирањето.
  • Патчстек(Пристап за виртуелно закрпување/заштита од ранливости)Неговата официјална веб-страница нагласува заштита на сајтовите од ранливи додатоци и теми преку виртуелно закрпување.ПатчстекБесплатната верзија обезбедува известувања за ранливости, додека платената верзија нуди автоматизирана заштита од ранливости, меѓу другите функции.
  • Сукури(Чистење и безбедност на услугата)Страницата за услуги ги нагласува способностите на Sucuri за отстранување на малвер и континуирано скенирање/блокирање на идни упади.

7. Откривање на ризик

Вообичаени замки во операциите за резервно копирање

  1. Резервните копии се чуваат само на самиот сервер.
    Кога серверот не функционира, често се губат и локалните резервни копии.
  2. Правете резервна копија само на базата на податоци, а не на wp-content.
    По враќањето, може да забележите: статиите се зачувани, но сликите недостасуваат; прилагодувањата на темата се изгубени; или датотеките на додатоците се неконзистентни, што доведува до грешки.
  3. Никогаш не спроведувајте вежби за опоравување
    Само во критичниот момент откривме дека опоравувањето не успеало, резервната копија била оштетена или недостасувале клучни датотеки.
  4. Честотата на резервни копии не е усогласена со деловните барања.
    За е-трговија/членски сајтови, ако резервните копии се прават само еднаш дневно, во најлош случај може да се изгубат податоците за нарачки/поведение на корисниците за еден ден. Потенцијалните трошоци од оваа загуба може значително да ги надминат трошоците за имплементација на решение за резервни копии.

Вообичаени замки во безбедносни апликации со висока фреквенција

  1. Инсталирани се безбедносни додатоци, но не беа ажурирани подолго време.
    Безбедносните додатоци не се замена за ажурирањата. Старите ранливости остануваат, а ризикот продолжува.
  2. Премногу администраторски сметки/споделени сметки
    Неконтролирани права на пристап, тешко проследливи записи и значителни ризици при предавање на должностите меѓу вработените.
  3. мислејќи дека “штом ќе го инсталирате WAF/CDN, сте апсолутно безбедни”
    WAF може да блокира многу вообичаени напади, но не може да ги реши проблемите како што се слаби лозинки, застарени ранливости или скриени додатоци (backdoor-плагини). Најсигурен пристап е да се имплементираат повеќеслојни системи за одбрана.
  4. Натрупувањето на повеќе безбедносни додатоци не само што предизвикува конфликти, туку и го забавува сајтот.
    Безбедносните политики треба да дадат приоритет на “помалку, но критични” мерки: двофакторска автентикација (2FA) + ажурирање на политики + заштитни ѕидови/скенирање + известувања; наместо на принципот “колку повеќе инсталирате, толку сте побезбедни”.

8. Листа за проверка

Верификација на резервна копија (Ако овие 8 точки не успеат, не тврдете “Имам резервна копија”)

  • Овозможете автоматски резервни копии (не рачни)
  • Дали резервната копија вклучува базата на податоци и wp-content (uploads/themes/plugins)?
  • Дали резервните копии се чуваат надвор од локацијата (во облак/објектно складирање/на посветен сервер)?
  • Дали постои дефинирана политика за задржување (на пр., 7/30/90 дена)?
  • Дали најновиот резервен копија беше успешна (не само “закажана да постои”)?
  • Кога беше спроведена последната вежба за опоравување од катастрофа? Дали беше успешна?
  • Дали ќе се генерира дополнителна точка за враќање пред големата надградба?
  • Дали критичниот пат е достапен по обновувањето (најава, формулари, дозволи за е-трговија/членство итн.)?

Верификација на безбедноста (прво поставување цврсти темели)

  • Дали администраторските сметки се минимизираат? Дали постои механизам за бришење на сметките при заминување?
  • Овозможи двофакторска автентикација(Барем администратори/уредници/менаџери на продавници и други улоги со високи привилегии)
  • Дали постои јасенПолитика за ажурирање(Јадро/Тема/Плугин)
  • Дали неискористените додатоци/теми треба да се избришат (а не само да се деактивираат)?
  • Дали постои заштитен ѕид/заштита при најавување/злонамерно скенирање?Вордфенс (кој може да покрие дел од него)
  • Дали постои пристап за предупредување за ранливости/виртуелно закрпување?Патчстек итн.)
  • Дали има некои предупредувања (сомнителни најавувања, измени на датотеки, падови на системот, истекување на сертификати)?
  • Дали постои план за итен одговор: што треба да се направи како прв чекор кога е хакиран или нарушен?

Често поставувани прашања

1. Дали вградената резервна копија на хостот е доволна?

Општо земено, не е препорачливо да се потпирате исклучиво на еден извор.
Хост-бекапите се робусни, но не мора да овозможуваат “правење, мигрирање или извршување на грануларни враќања”. Повеќе сигурен пристап е:Host резервното копирање обезбедува основно заштитување + резервното копирање на додатоци/облак овозможува преносливи и контролирани точки за враќање

2. Колку често треба да правам резервна копија?

Врз основа на стапката на промена на податоците:

  • Сајт со содржина: Обично е доволно за секојдневна употреба.
  • Корпоративна веб-страница: секојдневно (особено кога се генерираат формуларски потенцијални клиенти), и да се потврди дека потенцијалните клиенти постојат не само на самата страница.
  • Е-трговија/Членство: Се препорачува да се усвои поголема фреквенција (часовно или дури речиси во реално време), бидејќи вредноста на податоците за нарачки/корисници е значително поголема.

3. Колку долго треба да се чуваат резервните копии?

Во зависност од содржината и барањата за усогласеност, може да се усвои овој пристап:

  • Задржете најмалку 7–30 дена за рутинско враќање.
  • Ако сте загрижени за “инфилтрација преку заден влез/хронично манипулирање”, задржувањето на податоците подолго време (на пр. 90 дена) би било покорисно, овозможувајќи ви да се вратите на претходна чиста верзија.

4. Дали UpdraftPlus, WPvivid и Duplicator се иста работа?

Сите тие можат да прават резервни копии, но нивниот фокус се разликува:

  • АпдрафтПлус Почесто, ова вклучува “закажани резервни копии на задачи во комбинација со складирање и обновување на повеќе цели”.”
  • WPvivid Нагласете ги можностите за тестирање на резервни копии, миграција и стадирање.
  • Дупликатор Многу силно при “пакување/мигрирање/клонирање на сајтови”

Ако изберете по “тип”, нема да се збуните од имињата.

5. Зошто Jetpack Backup е платена услуга? Кога е соодветна?

Бидејќи во суштина е повеќе слично на “услуга за резервна копија во облак” — со акцент на складирање во облак и обновување со еден клик — страницата на додатокот мора експлицитно да вклучи Платените планови на BackupОфицијалната страница за претплата нагласува зачувување на секоја промена и овозможување брзо обновување со еден клик.
Погодно за: Оние кои се поосетливи на брзината на опоравување и сакаат да ги доверат операциите за резервно копирање на зрела услуга.

6. Кое е значењето на “постепени резервни копии” како BlogVault или ManageWP?

Основната начело на инкременталните резервни копии е:Правете резервна копија само на изменетите деловинамалување на оптоварувањето на серверот при генерирање точки за опоравување со поголема фреквенција.

  • Плугин на BlogVaultДокументацијата ги нагласува автоматските, инкрементални резервни копии кои ги препишуваат базите на податоци, темите, додатоците и медиумите, а истовремено вклучува можности за стагирање и миграција.
  • Менаџирај WP Исто така, се нагласува дека технологијата за инкрементално резервно копирање го намалува оптоварувањето и овозможува обновување со еден клик.

Погодно за: големи сајтови, повеќе медиуми, чести ажурирања или ако управувате со неколку сајтови.

7. Дали е доволно еден безбедносен додаток?

За повеќето веб-страници, користењето на еден основен безбедносен приклучок и правилно спроведување на основните безбедносни политики обично е поефикасно отколку неконтролирано инсталирање на повеќе приклучоци.
На пример Вордфенс Опфаќајќи ги основните можности како заштита со заштитен ѕид, скенирање и безбедност при најавување; во комбинација со двофакторска автентикација(Solid Security нуди повеќе методи), што може значително да ја зголеми цената на нападот.

8. Дали бесплатната верзија на Wordfence е добра? Зошто некои луѓе велат дека треба да се надгради на Premium?

Страница на додатокот WordfenceЗабелешка: Премиум обезбедува ажурирања на правилата на заштитниот ѕид и потписите за малвер во реално време, додека бесплатната верзија има 30-дневно задоцнување.
Дали е потребен Премиум зависи од вашата толеранција на ризик:

  • Сајтови со низок ризик: бесплатната верзија + навремени ажурирања + двофакторска автентикација (2FA) обично се многу корисни.
  • Поголем ризик или поголема зависност од “најновите информации за закани”: бара разбирање на потенцијалниот прозорец на ранливост што произлегува од “задоцнувањата при ажурирањата”.

9. Што точно решава ова решение “виртуелен закрп” од Patchstack?

Пристапот е да се блокираат познатите ранливости на слојот на апликацијата со правила пред да бидат искористени ранливостите на приклучоците/темите (или пред закрпите да бидат целосно имплементирани).Официјална веб-страница на PatchstackГо нагласува виртуелното закрпување за заштита на ранливи додатоци/теми, со објаснување на разликите помеѓу бесплатните и платените опции во однос на известувањата и автоматизираната заштита.
Ова не е замена за ажурирања, туку мерка за ублажување на ризиците поврзани со “прозорецот за закрпи”.

10. Дали овозможувањето двофакторска автентикација ќе ме заклучи надвор?

Ви препорачуваме да се подготвите однапред:

  • Резервен код/метод за опоравувањеЦврста безбедност (Исто така се спомнуваат шеми како што се кодовите backup)
  • Осигурајте да е назначен барем еден “администратор за итни случаи” и дека информациите за опоравување се безбедно зачувани.
  • Клучната поента е: не чувајте информации за опоравување на иста локација која може да биде компромитирана.

11. Дали треба да се овозможат автоматските ажурирања на WordPress?

Документација на WordPressМеханизмот за автоматско ажурирање на позадината е дизајниран да ја подобри безбедноста и е овозможен по подразбирање за повеќето сајтови, со конфигурирани политики за ажурирање за различни типови.
Препорака:

  • Безбедносни и малверзиски ажурирања: автоматски овозможени (за да се минимизира времето на изложеност на познати ранливости)
  • Голема верзија/критични ажурирања на додатоци: Продолжете само откако ќе ги интегрирате точките за враќање на резервни копии и процедурите за тестирање (мора да овозможите барем можност за враќање).

12. Ако се сомневам дека мојот веб-сајт е компромитиран, што треба прво да направам?

Точна низа (за да не се влоши состојбата):

  1. Прво запрете го крвавењетоПривремено ограничете го пристапот за најавување во бекендот, суспендирајте ги сомнителните функции и активирајте ја страницата за одржување кога е потребно.
  2. Прво, зачувајте ги доказите и вратете го системот.Веднаш направете резервна копија на тековната состојба (за целите на анализа), додека истовремено подготвувате чиста точка за враќање.
  3. Поништување/ЧистењеДајте приоритет на враќање на позната чиста временска точка или користете професионална услуга за чистење.Сукури (нагласувајќи го злонамерното чистење наспроти континуираната заштита)
  4. Пополнување на празниниАжурирајте ги core/plugins/themes, ресетирајте ги лозинките и тајните клучеви, овозможете двофакторска автентикација и отстранете ги сомнителните сметки и додатоци.

13. Имплементирав безбедносни мерки и резервни копии, па зошто сè уште е потребно мониторирање?

Бидејќи раното откривање може да го минимизира штетата.
Прекини во работењето на системот, истечени сертификати, ненормален сообраќај, сомнителни најавувања, аномалии во нарачките — токму овие прашања раното откривање ги штеди од значителни проблеми.