Гүйцэтгэлийг оновчлох гэдэг нь бүхнийг “илүү хурдан” болгох тухай боловч вэбсайтын хувьд үнэхээр чухал хоёр хүчин зүйл байдаг:

  • Аюулгүй байдалЯмар ч тохиолдол гарахаас сэргийлэхийг хичээ (хакераар халдлагад өртөхгүй, хортой программ авахгүй, нэвтрэх мэдээллийг урьдчилан цуглуулсан халдлагад өртөхгүй, API-д спам илгээхгүй, засварлагдахгүй)
  • НөөцлөлтХэрвээ ямар нэгэн зүйл буруугаар болсон ч та хурдан сэргэж чадна (санамсаргүй устгалт, шинэчлэлт амжилтгүй болсон, серверийн доголдлоос үүдсэн алдаа, хохирогчлогч халдлага эсвэл зөрчил дараах буцаалт)

Дараах хоёр асуудал бие биенээ нөхдөг:

  • Хэрвээ та зөвхөн аюулгүй байдалд анхаарч, нөөцлөлтийг орхигдуулбал, ямар ч урьдчилан таамаглашгүй асуудал гарвал шөнө дотор л эхнээсээ эхлэх шаардлагатай болно.“
  • Хэрвээ та зөвхөн нөөцлөлтөд анхаарч, аюулгүй байдлыг үл тоомсорловол, та “байнга халдлагад өртөж, байнга сэргээх” мөчлөгт орж, цаг хугацаа, зардал хяналтаас гарч өсөх болно.

Үүний эцэст та дараахыг хийх чадвартай болно:

  • “Нөөцлөлт ба аюулгүй байдал” гэж яг юуг хэлдэг болохыг ойлго (буруу бүтээгдэхүүн худалдаж авч, буруу суулгах эсвэл зүгээр л суулгасан нь бүрэн хамгаалалт өгнө гэж таамаглахаас зайлсхийхийн тулд)
  • Вэбсайтын төрөл (агуулгын сайт/корпорацийн сайт/электрон худалдааны сайт/гишүүнчлэлийн сайт)-ийн дагуу тохирох шийдлийг сонгож чадна.
  • Замын зурагт нийцүүлэн үе шаттайгаар хэрэгжүүлж болно (эхлээд сэргээлт, дараа нь хяналт, эцэст нь системчлэл)
  • Та үүнийг өөрөө шалгах жагсаалтыг ашиглан баталгаажуулж болно: нөөцлөлтҮнэхээр сэргээж болдог., Аюулгүй байдалҮнэхээр хамгаалалтын шугам байдаг.
  • Асуудал үүсэх үед (нөөцлөлт бүтэлгүйтэх, сэргээх явцад алдаа гарах, хакердсан байж болзошгүй гэх мэт) хаанаас эхлэн алдаа оношлох, шийдвэрлэхээ мэдэж байх.

1. Зорилго: Танд хэрэгтэй зүйл бол “сэргээж болох систем”, зүгээр л “плагин суулгах” биш.”

Нөөцлөх гэдэг нь зөвхөн нөөц файл байгаа эсэхээс хамаарахгүй.“

Харин:Та вэбсайтыг хэрэгтэй үедээ хүссэн төлөвт нь сэргээж чадах уу?

Тиймээс амжилттай нөөцлөлтийн гол үзүүлэлтүүд нь зүгээр л “нөөцлөлтийн плагин суулгасан” байх биш, харин дараах хоёр зүйл юм:

  • Зөвшөөрөгдөх өгөгдөл алдагдлын цонх (RPO)Хамгийн муу нөхцөлд өгөгдөл алдагдалд хэр удаан хүлээн зөвшөөрөхөд бэлэн байх вэ?
    Жишээ нь: контент сайт 24 цагийн турш бичигдсэн нийтлэлүүдээ алдсан нь хүлээн зөвшөөрөгдөж болох ч цахим худалдааны сайт 30 минутын захиалгаа алдсан нь ноцтой асуудал юм.
  • Сэргээх хугацааны зорилтот (RTO)Тохиолдлын дараа хэр удалгүй дахин онлайн болохыг хүсч байна вэ?
    Жишээ нь: Корпорацийн вэбсайтууд нэг цагийн дотор сэргээх шаардлагатай байж болно; цахим худалдааны сайтууд 10–30 минутын дотор сэргээх шаардлагатай байж болно.

Эдгээр үзүүлэлтүүдийг томъёогоор бичих шаардлагагүй, гэхдээ шийдвэр гаргахад ашиглах хэрэгтэй:Нөөцлөлтийн давтамж, хадгалах хугацаа, бодит цагийн эсвэл нэмэлт нөөцлөлт шаардлагатай эсэх, нэг товшилтоор сэргээх эсвэл талбайгаас гадуур сэргээх шаардлагатай эсэх

2. Сайтын төрлөөс хамааран стратегиа хурдан тодорхойл (элект эхлээд чиглэлийг шийдэж, дараа нь хэрэгслүүдээ сонго)

Стратегийн зөвлөмжүүд:

A. Агуулгын сайт / Блог

  • Шинэчлэлтийн давтамж: ихэвчлэн “өдөр бүр” эсвэл 'долоо хоног бүр'
  • Санал болгож буй нөөцлөлтийн давтамж:өдөр бүрӨгөгдлийн сан болон wp-content (uploads/themes/plugins) фолдерыг нөөцлөх
  • Сэргээх зорилго: Бид өчигдрийн эсвэл өнөөдрийн хувилбар руу сэргээх боломжтой байх ёстой (гол нь ямар ч нийтлэл эсвэл медиа файлыг алдахгүй байх явдал юм).

B. Корпорацийн вэбсайтууд / Маркетингийн вэбсайтууд (бүртгэлийн маягтаар дамжуулан боломжит харилцагч олж авах нь чухал)

  • Өөрчлөлтийн давтамж: заавал өндөр биш ч хэлбэр, чиг хандлага нь чухал
  • Нөөцлөлтийн зөвлөмжит давтамж: өдөрт дор хаяж нэг удааөдөр бүр…мөн маягтын өгөгдөл зөвхөн нэг газарт, жишээлбэл имэйл эсвэл CRM-д хадгалагдахгүйг баталгаажуул“
  • Сэргээх зорилго: Шинэчлэлт, дахин загварчлал эсвэл хяналтын скрипт нэмэх явцад үүсэх аливаа асуудлын тохиолдолд хурдан хуучин байдалд нь буцаах боломжтой байх

C. Электрон худалдааны сайт (WooCommerce)

  • Өөрчлөлтийн давтамж: захиалгууд, барааны нөөцийн түвшин болон хэрэглэгчийн зан төлөв байнга өөрчлөгдөж байна
  • Санал болгож буй нөөцлөлтийн давтамж: Эрхэмлэхөндөр давтамж(цагийн хуваарийн дагуу эсвэл бодит цаг/бодит цагийн ойролцоо) өгөгдлийн сангийн хамгаалалт дор хаяж бат бөх байх ёстой
  • Сэргээх зорилтууд: өгөгдөл алдагдлыг хамгийн бага болгох; төлбөр болон захиалга өгөх үйл явцыг хурдан сэргээх

D. Гишүүний сайт / Курсийн сайт / Нийгэмлэг

  • Шинэчлэлтийн давтамж: хэрэглэгчийн ахиц, эрх, агуулга нээх, харилцан үйлчлэлийн өгөгдөл
  • Санал болгож буй нөөцлөлтийн давтамж: Өгөгдлийн сангуудыг илүү давтамжтай нөөцлөх ёстой; сэргээх цэгүүд нь цаг хугацааны тодорхой цэгт сэргээх боломжийг бас хангах ёстой.
  • Сэргээх зорилтууд: Хэрэглэгчийн өгөгдөл бүрэн бүтэн үлдэнэ, зөвшөөрлүүд хадгалагдана, агуулга өөрчлөгдөхгүй

3. Нөөц төлөвлөгөө (бид эдгээр гурван үе шатаар үргэлжлүүлэхийг зөвлөж байна)

Гол цэгүүд:Эхлээд “сэргээх” хэсгийг ажиллуулъя, дараа нь “автоматжуулалт ба системчлэлийн” тухай ярилцъя.

Шат 1: Эхлээд “автомат нөөцлөлт + талбайн гадна хадгалах” хэрэгжүүлнэ”

Энэ бол зайлшгүй хамгийн бага шаардлага юм. Ямар ч хэрэгсэл ашигласан бай хамаагүй, та дараах зүйлийг баталгаажуулах ёстой:

  • Автоматжуулалт: “Би гараар дарна гэж санаж байна” гэж битгий найд.”
  • Гадна талын агуулахНэг сервер дээр л нөөцлөлтийг битгий хадгал
    Шалтгаан нь энгийн: сервер гацаж, хатуу диск эвдэрч эсвэл таны данс руу халдаж мэдээллийн сан устгагдвал таны “орон нутгийн нөөц” ч мөн алдагдаж болно.

Энэхүү хэрэгслийн ерөнхий хэрэглээний жишээ нь:

  • Нөөцлөлтийн залгаас нөөцлөлтийг үүлэн хадгалах сан/объект хадгалах сан/FTP рүү илгээдэг (Агаар дээш татах хүч Plus (Энэ нь Dropbox, Google Drive болон Amazon S3 зэрэг төрөл бүрийн очих газруудыг ил тодоор дэмждэг)
  • Үүлэн нөөцлөлтийн үйлчилгээ нь нөөцлөлтүүдийг үүлэндээ хадгалдаг бөгөөд нэг товшилтоор сэргээх боломжийг санал болгодог (Жетпак ВалтПресс нөөцлөлт (Үүлэн нөөцлөлт болон нэг товшилтоор сэргээхэд төвлөрдөг, гэхдээ Backup-ийг багтаасан төлбөртэй төлөвлөгөө шаарддаг)

2-р үе шат: нөөцлөлтийг сэргээж болох систем болгон шинэчлэх“

Олон вэбсайт үнэхээр сүйрч унадаг нь нөөцлөгдөөгүйгээс биш, харин:

  • Нөөцлөлт дутуу хийгдсэн байна (зөвхөн өгөгдлийн сан нөөцлөгдсөн; харин байршуулсан файлууд, сэдвүүд болон залгаасууд ороогүй байна)
  • Нөөц файл эвдэрсэн/зөвшөөрөл буруу байна
  • Сэргээх ажиллагаа хийх шаардлагатай болсон үед л бид “сэргээх процесс зүгээр л ажиллахгүй” гэдгийг ойлгосон.”

Тиймээс хоёрдугаар шатны зорилго нь:Сэргээх дасгалыг тогтмол явуул(Шалгалтын орчин эсвэл түр хавтас руу сэргээсэн ч) дараах зүйлсийг шалгана уу:

  • Өгөгдлийн санг сэргээж болно.
  • Мэдээллийн сан сэргээгдэж болно (wp-content/uploads/
  • Тема/плагинуудыг сэргээж болно (wp-content/themes/wp-content/plugins/
  • Сэргээсний дараа сайт хандагдах боломжтой, админ самбар хандагдах боломжтой, гол функцууд зөв ажиллах ёстой (худалдааны сайтуудад захиалга өгөх, төлбөр хийх үйл явцыг; гишүүнчлэлийн сайтуудад нэвтрэх болон эрх олгох процессыг туршина).

Иймээс олон арилжааны нөөцлөлтийн шийдлүүд “нэг товшилтоор сэргээх”, “хэдхэн минутын дотор сэргээх” болон “ачааллыг бууруулах нэмэлт нөөцлөлт” зэрэгт онцгой анхаарал хандуулдаг. Жишээлбэл, БлогВолт Плагины тайлбар нь автомат, үе шаттай нөөцлөлт (мэдээллийн сан, сэдэв, плагин болон медиа файлуудыг багтаасан) онцлох ба стажинг болон шилжүүлэлтийн боломжуудыг санал болгодог.МэнажУП Мөн ачааллыг бууруулахын тулд шатлалт нөөцлөлтийн технологийн хэрэглээг онцолж, нэг товшилтоор сэргээх боломжийг олгодог.

3-р үе шат: Нөөцлөлтийг шинэчлэлт/гаргалтын үйл явцтай холбох (буцаах цэг)

Энэ шатанд таны зорилго нь:Бүх томоохон өөрчлөлтийн өмнө эргэн сэргээх цэг байдаг.

Ердийн нөхцөл байдлууд нь дараахыг багтаана:

  • WordPress-ийн үндсэн хувилбарын томоохон шинэчлэлт
  • Сэдэв солих/Шаблон шинэчлэх
  • Чухал плагинуудыг суулгах эсвэл солих (цахим худалдааны төлбөр, гишүүнчлэлийн систем, маягтын систем)
  • Зургуудыг багцаар солих / Их хэмжээний контент шилжүүлэх

3-р шатанд хүрэх гол зорилго нь өөрчлөлтүүд саадгүй явагдана гэж найдах шаардлагагүй; харин хэрвээ буруу болвол та өөрчлөлтүүдийн өмнөх байдалд хурдан эргүүлэн сэргээж чадна.

4. Яг ямар мэдээллийг нөөцлөх ёстой вэ? (Олон хүн эдгээр чухал зүйлсийг орхигдуулдаг)

Үндсэн 1: Өгөгдлийн сан (захиалгууд, хэрэглэгчид, агуулга болон тохиргоо бүгд энд хадгалагддаг)

  • Нийтлэлүүд, хуудаснууд, сэтгэгдлүүд
  • Хэрэглэгчид, эрхүүд
  • WooCommerce захиалгууд, бараа, купонууд
  • Плагины тохиргоо (олон тохиргоо өгөгдлийн санд хадгалагддаг)

Чухал 2: wp-content (энэ нь WordPress сайтын “ил харагдах элементүүдийн” ихэнхийг агуулдаг)

  • uploads: Зураг, хавсралтууд, медиа номын сан (хүмүүс хамгийн ихээр “нөөцлөхөө мартдаг” газрууд)
  • themes: Сэдвийн файлууд (захиалгат код/шаблон)
  • plugins: Нэмж суулгах файлууд (зарим нэмж суулгахад мөн өөрийн файлуудыг бичиж болно)

Хэрэв хамаарах тохиолдолд: Тохиргоо болон ажиллах орчны талаарх мэдээлэл

Орчны ялгааг бүү үл тоомсорло:

  • PHP-ийн хувилбаруудын хоорондох ялгаа сэргээсний дараа алдаа үүсгэж болно.
  • Тодорхой өргөтгөл эсвэл кэшийн бүрэлдэхүүн хэсгүүдийн ялгаа нь өөрөөр ажиллахад хүргэж болно.
  • Эргүүлэн прокси / CDN / Аюулгүй байдлын дүрэм нь нэвтрэх болон арын интерфэйсүүдэд нөлөөлж болно

Сэргээх ажил нь зөвхөн файлуудыг эргэн байрлуулах төдийгүй тэдгээрийн ажиллагааг дэмжих гүйцэтгэлийн орчин болон тохиргоог хангахыг ч багтаадаг.

5. Нөөцлөлтийн шийдвэрлэл сонгох

A төрөл: Плугин ашиглан товлосон нөөцлөлт (ихэнх вэбсайтуудад тохирох эхний шийдэл)

Онцлог: зардал бага, удирдахад хялбар, түргэн нэвтрүүлэх боломжтой; гэхдээ та “байрнаас гадуур хадгалах ба сэргээх дадлага сургалт”-ыг бүрэн хангасан байх ёстой.

Төлөөлөх хэрэгслүүд:

  • Агаар дээш татах хүч Plus: Товлосон даалгаврын нөөцлөлт, сэргээх үйлдлүүдэд төвлөрдөг бөгөөд плагины хуудсан дээр Dropbox, OneDrive, Google Drive, Amazon S3, FTP, имэйл гэх мэт төрөл бүрийн нөөцлөлтийн очих газруудыг ил тодоор дэмждэг.
    Тохиромжтой: агуулгад төвлөрсөн вэбсайтууд болон шинээр эхэлж буй корпорацийн вэбсайтууд; мөн нөөцлөлтөө өөрсдийн хяналттай хадгалах байранд хадгалахыг хүссэн сайтуудад.
  • WPvivid нөөцлөлт ба шилжилтПлагинуудын хуудас нь нөөцлөлт, шилжилт ба туршилтын орчныг онцолдог (та өөрчлөлтийг турших зориулалттай staging хавтас үүсгэж болно).
    Вэбсайтуудыг байнга шилжүүлдэг эсвэл өөрчлөлтийг түр хугацаанд турших шаардлагатай хүмүүст тохиромжтой.
  • ДавтагчПлагины хуудас нь сайтуудыг шинэ хост эсвэл домэйн рүү нөөцлөх, багцлах, шилжүүлэх, хуулбарлах (клонолох) үйлдлийг онцолдог.
    Тохиромжтой: вэбсайтуудыг шилжүүлэх, хуулбарлах, туршилтын сайт үүсгэх, “зөөврийн вэбсайтын багц” үүсгэхэд.

UpdraftPlus нь нөөцлөлтийн системийн хувьд илүү ихээр “анхны иж бүрдэл” юм.”

WPvivid/Duplicator нь “мөрийн шилжилт/багцлах/клонолох” тал дээр илүү хүчирхэг боловч нөөцлөлтөд ч ашиглаж болно.

B төрөл: Үүлэн нөөцлөлт/бодит цагийн ойролцоо нөөцлөлт (өгөгдөл болон сэргээх хугацаа чухал сайт/үйлчилгээнд илүү тохиромжтой)

Онцлог: “бүх өөрчлөлт/давтамтгай өөрчлөлтөөс хамгаалалт” болон “нэг товшилтоор сэргээх” боломжийг онцолсноор үүнийг илүү үйлчилгээтэй төстэй болгодог.

Төлөөлөх хэрэгслүүд:

  • Jetpack VaultPress нөөцлөлт (Jetpack Backup)Плагины хуудас нь үүлэн нөөцлөлт болон нэг товшилтоор сэргээх боломжийг онцолж, төлбөртэй Jetpack төлөвлөгөөнд Захиалгат нөөцлөлт (Backup) заавал багтах ёстойг тодорхой заасан, whichАлбан ёсны захиалгын хуудас бас онцолж байна“Өөрчлөлт бүрийг хадгалж, ганц товшилтоор хурдан ажиллах төлөвт нь сэргээх.
    Тохиромжтой: цахим худалдааны сайтууд, гишүүнчлэлд суурилсан сайтууд, сэргээх хурд чухал сайтууд, эсвэл нөөцлөлтийн үйл ажиллагааг нэр хүндтэй үйлчилгээ үзүүлэгчдэд даатгахыг хүсэгчдэд.
  • БлогВолтПлагины тайлбарт тодорхой зааснаар энэ нь “автомат, найдвартай, нэмэлтээр хийгддэг нөөцлөлт (мэдээллийн сан, сэдэв, плагин, медиа)”-г санал болгодог бөгөөд дотооддоо туршилтын орчин болон шилжүүлэлтийн боломжуудыг агуулдаг.
    Тохиромжтой: “нөөцлөлт + туршилт + шилжүүлэлт”-ийг нэг ажлын урсгал гэж үздэг сайтуудад.
  • МэнажУП: Нэмэлт өөрчлөлтийн нөөцлөлтийн технологийг онцлон харуулж, серверийн ачааллыг бууруулж, нэг товшилтоор сэргээх боломжийг олгодог.
    Олон сайт (студи/багууд)-ыг нэг хяналтын самбараас нөөцлөх, шинэчлэх, хянахыг хүссэн хүмүүст тохиромжтой.

C төрөл: Серверийн талын снэпшотууд/автомат нөөцлөлт (хоёр дахь хамгаалалтын шугам болгон хүчтэй зөвлөж байна)

Хостын нөөцлөлтийн үнэ цэнэ: ихэвчлэн систем түвшний снэпшотыг хэлдэг бөгөөд өргөн хүрээг хамардаг (мэдээллийн сан, файл болон орчны тодорхой хэсгүүдийн төлөвийг ч багтаасан).

Ерөнхий буруу ойлголтууд:

  • Сервер дээр суурилсан нөөцлөлт = зөөврийн нөөцлөлт бишХостинг үйлчилгээ үзүүлэгчээ солих эсвэл нөөцлөлтөө сэргээх шаардлагатай үед хостингийн нөөцлөлт үргэлж тохиромжтой байж чадахгүй.
  • Плагины нөөцлөлтүүд нь бас зөөврийн байдагНөөцлөлтийг таны хяналтад байдаг байршилд хадгалдаг тул янз бүрийн орчинд илүү уян хатан сэргээх боломжтой.

Тиймээс хамгийн тогтвортой хослол ихэвчлэн:

Хост дээр суурилсан нөөцлөлт (суурь хамгаалалт) + залгаасууд/үлэн тоон үүлэн нөөцлөлт (аппликейшн давхаргын шилжүүлэн ашиглах боломж + нарийвчилсан сэргээх цэгүүд)

6. Аюулгүй байдлын хөгжлийн замнал (олон төрлийн плагин ашиглахаас илүү үр дүнтэй суурь арга хэмжээнүүдээс эхлэн)

Аюулгүй байдлын тухайд шууд л “аравхан плагин суулгачих” гэж бүү бод; зөв арга бол хамгаалалтыг давхаргатайгаар байгуулах явдал юм:

Шат 1: Акаунтууд ба эрх (хамгийн их өгөөж, хамгийн хурдан үр дүн)

Энэ шатанд таны үүрэг бол хамгийн түгээмэл нэвтрэх цэгүүдийг ашиглахад илүү хэцүү болгох явдал юм:

  • Захирагчийн дансуудыг аль болох цөөн байлга: тэдгээрийг зөвхөн шаардлагатай хүмүүст олго.
  • Бат бөх нууц үгийн бодлого: Нууц үгсээ дахин бүү ашигла, сул нууц үгс бүү ашигла
  • 2FA (хоёр хүчин зүйлийн баталгаажуулалт)Энэ нь “мэдээллийг хуулах, нууц үг алдагдах” эринд хамгийн үр дүнтэй сайжруулалтуудын нэг юм.
    Жишээ нь Баталгаатай аюулгүй байдал Плагины хуудас нь Authy, Google Authenticator, имэйл, нэг удаагийн кодууд гэх мэт төрөл бүрийн 2FA аргыг ил тод дэмждэг.
  • Нэвтрэх хамгаалалт: хүчээр нэвтрэх оролдлогыг хязгаарлаж, нэвтрэх спам илгээхээс сэргийлнэ
  • Ашиглагдаагүй дансуудыг идэвхгүй болгох эсвэл устгах; ашиглагдахаа больсон сэдэв болон залгаасуудыг устгах (зөвхөн идэвхгүй болгох биш).

2-р үе шат: Шинэчлэлтүүд ба эмзэг байдлын талбайн менежмент (Хуучин хувилбаруудад эрсдэл үлдээхгүй)

WordPress-ийн олон тохиолдсон халдлага нь мэдэгдсэн эмзэг байдал бүхий хуучирсан залгаасууд, сэдвүүд болон үндсэн хувилбаруудаас үүдэлтэй.

Иймээс “шинэчлэлтүүд” нь аюулгүй байдлын бодлогын гол бүрэлдэхүүн хэсгүүдийн нэг юм.
WordPress-ийн баримт бичигт аюулгүй байдлыг сайжруулах үүднээс WordPress 3.7 хувилбарт автомат арын фон шинэчлэлтийн механизм нэвтрүүлсэн гэж дурдсан бөгөөд автомат шинэчлэлтүүд ихэнх сайтуудад анхнаасаа идэвхжүүлсэн байдаг, мөн 5.6 Энэ боломж шинэ сайт эхлүүлэхэд автоматаар идэвхжинэҮндсэн болон жижиг хувилбарын шинэчлэлтүүд болон бусадтай холбоотой бодлого

Үндсэн зарчмууд:

  • Үндсэн код, сэдэв болон залгаасууд нь тодорхой шинэчлэлтийн бодлоготой байх ёстой (автомат, хагас автомат эсвэл гараар шалгах)
  • Томоохон шинэчлэлтээс өмнө буцаах цэгтэй байгаагаа баталгаажуулна уу (3-р хэсэг, “Нөөцлөлтийн 3-р үе шат”-ыг үзнэ үү)
  • Цаашид хөгжүүлэлт хийгдэхгүй плагинуудыг аль болох хурдан солих ёстой (энэ нь халдлагын талбайг бууруулах хамгийн шууд арга юм)

3-р үе шат: Хамгаалалт ба илрүүлэлт (Довтолгоог амжилттай болгоход илүү хэцүү болгож, гаж үзэгдлийг илүү эрт илрүүлэх боломжийг олгох)

Энэ шатанд таны зорилго илүү системтэй хамгаалалт байгуулах явдал юм:

  • Галт хана/WAF (WordPress-д хүсэлтүүд ирэхээс өмнө зарим спам траффикийг хаадаг)
  • Муу санаат програм илрүүлэх, файлын бүрэн бүтэн байдлыг хянах
  • Аюулгүй байдлын бүртгэл ба сэрэмжлүүлэг: сэжигтэй нэвтрэлтүүд, эрхийн өөрчлөлтүүд, файлын өөрчлөлтүүд
  • Хяналт: зогсолтын хугацааны хяналт, гэрчилгээний хугацаа дуусах, 5xx алдаа, хэвийн бус траффикийн огцом өсөлт

Төлөөлөх хэрэгслүүд:

  • ВордфенсПлагинуудын хуудас нь гал хана, хортой програм илрүүлэх болон нэвтрэх аюулгүй байдлыг тодорхой хамардаг бөгөөд Premium хувилбар нь гал ханы дүрэм болон хортой програмын гарын үсгийн шинэчлэлтүүдийг бодит цаг хугацаанд авдаг бол үнэгүй хувилбар нь 30 хоногийн хоцролттой байдаг.
    Зөвлөмж: Үнэгүй хувилбар нь суурь аюулгүй байдлыг ихээхэн сайжруулж чадах ч, хэрэв таны сайт өндөр эрсдэлтэй эсвэл хамгийн сүүлийн үеийн аюулын тагнуулын мэдээлэлд илүү их найдаж байгаа бол шинэчлэлтийн хоцрогдол гэх энэ ялгааг анхаарах хэрэгтэй.
  • Патчстак(Виртуал нүх нөхөх/сул талыг хамгаалах арга)Түүний албан ёсны вэбсайт виртуал патчингийн тусламжтайгаар эмзэг плагин, сэдвүүдийн нөлөөллөөс вэбсайтуудыг хамгаалдаг гэдгийг онцолдог.Патчстак; мөн үнэ төлбөргүй хувилбар нь эмзэг байдлын сэрэмжлүүлэг өгдөг бол, төлбөртэй хувилбар нь автомат эмзэг байдлын хамгаалалт болон бусад боломжуудыг санал болгодог.
  • Сүкури(Цэвэр програмчлал болон үйлчилгээний чиглэлийн архитектурт аюулгүй байдал)Sucuri-ийн үйлчилгээний хуудас нь хортой програмыг устгах чадвар болон ирээдүйн халдлагыг тасралтгүй илрүүлж, хаах боломжийг онцолж харуулдаг.

7. Эрсдэлийн ил тод байдлын мэдэгдэл

Нөөцлөлттэй холбоотой нийтлэг алдаанууд

  1. Нөөцлөлтүүд зөвхөн сервер дээр хадгалагддаг
    Сервер унахад орон нутгийн нөөцлөлтүүд ихэвчлэн алдагддаг.
  2. Зөвхөн өгөгдлийн сан ашиглах боломжтой; wp-content хавтас ашиглах боломжгүй.
    Сэргээсний дараа та дараахыг анзаарах болно: бичлэгүүд хэвээр байгаа ч зургууд алга болсон; эсвэл сэдвийн тохиргоо алдагдсан; эсвэл залгаасуудын зөрчилтэй файлуудаас болж алдаа гарсан.
  3. Сэргээх дасгалуудыг хэзээ ч гүйцэтгэхгүй
    Зөвхөн шийдвэрлэх агшинд л сэргээлт бүтэлгүйтсэнийг, нөөцлөлт эвдэрснийг эсвэл чухал файлууд алга болсныг та ойлгодог.
  4. Нөөцлөлтийн давтамж нь бизнесийн шаардлагад нийцэхгүй байна.
    Хэрвээ цахим худалдааны эсвэл гишүүнчлэлийн сайт өдөрт зөвхөн нэг удаа нөөцлөгдөнө бол хамгийн муу тохиолдолд та нэг өдрийн захиалга болон хэрэглэгчийн үйлдлийн мэдээллийг алдаж, үүний зардал нь нөөцлөлтийн өртгөөс ч давж болно.

Аюулгүй байдлын нийтлэг алдаанууд

  1. Би аюулгүй байдлын залгаасыг суулгасан боловч удаан хугацаанд шинэчлээгүй байна.
    Аюулгүй байдлын шинэчлэлтүүд нь шинэчлэлт хийгдээгүй байхад ямар ч шалтаг болж чадахгүй. Хуучин эмзэг байдлууд хэвээр байгаа бөгөөд эрсдлүүд арилж үгүй болохгүй.
  2. Захиргааны хэт олон данс / хуваалцсан дансууд
    Зөвшөөрлийн хяналт дутагдалтай, бүртгэл (лог)-ыг мөрдөхөд хүндрэлтэй, ажилтнууд ажлаас гарах үед дамжуулах журамтай холбоотой ноцтой эрсдлүүдтэй.
  3. WAF/CDN-ийг суулгасан л бол та бүрэн аюулгүй гэж бодох“
    WAF нь олон нийтлэг довтолгоог хааж чаддаг ч сул нууц үгс, хуучирсан эмзэг байдал болон нууц хонгилын плагинууд зэрэг асуудлыг шийдэж чадахгүй. Хамгийн найдвартай арга бол олон давхар хамгаалалтыг ашиглах явдал юм.
  4. Олон аюулгүй байдлын залгаасуудыг суулгах нь зөрчилдөөн үүсгэж, вэбсайтыг удаашруулж болно.
    Аюулгүй байдлын бодлого нь “бага боловч чухал” хандлагыг тэргүүн ээлжинд тавих ёстой: 2FA + бодлогыг шинэчлэх + галын хана/сканердах + сэрэмжлүүлэг; “илүү олон зүйл суулгаснаар илүү аюулгүй болно” гэсэн ойлголтоос татгалзах.

8. Баталгаажуулалтын шалгах жагсаалт

Нөөцлөлтийн баталгаажуулалт (хэрвээ та эдгээр 8 заалтыг биелүүлж чадахгүй бол нөөцлөлттэй гэж бүү мэдэгдээрэй)

  • Автомат нөөцлөлтийг (гар нөөцлөлт биш) идэвхжүүлнэ үү
  • Нөөцлөлтөд өгөгдлийн сан болон wp-content хавтас (uploads/themes/plugins) багтсан уу?
  • Нөөцлөлтийг талбайгаас гадуур (үлэн тооцооны хадгалах сан, объектын хадгалах сан эсвэл тусгай сервер дээр) хадгалдаг уу?
  • Тодорхой хадгалах бодлого (жишээ нь 7/30/90 хоног) байдаг уу?
  • Сүүлийн нөөцлөлт амжилттай болсон уу (зөвхөн хуваарь байгаа эсэх биш)?
  • Сүүлийн сэргээх дадлага хэзээ болсон бэ? Амжилттай болсон уу?
  • Томоохон шинэчлэлтээс өмнө нэмэлт буцаах цэг үүсгэх үү?
  • Сэргээсний дараа чухал зам (нэвтрэлт, маягтууд, цахим худалдааны захиалгууд/гишүүний эрх зэрэг) ашиглах боломжтой юу?

Аюулгүй байдлын баталгаажуулалт (бат бөх суурь тавихаас эхлэн)

  • Захирагчийн дансны тоог хамгийн бага хэмжээнд барьж байна уу? Өмнөх ажилтнуудын дансыг устгах механизм бий юу?
  • Чуулган Хоёр хүчин зүйлийн баталгаажуулалт(администратор, редактор эсвэл дэлгүүрийн менежер зэрэг өндөр түвшний үүргүүд)
  • Тодорхой байдаг уу?Бодлогыг шинэчлэх(Үндсэн/Сэдэв/Нэмэлт)
  • Ашиглагдаагүй плагин/сэдвүүдийг зүгээр л идэвхгүй болгохын оронд устгах уу?
  • Галт хана/нэвтрэх хамгаалалт/муу програмын илрүүлэлт байдаг уу?Вордфенс (жишээ нь түүний зарим хэсгийг хааж болно)
  • Сульрэлтийн мэдэгдэл эсвэл виртуал засварын ямар нэгэн арга байдаг уу? (Патчстак ж.н.
  • Аливаа сэрэмжлүүлэг (сэжигтэй нэвтрэлтүүд, файлын өөрчлөлтүүд, системийн зогсолтын хугацаа, гэрчилгээний хугацаа дуусах) байна уу?
  • “Нөөц төлөвлөгөө” байдаг уу? Хэрэв системд халдлага үйлдэгдэж эсвэл хууль бусаар өөрчлөлт орсон бол эхний алхам юу байх ёстой вэ?

Олонтаа асуугддаг асуултууд

1. Хост олгосон нөөц хангалттай юу?

Ерөнхийдөө ганц эх сурвалжид найдах нь зүйтэй биш.
Хост дээр суурилсан нөөцлөлт бат бөх боловч үүнийг заавал амархан авч явах, шилжүүлэх эсвэл нарийвчлалтайгаар буцаах зориулалттайгаар бүтээгээгүй. Илүү найдвартай сонголт нь:Хост дээр суурилсан нөөцлөлт нь гол цөмд хамгаалалтын сүлжээг бүрдүүлдэг бол залгаасууд болон үүлэн нөөцлөлт нь зөөврийн, хяналттай сэргээх цэгүүдийг санал болгодог

2. Өгөгдлөө хэр давтамжтай нөөцлөх ёстой вэ?

“Өгөгдлийн өөрчлөлтийн хурд”-ын дагуу:

  • Агуулгын сайт: Ихэвчлэн өдөрт нэг удаа хангалттай
  • Корпорацийн вэбсайт: Өдөр бүр (ялангуяа маягтын дамжуулалттай үед), мөн дамжуулалтыг зөвхөн вэбсайт дээр хязгаарлахгүй байх
  • Цахим худалдаа/гишүүнчлэл: Захиалга болон хэрэглэгчийн өгөгдөл илүү үнэ цэнэтэй тул бид илүү өндөр давтамжтай (цаг тутам эсвэл бараг бодит цагийн) шинэчлэл хийхийг зөвлөж байна.

3. Нөөц хуулбаруудыг хэр удаан хадгалах ёстой вэ?

Агуулга болон зохицуулалтын шаардлагаас хамааран та дараах аргыг нэвтрүүлж болно:

  • Энгийн буцаалт хийхэд дор хаяж 7–30 хоног зарцуул.
  • Хэрэв та “нуугдсан нэвтрэх цэгүүд эсвэл аажмаар өөрчлөлт оруулах” талаар санаа зовж байвал өгөгдлийг илүү удаан хугацаанд (жишээлбэл 90 хоног) хадгалах нь зүйтэй, ингэснээр та өмнөх цэвэр хувилбар руу буцаж чадна.

4. UpdraftPlus, WPvivid ба Duplicator бүгд “нэг зүйл” мөн үү?

Эдгээрийг бүгдийг нь нөөцлөх боломжтой, гэхдээ тэдний анхаарал төвлөрөл нь өөр өөр:

  • Агаар дээш татах хүч Plus Илүү түгээмэл арга бол “хуваарьт үүрэг хадгалах + олон чиглэлийн хадгалалт + сэргээх” юм.”
  • WPvivid Нөөцлөлт, шилжилт ба бэлтгэл шатны туршилтын чадамжид онцгой анхаарал
  • Давтагч Ялангуяа “сайтуудыг савлах/нүүлгэх/хуулбарлах” тал дээр маш хүчтэй”

Хэрвээ та “төрөл'өөр сонговол нэрнүүдээр төөрөгдөхгүй.

5. Яагаад Jetpack Backup нь төлбөртэй үйлчилгээ вэ? Энэ нь хэзээ тохиромжтой вэ?

Үндсэндээ энэ нь “үлэн тоон нөөцлөлтийн үйлчилгээ” шиг илүү төстэй тул — үүлэн хадгалах сан болон нэг товшилтоор сэргээхэд голлон анхаардаг — плагины хуудас дээр тодорхой зааж өгөх ёстой Backup-ийн төлбөртэй төлөвлөгөөАлбан ёсны захиалгын хуудас нь бүх өөрчлөлтийг хадгалах, нэг товшилтоор хурдан сэргээх боломжийг онцолж харуулдаг.
Тохиромжтой: сэргээх хугацаанд онцгой анхаарал хандуулж, нөөцлөлтийн үйл ажиллагааг батлагдсан үйлчилгээ үзүүлэгчдэд даатгахыг хүсэгчдэд.

6. BlogVault болон ManageWP зэрэг “нэмэлт нөөцлөлт” (incremental backups)-ийн ач холбогдол юу вэ?

Нэмэлт нөөцлөлтийн гол нь:Зөвхөн өөрчлөлтүүдийг л нөөцлөх, серверийн ачааллыг бууруулж, сэргээх цэгүүдийг илүү давтамжтай үүсгэх боломжийг олгодог.

  • BlogVault залгаасТайлбарт автомат, нэмэлтээр хийгддэг, өгөгдлийн сан, сэдэв, залгаасууд болон медиа файлуудыг дахин бичдэг нөөцлөлтүүд болон суурилуулсан стажинг, шилжүүлэлтийн боломжууд багтсан байна;
  • МэнажУП Мөн энэ нь нэмэлт нөөцлөлтийн технологи хэрхэн ажлын ачааллыг бууруулж, нэг товшилтоор сэргээх боломжийг олгодог болохыг онцолж байна.

Тохиромжтой: том хэмжээний вэбсайтууд, олон хэвлэл мэдээллийн хэрэгслүүд, байнга шинэчлэгддэг эсвэл хэрэв та олон вэбсайтуудыг удирддаг бол.

7. Нэг аюулгүй байдлын залгаас хангалттай юу?

Ихэнх вэбсайтуудын хувьд “нэг гол аюулгүй байдлын плагин суулгаж, үндсэн тохиргоог зөв хийх” нь “олон плагин суулгах”-аас илүү үр дүнтэй байдаг.
Жишээ нь Вордфенс Энэ нь галын ханы хамгаалалт, скан хийх болон нэвтрэх аюулгүй байдал зэрэг суурь чадваруудыг хамардаг; нэгтгэн Хоёр хүчин зүйлийн баталгаажуулалт(Solid Security нь төрөл бүрийн аргыг санал болгодог), энэ нь халдлагын зардлыг ихээхэн нэмэгдүүлэхэд хангалттай.

8. Wordfence-ийн үнэгүй хувилбар сайн юу? Яагаад зарим хүмүүс Premium хувилбар руу шинэчлэх хэрэгтэй гэж ярьдаг вэ?

Wordfence залгаасын хуудасАнхаарна уу: Premium хувилбар нь галын ханы дүрэм болон хортой програмын гарын үсгийн шинэчлэлтүүдийг бодит цаг хугацаанд нь хийдэг бол үнэгүй хувилбар нь 30 хоногийн хоцролттой.
Танд Премиум шаардлагатай эсэх нь таны эрсдлийн профайл болон тэсвэрлэх чадвараас хамаарна:

  • Бүртгэл бага эрсдэлтэй сайт: үнэгүй хувилбар + цаг тухайд нь шинэчлэлтүүд + 2FA — энэ нь ихэвчлэн тун тустай байдаг
  • Өндөр эрсдэл эсвэл “хамгийн сүүлийн үеийн аюул заналгийн мэдээлэл”-д илүү их найдах нь “шинэчлэл хойшлогдох”-оор үүсэж болох боломжийн цонхыг ойлгох шаардлагатай

9. Patchstack шиг “виртуал патч” яг ямар асуудлыг шийддэг вэ?

Энэхүү арга нь плагин эсвэл сэдвийн эмзэг байдлыг ашиглагдахаас (эсвэл засваруудыг өргөнөөр суулгахаас) өмнө программын давхаргад танигдсан эмзэг байдлыг хаах дүрмүүдийг ашиглах явдал юм.Патчстак вэбсайтЭнэ нь виртуал патчингийн тусламжтайгаар эмзэг плагин, сэдвүүдийг хамгаалдаг бөгөөд эхний анхааруулга болон автомат хамгаалалтын хувьд үнэгүй болон төлбөртэй хувилбаруудын ялгааг тайлбарладаг.
Энэ нь шинэчлэлтүүдийн орлуулагч биш, харин “засварын завсрын” эрсдлийг бууруулах арга юм.

10. 2FA-г идэвхжүүлснээр миний дансанд нэвтрэх боломжгүй болох уу?

Бид танд урьдчилан бэлдэхийг зөвлөж байна:

  • Нөөц код/Сэргээх арга (Баталгаатай аюулгүй байдал (Мөн backup кодууд гэх мэт схемүүдийг дурдсан байдаг)
  • Ядаж нэг “яаралтай администратор”-ыг томилж, сэргээх мэдээллийг аюулгүй байлгана.
  • Гол нь: системийн аюулгүй байдал алдагдсан тохиолдолд хандаж болох байршилд сэргээх мэдээллийг битгий хадгал.

11. WordPress-ийн автомат шинэчлэлтүүдийг идэвхжүүлэх үү, үгүй юу?

WordPress-ийн баримт бичигАнхны мэдэгдэл: автомат арын талын шинэчлэлтийн механизм нь аюулгүй байдлыг сайжруулах зориулалттай; ихэнх сайт дээр анхнаасаа идэвхжүүлсэн байдаг бөгөөд янз бүрийн шинэчлэлтийн бодлогыг тохируулах боломжтой.
Санал:

  • Аюулгүй байдал болон жижиг шинэчлэлтүүд: автоматаар хийхийг илүүд үзнэ (сул талууд илчлэгдсэн хугацааг аль болох багасгахын тулд)
  • Үндсэн хувилбар/чухал плагины шинэчлэлтүүд: нөөц сэргээх цэгүүд болон туршилтын журам (сэргээх боломжтойг баталгаажуулах) тусган хэрэгжилтийг үргэлжлүүлнэ

12. Хэрвээ миний вэбсайт хакердсан байж магадгүй гэж сэжиглэж байвал эхлээд юу хийх ёстой вэ?

Зөв дараалал (байдлыг улам дордуулахгүйн тулд):

  1. Эхлээд цус алдалтыг зогсоо: Арын талын хандалтыг түр хугацаанд хязгаарлаж, сэжигтэй функцуудыг түр зогсоож, шаардлагатай бол засвар үйлчилгээний хуудас харуулах
  2. Нотлох баримтыг хамгаалах ба сэргээх цэгүүд: Одоогийн төлөвийн нөөцлөлтийг (шинжилгээ хийх зорилгоор) яаралтай авч, цэвэр буцаах цэгийг бэлдээрэй.
  3. Буцаах/Цэвэрлэх: Мэдэгдсэн цэвэр үеийн цэг рүү сэргээх эсвэл мэргэжлийн өгөгдөл сэргээх үйлчилгээ ашиглах (Сүкури (жишээ нь хортой устгал болон тасралтгүй хамгаалалтыг онцлох)
  4. Нүхийг нөхөхҮндсэн систем, залгаасууд болон сэдвүүдийг шинэчлэх; нууц үгс болон түлхүүрүүдийг дахин тохируулах; хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлэх; сэжигтэй дансууд болон залгаасуудыг устгах

13. Би аюулгүй байдал болон нөөцлөлтийг хангасан тул яагаад хяналт ч бас хэрэгтэй юм бэ?

Учир нь “эрт илрүүлэлт” нь хохирлыг хамгийн бага болгож чадна.
Системийн зогсол, гэрчилгээний хугацаа дуусах, хэвийн бус трафик, сэжигтэй нэвтрэлт, захиалгын гажиг—эдгээр нь бүгд “хурдан мэдсэнээр илүү сайн” асуудлууд юм.