Оптимизация производительности решает задачу “быстрее”, но на самом деле для веб-сайтов важны две вещи:

  • поручительство: Старайтесь не попадать в неприятности (не взламывайте, не зависайте, не разбивайтесь, не перехватывайте интерфейсы, не вмешивайтесь).
  • резервное копирование: быстрое восстановление, даже если что-то пошло не так (случайное удаление, перенос обновления, сбой сервера, откат после выкупа/взлома).

Следующие две вещи дополняют друг друга:

  • Если вы занимаетесь только безопасностью, но не резервным копированием, то при возникновении неконтролируемых проблем вы все равно можете за ночь выйти в ноль.“
  • Если вы будете заниматься только резервным копированием, но не обеспечением безопасности, вы попадете в цикл “каждый день получать повреждения и каждый день восстанавливать”, а время и затраты выйдут из-под контроля!

Вы должны быть в состоянии сделать это после прочтения:

  • Знать, что именно следует включить в понятие “резервное копирование и безопасность” (чтобы не купить не то, не установить не то и не считать, что это защита от дурака)
  • Возможность выбора подходящего решения по типу сайта (контент-сайт/бизнес-сайт/сайт электронной коммерции/сайт членства)
  • Способность постепенно переходить на новый режим работы в соответствии с дорожной картой (устойчивый, затем управляемый, затем систематический).
  • Можно проверить с помощью контрольного списка самодиагностики: резервное копированиеЭто действительно можно восстановить.БезопасностьЗащита действительно существует.
  • Знайте, куда в первую очередь следует обратиться при возникновении проблем (сбой резервного копирования, сбой восстановления, подозрение на взлом и т. д.).

1. Цель: вам нужна “восстанавливаемая система”, а не “плагин”.”

Резервное копирование - это не просто “наличие файла резервной копии”.”

Вместо этого:Сможете ли вы вернуть сайт в нужное вам состояние, когда он вам понадобится

Поэтому ключевым показателем резервного копирования является не “установленный плагин резервного копирования”, а эти две вещи:

  • Приемлемое окно потери данных (RPO): Как долго вы сможете мириться с потерей данных при наихудшем сценарии?
    Например: для сайта, размещающего контент, потеря 24 часов статей может быть приемлемой, а для сайта электронной коммерции потеря 30 минут заказов - серьезным делом.
  • Приемлемое время восстановления (RTO): Как быстро вы рассчитываете вернуться к работе после аварии?
    Например, корпоративный сайт должен восстанавливаться в течение 1 часа, а сайт электронной коммерции - в течение 10-30 минут.

Не обязательно записывать эти показатели в формулу, но используйте их для принятия решения:Частота резервного копирования, время хранения, необходимость резервного копирования в реальном времени/инкрементного резервного копирования, необходимость восстановления одним щелчком мыши/восстановления за пределами объекта

2. Разработка быстрой стратегии по типу участка (ориентация, затем выбор инструмента)

Советы по стратегии:

А. Контентные сайты / блоги

  • Частота изменений: обычно “ежедневно/еженедельно”
  • Рекомендуемая частота резервного копирования:повседневностьРезервное копирование базы данных + wp-контента (загрузки/темы/плагины)
  • Цель восстановления: достаточно вчерашней/сегодняшней версии (с упором на то, чтобы не потерять статьи и медиатеки).

B. Бизнес-сайт / маркетинговый сайт (важны лиды в форме)

  • Частота изменений: не обязательно высокая, но формы/ориентиры имеют решающее значение
  • Рекомендуемая частота резервного копирования: база данных не менееповседневностьДанные формы и электронной почты/CRM не будут находиться “в одном месте”.”
  • Цель восстановления: быстрый откат в случае проблем с обновлением/пересмотром/добавлением скриптов отслеживания

C. Сайт электронной коммерции (WooCommerce)

  • Частота изменений: заказы/инвентарь/поведение пользователей постоянно
  • Рекомендуемая частота резервного копирования: предпочтительновысокая частота(ежечасно или даже в режиме реального времени/ближе к реальному времени), по крайней мере, сделайте защиту базы данных надежной.
  • Цель восстановления: минимальная потеря данных о заказах; возможность быстрого восстановления связей между платежами и заказами

D. Сайт членства / сайт курса / сообщество

  • Частота изменений: прогресс пользователя, разрешения, разблокировка контента, данные о взаимодействии
  • Рекомендуемая частота резервного копирования: более высокая частота для баз данных; с точками восстановления “точка-время”.
  • Цель восстановления: пользовательские данные не повреждаются, разрешения не теряются, а содержимое не изменяется.

3. Дорожная карта резервного копирования (рекомендуется двигаться по этим трем этапам)

Основные моменты:Давайте сначала сделаем “способное восстановление”, а потом поговорим об “автоматизации и систематизации”.

Этап 1: Начните с “Автоматическое резервное копирование + внеофисное хранение”.”

В этом и заключается суть. Неважно, какой инструмент вы используете, он должен быть выполнен:

  • автоматический:: Не полагайтесь на “я не забуду нажать на нее вручную”.”
  • внеофисное хранение: Не размещайте резервные копии на одном сервере.
    Причина очень проста: сервер завис/диск сломался/в аккаунт вторглись, чтобы удалить библиотеку, и ваша “локальная резервная копия” может исчезнуть вместе с ней.

Типичные варианты реализации инструмента включают:

  • Плагин резервного копирования переносит резервные копии на облачный диск/объектное хранилище/FTP (UpdraftPlus явно поддерживает множество вариантов назначения, таких как Dropbox, Google Drive, Amazon S3 и другие)
  • Облачная служба резервного копирования хранит резервные копии в своем облаке и предлагает восстановление одним щелчком мыши (см.Резервное копирование Jetpack VaultPress Облачное резервное копирование и восстановление в один клик, но нужен платный тариф с Backup)

Этап 2: Модернизация резервных копий до уровня “восстанавливаемых систем”

Многие сайты действительно рушатся не из-за отсутствия резервных копий, а по причине:

  • Неполное резервное копирование (только базы данных, но не загрузок/тем/плагинов)
  • Поврежденный файл резервной копии/неправильные разрешения
  • Когда вам нужно восстановиться, вы понимаете, что “процесс восстановления просто не работает”.”

Таким образом, цели фазы 2 таковы:Регулярно выполняйте восстановительные упражнения(даже в тестовой среде/временном восстановлении каталога), подтвердите следующие моменты:

  • База данных может быть восстановлена.
  • Медиатеку можно восстановить (wp-content/uploads/
  • Темы/плагины могут быть восстановлены (wp-content/themes/wp-content/plugins/
  • После восстановления к сайту можно получить нормальный доступ, войти в бэкэнд и запустить ключевые функции (электронная коммерция для проверки процесса заказа/оплаты, а сайт членства - для проверки логина/привилегий).

Именно поэтому многие коммерческие решения для резервного копирования делают упор на “восстановление одним щелчком мыши”, “поминутное восстановление” и “инкрементное резервное копирование для снижения нагрузки”. Например BlogVault В описании плагина подчеркивается, что **автоматическое, инкрементное резервное копирование (включая базы данных, темы, плагины, медиа)** и функции постановки/миграции обеспечены.ManageWP Также особое внимание уделяется снижению нагрузки с помощью методов инкрементного резервного копирования и обеспечению восстановления одним щелчком мыши.

Этап 3: привязка резервных копий к процессу обновления/релиза (точка отката)

На этом этапе ваша цель - это:Точка отката перед каждым серьезным изменением

Типичные сценарии включают:

  • Обновление основной версии ядра WordPress
  • Смена темы/переделка шаблона
  • Установка или замена ключевых плагинов (платежи электронной коммерции, системы членства, системы форм)
  • Пакетная замена изображений / массовая миграция содержимого

Суть этапа 3 заключается в том, что вам не нужно “молиться, чтобы изменения прошли хорошо”, а скорее в том, что вы можете быстро вернуться к “моменту до изменений”, если изменения пойдут не так.

4. Резервное копирование - что именно нужно резервировать (многие люди, занимающиеся резервным копированием, упускают эти ключевые моменты)

Сущность 1: База данных (куда попадают заказы/пользователи/контент/настройки)

  • Статьи, Страницы, Комментарии
  • Пользователи, разрешения
  • WooCommerce Заказы, инвентарь, купоны
  • Конфигурации плагинов (большое количество конфигураций, хранящихся в базе данных)

Существо 2: wp-content (это основная часть “видимых активов” сайта WordPress)

  • uploads:: Изображения, вложения, медиатека (самое простое место, куда можно “забыть сделать резервную копию”).
  • themes: Файлы темы (пользовательский код/шаблоны)
  • plugins: файлы плагинов (некоторые плагины также пишут собственные файлы)

По мере необходимости: информация о конфигурации и операционной среде

Не игнорируйте различия в окружающей среде:

  • Различия версий PHP могут вызвать ошибки после восстановления
  • Различия между конкретными расширениями и компонентами кэша могут привести к различному поведению
  • Обратный прокси/CDN/Правила безопасности могут влиять на вход и API админ-панели

Восстановление - это не только возвращение файла на место, но и обеспечение того, чтобы операционная среда и конфигурация могли поддерживать его работу.

5. Выбор программы резервного копирования

Тип A: подключаемое резервное копирование по таймеру (подходящее начальное решение для большинства сайтов)

Характеристики: низкая стоимость, управляемость, быстрое развертывание; но необходимо провести тщательную подготовку “хранение за пределами площадки + восстановление”.

Инструменты репрезентации:

  • UpdraftPlus: Основной акцент — резервное копирование и восстановление по расписанию, при этом на странице плагина явно указана поддержка различных целей резервного копирования (Dropbox, Google Drive, Amazon S3, FTP, электронная почта и т. д.).
    Идеально подходит для: начинающих контент-сайтов/бизнес-сайтов, а также сайтов, которым требуется “резервное копирование в собственное контролируемое хранилище”.
  • WPvivid Резервное копирование и миграция: На странице плагина выделены резервное копирование, миграция и стейджинг (стейджинг может быть создан в подкаталоге для тестирования изменений).
    Идеально подходит для: людей, которые часто мигрируют сайты и нуждаются в тестировании изменений на разовой основе.
  • Дубликатор: На странице плагинов особое внимание уделяется резервному копированию/пакетированию/миграции/клонированию сайтов на новые хосты или новые домены.
    Идеально подходит для: миграции, репликации сайтов, создания тестовых сайтов, создания “перемещаемых пакетов”.

UpdraftPlus - это скорее “стартовая система резервного копирования”.”

WPvivid/ Duplicator лучше справляется с “миграцией/упаковкой/копированием”, но также может делать резервные копии.

Тип B: облачное резервное копирование/резервное копирование почти в режиме реального времени (больше подходит для сайтов, которые более чувствительны к данным и времени восстановления)

Особенности: Упор на “защиту от каждого изменения/высокочастотного изменения” и “восстановление одним щелчком”, больше похоже на набор услуг.

Инструменты репрезентации:

  • Jetpack VaultPress Backup (Jetpack Backup): На странице плагина подчёркиваются облачное резервное копирование и восстановление в один клик, а также прямо указано, что требуется платный тариф Jetpack с Backup, егоНа официальной странице подписки также отмечается“Сохраняйте каждое изменение, быстро возвращайтесь в пригодное для использования состояние с помощью восстановления одним щелчком мыши”.
    Идеально подходит для: электронной коммерции/сайтов с членством, чувствительных к скорости восстановления, или для тех, кто хочет передать операции резервного копирования зрелому сервису.
  • BlogVault: В описании плагина явно указано “автоматическое, безопасное, инкрементное резервное копирование (базы данных, тем, плагинов, медиа)” со встроенными возможностями постановки и миграции.
    Идеально подходит для: сайтов, для которых “резервное копирование + тестирование + миграция” является полным рабочим процессом.
  • ManageWP: Упор на методы инкрементного резервного копирования для снижения нагрузки на сервер и обеспечения восстановления одним щелчком мыши.
    Идеально подходит для: людей (студий/команд), которые управляют несколькими сайтами и хотят выполнять резервное копирование/обновление/мониторинг в одной панели единым способом.

Тип C: моментальные снимки на стороне хоста/автоматическое резервное копирование (настоятельно рекомендуется в качестве “второй линии страховки”)

Ценность резервного копирования хоста: как правило, это “снимок системного уровня” с более широким охватом (включая состояние баз данных и файлов, и даже окружения на определенном уровне).

Распространенные заблуждения:

  • Резервное копирование хоста ≠ Мигрируемое резервное копирование: Резервные копии хостинга могут быть неудобны при смене хостера или необходимости забрать свои резервные копии.
  • Резервное копирование с помощью плагинов является более переносимымРезервные копии попадают в хранилище, которое вы можете контролировать, что делает восстановление в разных средах более гибким.

Поэтому обычно выбирается наиболее устойчивая комбинация:

Hosted Backup (под капотом) + Plugin/Cloud Backup (переносимый уровень приложений + гранулированные точки восстановления)

6. Дорожная карта безопасности (начните с самых эффективных основ, а не с кучи плагинов)

Безопасность - это не “установка десяти плагинов”, это построение защиты на уровне слоев:

Этап 1: Учетные записи и привилегии (наибольшие и непосредственные преимущества)

На этом этапе вы хотите “усложнить наиболее распространенные точки входа”:

  • Минимизация учетной записи администратора: только для тех, кому это необходимо
  • Строгая политика паролей: не использовать повторно, не использовать слабые пароли
  • 2FA (двухэтапная верификация)Это одно из самых эффективных усовершенствований в эпоху “краха/утечки паролей”.
    например Надежная защита Страница плагина явно поддерживает несколько методов 2FA (Authy, Google Authenticator, электронная почта, альтернативные коды и т. д.).
  • Защита входа: ограничение попыток грубой силы, предотвращение подмены логинов
  • Неиспользуемые учетные записи отключены/удалены; темы/плагины, которые больше не используются, удалены (не только деактивированы)

Этап 2: Обновления и управление рисками (не оставляйте риски в старых версиях)

Большое количество вторжений в WordPress происходит из-за “старых плагинов/тем/ядра с общедоступными уязвимостями”.

Поэтому “обновление” - один из основных аспектов стратегии безопасности.
В документации WordPress упоминается о введении автоматических фоновых обновлений с версии WordPress 3.7 для повышения безопасности, и говорится, что автоматические обновления включены по умолчанию на большинстве сайтов, а из 5.6 Запуск нового сайта включается автоматическиТакие стратегии, как обновление крупных и мелких версий.

Принципы:

  • Ядро/темы/плагины должны иметь четкую стратегию обновления (автоматическое/полуавтоматическое/ручное)
  • Точки отката перед крупными обновлениями (вернитесь к разделу 3, “Этап резервного копирования 3”)
  • Плагины, которые больше не обслуживаются, должны быть заменены как можно скорее (это самый прямой способ “уменьшить воздействие”).

Этап 3: защита и обнаружение (усложнение успешности атак и раннее обнаружение аномалий)

На этом этапе вы хотите стать “более похожими на систематическую защиту”:

  • Брандмауэр/WAF (блокирует часть нежелательного трафика до того, как он попадет в WordPress)
  • Сканирование вредоносного кода, контроль целостности файлов
  • Журналы безопасности и оповещения: аномальные входы, изменения привилегий, измененные файлы
  • Мониторинг: мониторинг простоев, истечение срока действия сертификата, аномальные 5xx, аномальные скачки трафика

Инструменты репрезентации:

  • Wordfence: На странице плагина четко указаны брандмауэр, сканирование на наличие вредоносных программ и безопасность входа в систему, а также упоминается, что Premium получает обновления правил брандмауэра и сигнатур вредоносных программ в режиме реального времени, в то время как бесплатная версия имеет 30-дневную задержку.
    Рекомендация: Бесплатная версия значительно повышает базовый уровень безопасности, но если ваш сайт более рискованный или больше полагается на “актуальную информацию об угрозах”, поймите разницу в “задержках обновления”.
  • Patchstack(идеи виртуального исправления/защиты от эксплойтов): На официальном сайте компании рассказывается о защите сайтов от уязвимых плагинов/тем с помощью виртуальных патчей.Patchstack; есть инструкции для бесплатной версии, обеспечивающей оповещения об уязвимостях, для платной версии, обеспечивающей автоматическую защиту от уязвимостей, и другие идеи.
  • Sucuri(Допуск и безопасность обслуживания): На странице услуг компании Sucuri особое внимание уделяется очистке от вредоносных программ с возможностью непрерывного сканирования/блокирования будущих вторжений.

7. Оповещения о рисках

Высокочастотные "подводные камни", связанные с резервным копированием

  1. Резервные копии создаются только на локальном сервере
    Когда серверы выходят из строя, локальные резервные копии часто исчезают вместе с ними.
  2. Только база данных, но не wp-контент
    При восстановлении вы обнаружите: пост есть, а изображение исчезло; или настройки темы исчезли; или файлы плагина не соответствуют друг другу, что приводит к ошибке.
  3. Никогда не делайте восстановительных упражнений.
    Только в самый ответственный момент вы понимаете, что восстановление не удалось, резервная копия повреждена или критически важные файлы отсутствуют.
  4. Частота резервного копирования не соответствует бизнесу
    На сайтах электронной коммерции и членства, резервное копирование которых выполняется раз в день, в худшем случае вы можете потерять данные о заказах/поведении пользователей за день, что может значительно превысить стоимость резервного копирования.

Высокочастотные ямы, связанные с безопасностью

  1. Плагин безопасности установлен, но не обновлялся в течение длительного времени
    Плагины безопасности не заменяют обновления. Старые уязвимости существуют, и риск не исчезнет.
  2. Слишком много учетных записей администратора/общих учетных записей
    Разрешения выходят из-под контроля, журналы трудно отследить, а передача прав на выход рискованна.
  3. Думают, что с WAF/CDN уже абсолютно безопасно“
    WAF могут остановить многие типовые атаки, но они не могут исправить слабые пароли, старые уязвимости, плагины с бэкдорами и т. д. Самый безопасный подход - это “многоуровневая защита”. Безопаснее всего иметь "многоуровневую защиту".
  4. Установка нескольких плагинов безопасности, которые конфликтуют друг с другом, также замедляет работу сайта
    В политике безопасности приоритетом должно быть “меньше - значит больше”: 2FA + обновленные политики + брандмауэр/сканирование + оповещения; а не “чем больше вы установите, тем более защищены”.

8. Контрольный перечень для валидации

Проверка резервных копий (не говорите “у меня есть резервная копия”, если вы не прошли эти 8)

  • Включено ли автоматическое резервное копирование (не ручное).
  • Содержит ли резервная копия базу данных + wp-контент (загрузки/темы/плагины)
  • Хранятся ли резервные копии вне помещения (облачный диск/объектное хранилище/отдельный сервер).
  • Существует ли четкая стратегия удержания (например, удержание в течение 7/30/90 дней).
  • Было ли последнее резервное копирование успешным (не “расписание существует”).
  • Когда было последнее упражнение по восстановлению? Было ли оно успешным?
  • Есть ли дополнительная точка отката, созданная перед большим обновлением?
  • Доступность критических путей после восстановления (вход в систему, формы, доступ к заказам электронной коммерции/ членству и т. д.)

Проверка безопасности (сначала изучите основы)

  • Минимизирована ли учетная запись администратора? Есть ли механизм очистки учетной записи при выходе?
  • Включить или выключить 2FA(по крайней мере, администратор/редактор/менеджер магазина с высокими полномочиями)
  • Существует ли четкийСтратегия обновления(Ядро/темы/плагины)
  • Нужно ли удалять неиспользуемые плагины/темы (а не просто деактивировать их)
  • Наличие брандмауэра/защиты логина/сканирования вредоносных программ (Wordfence (и т.д. может покрывать часть)
  • Доступность оповещений об уязвимостях/идей виртуального исправления (Patchstack и т.д.)
  • Наличие оповещений (аномальные входы, изменения файлов, простои, истечение срока действия сертификата)
  • Наличие “планов действий на случай непредвиденных обстоятельств”: что необходимо предпринять в первую очередь в случае взлома/вредительства

общие проблемы

1. Достаточно ли использовать только собственные резервные копии хоста?

Обычно не рекомендуется полагаться только на один источник.
Резервное копирование на хостинге - это здорово, но оно не всегда позволяет легко “убрать, перенести и откатиться назад”. Это более стабильно:Резервное копирование на хостинге для обеспечения надежности + резервное копирование на плагинах/в облаке для миграции и контролируемых точек восстановления

2. Как часто следует выполнять резервное копирование?

В соответствии со “скоростью изменения данных”:

  • Контентные сайты: обычно достаточно в день
  • Сайт предприятия: ежедневно (особенно если есть формы лидов) и подтвердите, что лиды находятся не только на сайте
  • Электронная коммерция/ членство: рекомендуется более высокая частота (ежечасно или даже почти в режиме реального времени), так как данные о заказах/пользователях имеют большую ценность

3. Как долго должны храниться резервные копии?

В зависимости от содержания и соответствия требованиям вы можете использовать эту идею:

  • Храните не менее 7-30 дней для регулярного отката.
  • Если вас беспокоят “скрытые бэкдоры/хронические взломы”, то целесообразнее держать цикл дольше (например, 90 дней), чтобы можно было вернуться к более ранней чистой версии.

4. Являются ли UpdraftPlus / WPvivid / Duplicator “одним и тем же”?

Они оба поддерживают друг друга, но с разными акцентами:

  • UpdraftPlus Более типичным является “резервное копирование по расписанию + многоцелевое хранилище + восстановление”.”
  • WPvivid Акцент на резервном копировании + миграции + постановке на поток Возможности тестирования
  • Дубликатор Очень силен в “упаковке/миграции/клонировании сайта”.”

Если вы используете “тип” для выбора, вас не смутит название.

5. Почему Jetpack Backup платный? Для каких случаев он подходит?

Поскольку по сути это скорее “облачный сервис резервного копирования” - с акцентом на сохранение в облаке и восстановление одним щелчком мыши - страница плагина должна содержать следующее Платный план резервного копированияНа официальной странице подписки подчеркивается важность сохранения каждого изменения и быстрого восстановления одним щелчком мыши.
Идеально подходит для: людей, которые более чувствительны к скорости восстановления и хотят оставить управление резервным копированием на усмотрение зрелого сервиса.

6. В чем смысл “инкрементных резервных копий”, таких как BlogVault / ManageWP?

В их основе лежит инкрементное резервное копирование:Резервное копирование только измененийчто снижает нагрузку на сервер и позволяет генерировать точки восстановления с большей частотой.

  • Плагин BlogVaultВ инструкциях особое внимание уделяется автоматическому инкрементальному резервному копированию и перезаписи баз данных/тем/плагинов/медиа, а также встроенным функциям постановки и миграции;
  • ManageWP Также особое внимание уделяется методам инкрементного резервного копирования для снижения нагрузки и обеспечения восстановления одним щелчком мыши.

Идеально подходит для: больших сайтов, большого количества медиа, частых обновлений или если вы управляете несколькими сайтами.

7. Достаточно ли одного плагина безопасности?

Для большинства сайтов “один основной плагин безопасности + правильная базовая политика” обычно более эффективен, чем “куча плагинов”.
например Wordfence Может охватывать базовые возможности, такие как брандмауэр, сканирование и безопасность входа в систему; в сочетании с 2FA(Solid Security предлагает множество способов сделать это), уже может значительно увеличить стоимость атаки.

8. Работает ли бесплатная версия Wordfence? Почему некоторые люди говорят о переходе на премиум-версию?

Страница плагина WordfenceClarity: Premium обеспечивает обновление правил брандмауэра и сигнатур вредоносных программ в режиме реального времени, в то время как бесплатная версия задерживает обновление на 30 дней.
Нужен ли вам Premium, зависит от вашего уровня риска и толерантности:

  • Сайты с низким уровнем риска: бесплатная версия + своевременные обновления + 2FA, обычно уже полезная!
  • Повышенный риск или большая зависимость от “актуальной информации об угрозах”: необходимость понимания того, что “отложенные обновления” могут создать "окно".

9. Что именно решает “виртуальный патч”, такой как Patchstack?

Идея заключается в том, что правила используются для блокирования поверхности атаки известных уязвимостей на уровне приложения до того, как уязвимости плагинов/тем будут использованы (или до того, как исправления получат широкое распространение).Официальный сайт PatchstackАкцент на виртуальной защите от патчей, уязвимых плагинах/темах, с объяснением различий между бесплатными и платными предупреждениями и автоматической защитой.
Это не замена обновлениям, а скорее способ минимизировать риск “окна исправлений”.

10. Заблокирую ли я себя, если активирую 2FA?

Рекомендуется подготовиться заранее:

  • Альтернативный код/метод восстановления (Надежная защита Также упоминаются коды backup и другие решения)
  • Содержите по крайней мере одного “аварийного менеджера” и надежно защищайте информацию о восстановлении
  • Главное: не размещайте информацию для восстановления там, где до нее может добраться злоумышленник.

11. Включать или не включать автообновление WordPress?

Документация WordPressОбъясните, что механизм автоматического фонового обновления предназначен для повышения безопасности и включен по умолчанию для большинства сайтов, а также что можно настроить различные типы политик обновления.
Рекомендация:

  • Обновления безопасности и мелких версий: как правило, автоматизированы (сокращают время на выявление известных уязвимостей).
  • Крупные релизы/критические обновления плагинов: объедините резервные точки отката с процессом тестирования, прежде чем двигаться дальше (по крайней мере, чтобы иметь возможность откатиться назад)

12. Каким должен быть первый шаг, если я подозреваю, что сайт был взломан?

Правильный порядок (чтобы не наделать еще большего беспорядка):

  1. Сначала остановите кровотечение.: Временное ограничение фоновых входов, приостановка подозрительных функций и открытие страниц обслуживания, когда это необходимо.
  2. Сохранение улик и точки восстановления в первую очередь: Немедленно создайте резервную копию текущего состояния (для анализа) и одновременно подготовьте точку чистого отката.
  3. Откат/очисткаПриоритет восстановления до известного чистого момента времени или использование профессиональных услуг по уборке (см.Sucuri и т. д. с упором на очистку от вредоносных программ и постоянную защиту)
  4. залатать дыру: обновляйте ядро/плагины/темы, сбрасывайте пароли и ключи, включайте 2FA, удаляйте подозрительные аккаунты и плагины

13. Я занимаюсь безопасностью и резервным копированием, зачем мне нужен мониторинг?

Потому что “раннее обнаружение” сводит потери к минимуму.
Простои, просроченные сертификаты, ненормальный трафик, ненормальные логины, ненормальные заказы - все это проблемы из разряда “чем раньше узнаешь, тем лучше”.