Optimizacija zmogljivosti se nanaša na “hitrejše”, vendar sta za spletna mesta v resnici pomembni dve stvari:

  • poroštvo: Poskusite ne priti v težave (ne vdirati, ne obesiti, ne zrušiti, ne dobiti vmesnikov swiped, ne dobiti manipulirati z)
  • varnostno kopiranje: hitra obnovitev, tudi če gre kaj narobe (nenamerno brisanje, prevrnitev nadgradnje, odpoved strežnika, povratek po odkupnini/vdor)

Naslednji dve stvari se dopolnjujeta:

  • Če izvajate samo varnost, ne pa tudi varnostnih kopij, lahko v primeru neobvladljivih težav čez noč še vedno dosežete ničlo.“
  • Če izvajate samo varnostne kopije, ne pa tudi varnosti, se boste znašli v krogu “vsak dan se zgodi udarec in vsak dan je treba obnoviti”, čas in stroški pa bodo neobvladljivi!

To bi morali biti sposobni storiti, ko jo preberete:

  • Natančno vedeti, kaj je treba pokriti z “varnostnim kopiranjem in zaščito” (da ne bi kupili napačne rešitve, namestili napačne rešitve in domnevali, da so varne).
  • Možnost izbire prave rešitve glede na vrsto spletnega mesta (vsebinsko spletno mesto/poslovno spletno mesto/e-trgovina/člansko spletno mesto)
  • zmožnost postopnega uvajanja v živo po časovnem načrtu (odporno, nato obvladljivo, nato sistematično).
  • Lahko se preveri s kontrolnim seznamom samopreverjanja: varnostno kopiranjeResnično se da obnoviti.VarnostObramba res obstaja.
  • Vedeti, kje najprej poiskati informacije ob pojavu težav (neuspešno varnostno kopiranje, neuspešno obnavljanje, sum vdora v sistem itd.).

1. Cilj: potrebujete “obnovljiv sistem” in ne “vtičnika”.”

Pri varnostnih kopijah ne gre za to, da “imate datoteko z varnostno kopijo”.”

Namesto tega:Ali lahko spletno mesto ponovno vzpostavite tako, kot želite, ko ga potrebujete.

Ključni kazalnik varnostnega kopiranja torej ni “nameščen vtičnik za varnostno kopiranje”, temveč ti dve stvari:

  • Sprejemljivo okno izgube podatkov (RPO): Kako dolgo se lahko sprijaznite z izgubo podatkov v najslabšem primeru?
    Primer: če spletno mesto z vsebino izgubi 24 ur člankov, je to sprejemljivo, če pa spletno mesto za e-trgovino izgubi 30 minut naročil, je to resno.
  • Sprejemljivi čas obnovitve (RTO): Kako hitro pričakujete, da boste po nesreči spet na spletu?
    Primer: spletno mesto podjetja bo morda želelo obnoviti v eni uri, spletno mesto e-trgovine pa v 10-30 minutah.

Teh kazalnikov ni treba zapisati v formulo, ampak jih uporabite pri odločanju:Pogostost varnostnih kopij, čas hranjenja, potreba po varnostnih kopijah v realnem času/inkrementalnih varnostnih kopijah, potreba po obnovitvi z enim klikom/obnovitvi zunaj kraja

2. Razvoj hitre strategije glede na vrsto lokacije (usmeritev, nato izbira orodja)

Strateški nasveti:

A. Spletne strani z vsebino / blogi

  • Pogostost sprememb: običajno “dnevno/tedensko”.”
  • Priporočena pogostost varnostnega kopiranja:vsakdanjiVarnostna kopija podatkovne baze + wp-vsebina (nalaganje/teme/priključki)
  • Cilj obnovitve: Zadostuje včerajšnja/današnja različica (s poudarkom na tem, da ne izgubite člankov in medijske knjižnice).

B. Poslovno spletno mesto / spletno mesto za trženje (pomembni so vodilni obrazci)

  • Pogostost sprememb: ni nujno visoka, vendar so obrazci/vodila ključnega pomena.
  • Priporočena pogostost varnostnega kopiranja: podatkovna baza vsajvsakdanjiPodatki iz obrazca in e-pošta/CRM ne bodo “na enem mestu”.”
  • Cilj obnovitve: hiter povratek v primeru težav s skriptami za sledenje posodobitvam/revizijam/dodatkom

C. Spletno mesto za e-trgovino (WooCommerce)

  • Pogostost sprememb: naročila/inventarizacija/vedenje uporabnikov stalno
  • Priporočena pogostost varnostnega kopiranja: zaželenovišja frekvenca(vsako uro ali celo v realnem času ali skoraj v realnem času), vsaj poskrbite za močno zaščito podatkovne baze.
  • Cilj obnovitve: čim manjša izguba podatkov o naročilih; možnost hitre ponovne vzpostavitve povezav med plačili in naročili

D. Spletna stran članstva / spletna stran tečaja / skupnost

  • Pogostost sprememb: napredek uporabnika, dovoljenja, odklepanje vsebine, podatki o interakciji
  • Priporočena pogostost varnostnega kopiranja: večja pogostost za podatkovne zbirke; s točkami obnovitve “točka v času”.
  • Cilj obnovitve: uporabniški podatki niso zmešani, dovoljenja niso izgubljena in vsebina ni spremenjena.

3. Načrt varnostnih kopij (priporočljivo je napredovati v teh treh fazah)

Poudarki:Najprej poskrbimo za “sposobno obnovo”, nato pa govorimo o “avtomatizaciji in sistemizaciji”.

Faza 1: Začnite s “samodejnim varnostnim kopiranjem + shranjevanjem na drugem mestu”

To je bistvo. Ne glede na to, katero orodje uporabljate, ga spoznajte:

  • samodejni:: Ne zanašajte se na “Ne bom pozabil klikniti ročno”.”
  • shranjevanje zunaj kraja: Varnostnih kopij ne nameščajte samo v isti strežnik
    Razlog je zelo preprost: strežnik se obesi/disk je pokvarjen/račun je napaden, da bi izbrisal knjižnico, vaša “lokalna varnostna kopija” lahko izgine skupaj.

Tipične izvedbe orodja vključujejo:

  • Varnostno kopiranje plugin potisne varnostne kopije v oblak pogon / shranjevanje predmetov / FTP (UpdraftPlus (Izrecno so podprti na primer Dropbox, Google Drive, Amazon S3 in številni drugi cilji).
  • Storitev varnostnega kopiranja v oblaku shranjuje varnostne kopije v svoj oblak in ponuja obnovitev z enim klikom (Jetpack VaultPress Backup (Predvsem varnostno kopiranje v oblaku in obnovitev z enim klikom, vendar je treba vključiti plačljiv načrt za varnostno kopiranje)

Faza 2: Nadgradnja varnostnih kopij v “obnovljive sisteme”

Veliko spletnih mest se resnično prevrne, vendar ne zaradi pomanjkanja varnostnih kopij, temveč zaradi:

  • Nepopolna varnostna kopija (samo podatkovna baza, ne nalaganje/teme/vtičniki)
  • Poškodovana datoteka varnostne kopije/nepravilna dovoljenja
  • Ko se morate obnoviti, ugotovite, da “postopek obnove preprosto ne deluje”.”

Cilji faze 2 so torej:Izvajajte redno vadbo za okrevanje(tudi če je obnovljen v testnem okolju/začasnem imeniku), potrdite naslednje točke:

  • Podatkovno zbirko je mogoče obnoviti.
  • Mediateko lahko obnovite (wp-content/uploads/
  • Motive/vtičnike je mogoče obnoviti (wp-content/themes/wp-content/plugins/
  • Po obnovitvi je do spletnega mesta mogoče normalno dostopati, v zaledni del se je mogoče normalno prijaviti in zagnati ključne funkcije (e-trgovina za testiranje postopka naročanja/plačevanja in spletno mesto za članstvo za testiranje prijave/privilegijev).

Zato številne komercialne rešitve za varnostno kopiranje poudarjajo “obnovitev z enim klikom”, “obnovitev po minutah” in “prirastne varnostne kopije za zmanjšanje obremenitve”. Na primer BlogVault V opisu vtičnika je poudarjeno, da so na voljo **avtomatske in inkrementalne varnostne kopije (vključno s podatkovnimi bazami, temami, vtičniki, mediji)** in funkcije za postavitev/migracijo.ManageWP Poudarek je tudi na zmanjšanju obremenitve s tehnikami prirastnega varnostnega kopiranja in zagotavljanju obnovitve z enim klikom.

Faza 3: Povezava varnostnih kopij s postopkom posodabljanja/izdaje (točka povratka)

V tej fazi je vaš cilj:Točka povratka pred vsako večjo spremembo

Tipični scenariji vključujejo:

  • Nadgradnja glavne različice jedra WordPressa
  • Sprememba teme/preoblikovanje predloge
  • namestitev ali zamenjava ključnih vtičnikov (plačila v e-trgovini, sistemi članstva, sistemi obrazcev)
  • Zamenjava paketne slike / množična migracija vsebine

Bistvo faze 3 je, da vam ni treba “moliti, da bo sprememba v redu”, temveč da se lahko hitro vrnete v “trenutek pred spremembo”, če gre sprememba narobe.

4. Varnostno kopiranje, kaj točno je treba varnostno kopirati (veliko ljudi, ki varnostno kopirajo, je spregledalo te ključne točke)

Osnovni element 1: Podatkovna baza (kamor se shranjujejo naročila/uporabniki/vsebina/nastavitve)

  • Članki, strani, komentarji
  • Uporabniki, dovoljenja
  • WooCommerce Naročila, zaloge, kuponi
  • Konfiguracije vtičnikov (veliko število konfiguracij, shranjenih v zbirki podatkov)

Bistveno 2: wp-content (to je večina “vidnih sredstev” spletnega mesta WordPress)

  • uploads: slike, priponke, medijska knjižnica (najlažje pozabite izdelati varnostno kopijo).
  • themes: Datoteke teme (koda/šablone po meri)
  • plugins: datoteke vtičnikov (nekateri vtičniki pišejo tudi datoteke po meri)

Po potrebi: informacije o konfiguraciji in delovnem okolju.

Ne zanemarite okoljskih razlik:

  • Razlike v različici PHP lahko povzročijo, da se po obnovitvi poroča o napakah
  • Posebne razlike med razširitvami/komponentami predpomnilnika lahko povzročijo različno obnašanje.
  • Reverzni proxy/CDN/varnostna pravila lahko vplivajo na prijavo in zaledni vmesnik

Pri obnovitvi ne gre le za to, da se datoteka vrne nazaj, temveč tudi za to, da operacijsko okolje in konfiguracija omogočata njeno delovanje.

5. Izbira programa za varnostno kopiranje

Tip A: Časovno prilagojeno varnostno kopiranje z vtičnikom (primerna začetna rešitev za večino spletnih mest)

Značilnosti: nizki stroški, nadzor, hitra uvedba; vendar morate opraviti temeljito “shranjevanje izven kraja + vaja za obnovitev”.

Orodja za predstavljanje:

  • UpdraftPlus: Glavni poudarek je na varnostnem kopiranju in obnovitvi načrtovanih opravil z izrecno podporo za več ciljev varnostnega kopiranja (Dropbox, Google Drive, Amazon S3, FTP, e-pošta itd.) na strani vtičnika.
    Idealno za: vsebinska spletna mesta/poslovna spletna mesta, ki začenjajo z delom, in spletna mesta, ki želijo varnostne kopije v lastno nadzorovano shrambo.
  • WPvivid Backup & Migracija: Na strani vtičnika so poudarjene varnostne kopije, migracije in fazna priprava (fazna priprava se lahko ustvari v podimeniku za testiranje sprememb).
    Idealno za: ljudi, ki pogosto selijo spletna mesta in morajo pogosto testirati spremembe ad hoc.
  • Duplikator: Stran z vtičniki poudarja varnostno kopiranje/pakiranje/migracijo/kloniranje spletnih mest na nove gostitelje ali nove domene.
    Idealno za: selitev, repliciranje spletnih mest, gradnjo testnih spletnih mest, izdelavo “premestljivih paketov”.

UpdraftPlus je bolj “zaganjalnik sistema varnostnih kopij”.”

WPvivid/ Duplicator je boljši pri “migraciji/pakiranju/kopiranju”, vendar lahko naredi tudi varnostne kopije.

Tip B: Varnostno kopiranje v oblaku / varnostno kopiranje skoraj v realnem času (bolj primerno za spletna mesta, ki so bolj občutljiva na podatke in čas obnovitve)

Značilnosti: Poudarek na “zaščiti na spremembo/visokofrekvenčno spremembo” in “obnovitvi z enim klikom”, bolj kot na nizu storitev.

Orodja za predstavljanje:

  • Jetpack VaultPress Backup (Jetpack Backup): Stran vtičnika poudarja varnostno kopiranje v oblaku in obnovitev z enim klikom ter izrecno zahteva plačljiv načrt Jetpack, ki vključuje varnostno kopiranje, kateregaNa uradni strani za naročnino je poudarjeno tudi“Shranite vsako spremembo in se hitro vrnite v uporabno stanje z obnovitvijo z enim klikom.”
    Idealno za: spletna mesta za e-trgovino/članstvo, ki so občutljiva na hitrost obnovitve, ali tista, ki želijo varnostno kopiranje oddati v zunanje izvajanje zreli storitvi.
  • BlogVault: Opis vtičnika izrecno vključuje “samodejne, varne, inkrementalne varnostne kopije (podatkovna baza, teme, vtičniki, mediji)” z vgrajenimi možnostmi za preseljevanje in migracijo.
    Idealno za: Mesta, kjer je “varnostno kopiranje + testiranje + selitev” celoten potek dela.
  • ManageWP: Poudarek na tehnikah prirastnega varnostnega kopiranja za zmanjšanje obremenitve strežnika in zagotavljanje obnovitve z enim klikom.
    Idealno za: ljudi (studie/skupine), ki upravljajo več spletnih mest in želijo izdelovati varnostne kopije/posodobitve/nadzor v eni plošči na enoten način.

Vrsta C: posnetek/avtomatizirano varnostno kopiranje na strani gostitelja (zelo priporočljivo kot “druga linija zavarovanja”)

Vrednost varnostne kopije gostitelja: običajno je to “posnetek na ravni sistema” s širšo pokritostjo (vključno s stanjem podatkovnih zbirk in datotek ter celo okolja na določeni ravni).

Pogoste napačne predstave:

  • Varnostno kopiranje gostitelja ≠ Prenosljivo varnostno kopiranje: Varnostne kopije gostovanja morda ne bodo priročne, ko boste zamenjali gostitelja ali ko boste morali odstraniti varnostne kopije.
  • Varnostne kopije vtičnikov so bolj selitveneVarnostne kopije so v pomnilniku, ki ga lahko nadzorujete, zato je obnovitev v različnih okoljih bolj prilagodljiva.

Zato je običajno najbolj stabilna kombinacija:

Gostiteljsko varnostno kopiranje (pod pokrovom) + vtičnik/oblačno varnostno kopiranje (migracije na aplikacijski ravni + granularne točke obnovitve)

6. Varnostni načrt (začnite z najučinkovitejšimi osnovami in ne s kopico dodatkov)

Pri varnosti ne gre za “namestitev desetih vtičnikov”, temveč za vzpostavljanje obrambe po posameznih plasteh:

Faza 1: Računi in privilegiji (največje in takojšnje koristi)

Na tej stopnji želite “otežiti najpogostejše vstopne točke”:

  • Zmanjšanje skrbniškega računa: samo za tiste, ki ga potrebujejo
  • Strategija močnih gesel: ne uporabljajte ponovno, ne uporabljajte šibkih gesel
  • 2FA (preverjanje v dveh korakih)To je ena najučinkovitejših izboljšav v dobi “gesel, ki so se razblinila ali uhajala”.
    na primer Zanesljiva varnost Stran vtičnika izrecno podpira več načinov 2FA (Authy, Google Authenticator, e-pošta, nadomestne kode itd.).
  • Zaščita prijave: Omejite poskuse grobe sile in preprečite prijave z uporabo podrsavanja.
  • Računi, ki se ne uporabljajo, onemogočeni/izbrisani; teme/vtičniki, ki se ne uporabljajo več, izbrisani (ne le deaktivirani)

Faza 2: Posodobitve in upravljanje izpostavljenosti (ne puščajte tveganj v starih različicah)

Veliko število vdorov v WordPress prihaja iz “starih vtičnikov/tem/jedra z javno dostopnimi ranljivostmi”.

Zato je “posodobitev” eden ključnih vidikov varnostne strategije.
Dokumentacija WordPressa omenja uvedbo samodejnih posodobitev v ozadju od različice WordPress 3.7 za izboljšanje varnosti in navaja, da so samodejne posodobitve privzeto omogočene na večini spletnih mest in od 5.6 Zagon novega spletnega mesta je samodejno omogočenStrategije, kot so večje in manjše posodobitve različic.

Načela:

  • Jasna strategija posodabljanja jedra/teme/vtičnikov (samodejni/polsamodejni/ročni pregled)
  • Točke povratne vrnitve pred večjimi posodobitvami (vrnite se na poglavje 3, “Varnostna faza 3”).
  • Vtičnike, ki niso več vzdrževani, je treba čim prej zamenjati (to je najbolj neposreden način za “zmanjšanje izpostavljenosti”).

Faza 3: Zaščita in odkrivanje (otežite uspešnost napadov in omogočite zgodnejše odkrivanje nepravilnosti)

Na tej stopnji želite biti “bolj podobni sistematični obrambi”:

  • Požarni zid/WAF (blokiranje dela neželenega prometa, preden pride do WordPressa)
  • Pregledovanje zlonamerne kode, spremljanje celovitosti datotek
  • Varnostni dnevniki in opozorila: neobičajne prijave, spremembe privilegijev, spremenjene datoteke
  • Spremljanje: spremljanje izpadov, potek veljavnosti certifikata, anomalije 5xx, anomalije v prometu

Orodja za predstavljanje:

  • Wordfence: Na strani vtičnika so jasno navedeni požarni zid, preverjanje zlonamerne programske opreme in varnost prijave, pri čemer je omenjeno, da so pravila požarnega zidu in podpisi zlonamerne programske opreme v različici Premium posodobljeni v realnem času, pri brezplačni različici pa je zamik 30 dni.
    Priporočilo: Brezplačna različica znatno izboljša osnovno varnost, vendar če je vaše spletno mesto bolj tvegano ali se bolj zanaša na “najnovejše informacije o grožnjah”, razumite razliko v “zamudah pri posodobitvah”.
  • Zbirka popravkov(ideje za virtualno popravljanje/zaščito pred izkoriščanjem): Na njenem uradnem spletišču je poudarjena zaščita spletnih mest pred ranljivimi vtičniki/temami z virtualnimi popravki.Zbirka popravkov; in navodila za brezplačno različico, ki zagotavlja opozorila o ranljivostih, za plačljivo različico, ki zagotavlja samodejno zaščito pred ranljivostmi, in druge zamisli.
  • Sucuri(Varnostno preverjanje in servisiranje): Na strani s storitvami je poudarjeno čiščenje zlonamerne programske opreme z možnostjo stalnega pregledovanja/blokiranja prihodnjih vdorov Sucuri.

7. Opozorila o tveganjih

Visokofrekvenčne pasti, povezane z varnostnimi kopijami

  1. Varnostne kopije so lokalne samo v strežniku.
    Ko gre strežnik v napako, pogosto skupaj z njim izginejo tudi lokalne varnostne kopije.
  2. Podatkovna baza samo ne wp-vsebina
    Po obnovitvi boste ugotovili, da: je delovno mesto v, slika je izginila; ali prilagoditev teme je izginila; ali datoteke vtičnikov so nekonsistentne, kar povzroči napako.
  3. Nikoli ne izvajajte vaje za obnovitev.
    Šele v kritičnem trenutku ugotovite, da obnovitev ni uspela, da je varnostna kopija poškodovana ali da manjkajo ključne datoteke.
  4. Pogostost varnostnega kopiranja ni skladna s poslovanjem
    Na spletnih mestih za e-trgovino/članstvo, ki izdelujejo varnostne kopije enkrat na dan, lahko v najslabšem primeru izgubite podatke o naročilih/vedenju uporabnikov za en dan, pri čemer lahko stroški močno presežejo stroške varnostne kopije.

Visokofrekvenčne vdolbine, povezane z varnostjo

  1. Varnostni vtičnik je nameščen, vendar že dolgo ni posodobljen
    Varnostni vtičniki niso nadomestek za posodobitve. Stare ranljivosti so še vedno prisotne in tveganje ne bo izginilo.
  2. Preveč skrbniških računov/skupnih računov
    Dovoljenja so nenadzorovana, dnevnike je težko izslediti, predaja izhoda pa je tvegana.
  3. Razmišljanje “WAF/CDN je varen.”
    WAF lahko zaustavi številne splošne napade, vendar ne more odpraviti šibkih gesel, starih ranljivosti, vtičnikov z zadnjimi vrati itd. Najvarnejši pristop je “večplastna obramba”. Najvarnejše je, da imate "večplastno obrambo".
  4. Zlaganje več varnostnih vtičnikov, ki si med seboj nasprotujejo, prav tako upočasni spletno mesto
    Varnostne politike morajo dajati prednost načelu “manj je več”: 2FA + posodobljene politike + požarni zid/pregledovanje + opozorila; in ne “več kot jih namestite, bolj ste varni”.

8. Kontrolni seznam za potrjevanje

Preverjanje varnostnih kopij (če teh ne opravite, ne recite “imam varnostno kopijo”).

  • Ali so omogočene samodejne varnostne kopije (ne ročne)
  • Ali varnostna kopija vsebuje podatkovno bazo + wp-vsebino (nalaganje/teme/vtičniki)
  • Ali so varnostne kopije shranjene zunaj lokacije (pogon v oblaku/skladišče predmetov/osamljen strežnik).
  • Ali obstaja jasna strategija zadržanja (npr. zadržanje 7/30/90 dni)
  • Ali je bila zadnja varnostna kopija uspešna (in ne “načrt obstaja”).
  • Kdaj je bila zadnja vaja za obnovo? Ali je bila uspešna?
  • Ali je pred veliko posodobitvijo ustvarjena dodatna točka povratka?
  • razpoložljivost kritične poti po obnovitvi (prijava, obrazci, dostop do e-trgovine za naročanje/članstvo itd.)

Potrjevanje varnosti (najprej osvojite osnove)

  • Ali je skrbniški račun zmanjšan na minimum? Ali obstaja mehanizem za čiščenje izhodnega računa?
  • Omogoči ali onemogoči 2FA(vsaj vloge administratorja/redaktorja/vodje trgovine z visokimi pooblastili)
  • Ali obstaja jasenStrategija posodabljanja(Jedro/teme/priključki)
  • Ali želite odstraniti neuporabljene vtičnike/teme (in ne le deaktivirati)
  • Razpoložljivost požarnega zidu/zaščite pred prijavo/škodljivim pregledovanjem (Wordfence (itd. lahko pokriva del)
  • Razpoložljivost opozoril o ranljivostih/virtualnih zamisli o popravkih (Zbirka popravkov itd.)
  • Razpoložljivost alarmov (neobičajne prijave, spremembe datotek, izpadi, potek certifikata)
  • Razpoložljivost “načrtov za nepredvidljive dogodke”: kaj je prvi korak, ki ga je treba storiti v primeru vdora v sistem ali nedovoljenega vdora.

pogoste težave

1. Ali je dovolj, da uporabljate samo gostiteljevo lastno varnostno kopijo?

Običajno se ni priporočljivo zanašati le na en vir.
Varnostne kopije gostovanja so odlične, vendar ni nujno, da vam olajšajo “odstranitev, migracijo in fino vrnitev nazaj”. To je bolj stabilno:Gostiteljske varnostne kopije za podporo + vtičniki/oblačne varnostne kopije za prenosljivost in nadzorovane točke obnovitve

2. Kako pogosto naj naredim varnostno kopijo?

Glede na “hitrost spreminjanja podatkov”:

  • Spletne strani z vsebino: običajno dovolj na dan
  • Spletna stran podjetja: dnevno (zlasti če so na voljo obrazci) in potrdite, da vodilni niso samo na spletni strani.
  • E-trgovanje/članstvo: priporočljiva je večja pogostost (urna ali celo skoraj v realnem času), saj so podatki o naročilih/uporabnikih dragocenejši.

3. Kako dolgo je treba hraniti varnostne kopije?

To idejo lahko uporabite glede na vsebino in potrebe po skladnosti:

  • Najmanj 7-30 dni za redne povratne obračune
  • Če vas skrbijo “prikrita zadnja vrata/kriti posegi”, je dragocenejše, da je cikel daljši (npr. 90 dni), tako da se lahko vrnete na prejšnjo, čistejšo različico.

4. Ali je UpdraftPlus / WPvivid / Duplicator “ista stvar”?

Obe sta podprti, vendar z različnimi poudarki:

  • UpdraftPlus Bolj značilna je možnost “Načrtovano varnostno kopiranje + večnamensko shranjevanje + obnovitev”.”
  • WPvivid Poudarek na varnostnem kopiranju + migraciji + možnosti testiranja
  • Duplikator Zelo močna v “paket/migracija/klonsko mesto”

Če za izbiro uporabite tip, vas ime ne bo zmotilo.

5. Zakaj naj plačam za Jetpack Backup? Za kaj je namenjen?

Ker gre v bistvu bolj za “storitev varnostnega kopiranja v oblaku” - s poudarkom na shranjevanju v oblaku in obnovitvi z enim klikom - mora stran vtičnika izrecno vsebovati Načrti plačila za varnostno kopiranjeNa uradni strani za naročnino je poudarjeno shranjevanje vsake spremembe in hitro obnovitev z enim klikom.
Idealno za: ljudi, ki so bolj občutljivi na hitrost obnovitve in želijo upravljanje in vzdrževanje varnostnih kopij prepustiti razviti storitvi.

6. Kakšen je smisel “inkrementalnih varnostnih kopij”, kot je BlogVault / ManageWP?

Njihovo bistvo so inkrementalne varnostne kopije:Varnostno kopiranje samo sprememb, kar zmanjša obremenitev strežnika in hkrati omogoča pogostejše ustvarjanje točk obnovitve.

  • Vtičnik BlogVaultV navodilih je poudarjeno samodejno, postopno varnostno kopiranje in prepisovanje podatkovnih zbirk/tem/priključkov/medijev z vgrajeno možnostjo stopnjevanja in migracije;
  • ManageWP Poudarjene so tudi tehnike inkrementalnega varnostnega kopiranja, ki zmanjšujejo obremenitev in omogočajo obnovitev z enim klikom.

Idealno za: velika spletna mesta, veliko medijev, pogoste posodobitve ali če upravljate več spletnih mest.

7. Ali je en varnostni vtičnik dovolj?

Za večino spletnih mest je “en glavni varnostni vtičnik + pravilna osnovna politika” običajno učinkovitejši kot “kup teh vtičnikov”.
na primer Wordfence Lahko zajema osnovne zmogljivosti, kot so požarni zid, skeniranje in varnost prijave; skupaj z 2FA(Solid Security ponuja različne načine za to), lahko že znatno poveča stroške napada.

8. Ali brezplačna različica programa Wordfence deluje? Zakaj nekateri govorijo o prehodu na Premium?

Stran vtičnika WordfenceClarity: Premium zagotavlja posodobitve pravil požarnega zidu in zlonamernih podpisov v realnem času, medtem ko brezplačna različica zamuja 30 dni.
Ali potrebujete premijo, je odvisno od vaše stopnje tveganja in tolerance:

  • Spletna mesta z nizkim tveganjem: brezplačna različica + pravočasne posodobitve + 2FA, običajno že koristno!
  • Večje tveganje ali večje zanašanje na “najnovejše informacije o grožnjah”: treba je razumeti priložnost, ki jo lahko ustvarijo “zapoznele posodobitve”.

9. Kaj točno rešuje “virtualni popravek”, kot je Patchstack?

Ideja je, da se pravila uporabljajo za blokiranje površine napada znanih ranljivosti na aplikacijskem nivoju, še preden se izkoristijo ranljivosti vtičnikov/tem (ali preden so popravki v celoti razširjeni).Uradna spletna stran paketa PatchstackPoudarek na ranljivih vtičnikih/temah za zaščito pred virtualnimi popravki z razlago razlik med brezplačnimi in plačljivimi opozorili in samodejno zaščito.
To ni nadomestilo za posodabljanje, temveč način za zmanjšanje tveganja “okna za popravke”.

10. Ali se bom zaklenil, če bom aktiviral funkcijo 2FA?

Priporočljivo je, da se pripravite vnaprej:

  • Nadomestna koda/metoda izterjave (Zanesljiva varnost (omenjeni so bili tudi programi, kot so kode backup)
  • Ohranite vsaj enega “vodjo za izredne razmere” in varne informacije o obnovi.
  • Ključ: podatkov za obnovitev ne shranjujte na istem mestu, kjer do njih lahko pride vdor.

11. Ali je treba vklopiti samodejno posodabljanje WordPressa ali ne?

WordPress dokumentacijaRazložite, da je mehanizem samodejnega posodabljanja v ozadju namenjen izboljšanju varnosti in je privzeto omogočen za večino spletnih mest ter da je mogoče konfigurirati različne vrste politik posodabljanja.
Priporočilo:

  • Varnostne posodobitve in posodobitve manjših različic: ponavadi so avtomatizirane (skrajšajo čas za razkritje znanih ranljivosti).
  • Večje izdaje/kritične posodobitve vtičnikov: združite točke za varnostno kopiranje s testnim postopkom, preden se premaknete naprej (vsaj za možnost vrnitve nazaj).

12. Kakšen je prvi korak, če sumim, da je bilo spletno mesto napadeno?

Pravilen vrstni red (da ne naredite večjega nereda):

  1. Najprej zaustavite krvavitev.: Začasna omejitev prijav v ozadju, začasna prekinitev sumljivih funkcij in po potrebi odprtje strani za vzdrževanje.
  2. Ohranjanje dokazov in točke za obnovo najprej: Takoj naredite varnostno kopijo trenutnega stanja (za analizo) in hkrati pripravite čisto točko za povratno kopiranje
  3. Umik/čiščenje: Prednostno izvedite obnovo do znane čiste časovne točke ali uporabite strokovno storitev čiščenja (Sucuri itd. s poudarkom na čiščenju zlonamernih programov in stalni zaščiti).
  4. krpanje luknje: posodabljanje jedra/vtičnikov/tem, ponastavitev gesel in ključev, vklop 2FA, odstranitev sumljivih računov in vtičnikov

13. Zagotavljam varnost in varnostno kopiranje, zakaj moram spremljati?

Ker zgodnje odkrivanje zmanjšuje izgube.
Izpadi, pretečeni certifikati, neobičajen promet, neobičajne prijave, neobičajna naročila - vse to so težave, za katere velja “čim prej izveš, tem bolje”.