L'optimisation des performances permet de gagner en rapidité, mais le véritable enjeu pour les sites web est double :

  • cautionLes problèmes : Essayez de ne pas avoir d'ennuis (ne vous faites pas pirater, ne vous faites pas accrocher, ne vous faites pas planter, ne vous faites pas voler vos interfaces, ne vous faites pas manipuler).
  • sauvegarderrécupération rapide même en cas de problème (suppression accidentelle, transfert de mise à niveau, panne de serveur, retour en arrière après une intrusion ou une demande de rançon)

Les deux éléments suivants se complètent :

  • Si vous ne vous occupez que de la sécurité et non des sauvegardes, vous pouvez toujours passer à zéro du jour au lendemain si vous rencontrez des problèmes incontrôlables.“
  • Si vous ne vous occupez que des sauvegardes et non de la sécurité, vous tomberez dans le cycle “être touché tous les jours et restaurer tous les jours”, et les délais et les coûts deviendront incontrôlables !

Vous devriez être en mesure de le faire après l'avoir lu :

  • Savoir exactement ce qu'il faut couvrir avec la “sauvegarde et la sécurité” (pour éviter d'acheter le mauvais système, d'installer le mauvais système et de supposer qu'il est infaillible).
  • Possibilité de sélectionner la bonne solution en fonction du type de site (site de contenu/site commercial/e-commerce/site d'adhésion)
  • Capable d'être mis en service progressivement selon une feuille de route (résilient, puis contrôlable, puis systématique).
  • Peut être vérifié à l'aide de la liste de contrôle de l'autotest : sauvegardeIl est vraiment récupérable.SécuritéIl existe réellement une défense.
  • Savoir où chercher en premier lieu en cas de problème (échec de la sauvegarde, échec de la récupération, suspicion de piratage, etc.)

1) Objectif : vous avez besoin d'un “système récupérable”, pas d'un “plug-in”.”

Les sauvegardes ne consistent pas à “avoir un fichier de sauvegarde”.”

Au lieu de cela :Pouvez-vous rétablir le site tel que vous le souhaitez quand vous en avez besoin ?

L'indicateur clé de la sauvegarde n'est donc pas le “plugin de sauvegarde installé”, mais ces deux éléments :

  • Fenêtre de perte de données acceptable (RPO)Combien de temps pouvez-vous accepter de perdre des données dans le pire des cas ?
    Exemple : un site de contenu qui perd 24 heures d'articles peut être acceptable ; un site de commerce électronique qui perd 30 minutes de commandes est grave.
  • Temps de récupération acceptable (RTO)Les délais de remise en service après l'accident : Dans quel délai pensez-vous être de nouveau en ligne après l'accident ?
    Exemple : un site d'entreprise peut vouloir se rétablir dans un délai d'une heure ; un site de commerce électronique peut vouloir se rétablir dans un délai de 10 à 30 minutes.

Il n'est pas nécessaire d'inscrire ces paramètres dans une formule, mais de les utiliser pour prendre des décisions :Fréquence des sauvegardes, durée de conservation, besoin de sauvegardes en temps réel/incrémentielles, besoin de récupération en un clic/hors site

2. développement d'une stratégie rapide par type de site (orientation, puis sélection des outils)

Conseils stratégiques :

A. Sites de contenu / blogs

  • Fréquence des changements : généralement “quotidienne/hebdomadaire”.”
  • Fréquence de sauvegarde recommandée :tous les joursSauvegarde de la base de données et du contenu de wp (téléchargements/thèmes/plugins)
  • Objectif de rétablissement : la version d'hier/aujourd'hui est suffisante (en veillant à ne pas perdre les articles et la médiathèque).

B. Site commercial / site marketing (les formulaires sont importants)

  • Fréquence des changements : pas nécessairement élevée, mais les formulaires et les pistes sont essentiels.
  • Fréquence de sauvegarde recommandée : base de données au moinstous les joursLes données du formulaire et le courrier électronique/CRM ne seront pas “au même endroit”.”
  • Objectif de récupération : retour rapide en arrière en cas de problèmes avec les scripts de suivi des mises à jour/révisions/ajouts.

C. Site de commerce électronique (WooCommerce)

  • Fréquence des changements : commandes/inventaires/comportement des utilisateurs en cours
  • Fréquence de sauvegarde recommandée : préféréefréquence plus élevée(toutes les heures, ou même en temps réel/quasi réel), il faut au moins renforcer la protection de la base de données.
  • Objectif de rétablissement : perte minimale des données relatives aux commandes ; capacité à rétablir rapidement les liens entre les paiements et les commandes.

D. Site d'adhésion / site de cours / communauté

  • Fréquence de changement : progrès de l'utilisateur, autorisations, déverrouillage du contenu, données d'interaction
  • Fréquence de sauvegarde recommandée : fréquence plus élevée pour les bases de données ; avec des points de récupération “ponctuels”.
  • Objectif de récupération : les données de l'utilisateur ne sont pas altérées, les autorisations ne sont pas perdues et le contenu n'est pas modifié.

3. la feuille de route de la sauvegarde (il est recommandé d'avancer dans ces 3 phases)

Faits marquants :Commençons par la “récupération capable”, puis parlons de “l'automatisation et de la systématisation”.

Étape 1 : Commencez par “Sauvegarde automatique + stockage hors site”.”

C'est l'essentiel. Quel que soit l'outil que vous utilisez, respectez-le :

  • automatique: Ne comptez pas sur le fait que “je me souviendrai de cliquer manuellement sur le bouton”.”
  • stockage hors siteLes sauvegardes ne doivent pas être placées uniquement sur le même serveur.
    La raison en est très simple : si le serveur se bloque, si le disque est cassé ou si le compte est envahi pour supprimer la bibliothèque, votre “sauvegarde locale” peut disparaître en même temps.

Les applications typiques de l'outil sont les suivantes

  • Le plugin de sauvegarde pousse les sauvegardes vers un disque dur dans le nuage/un stockage d'objets/un serveur FTP (UpdraftPlus (Il prend explicitement en charge Dropbox, Google Drive, Amazon S3 et de nombreuses autres cibles).
  • Un service de sauvegarde en nuage place les sauvegardes dans son nuage et offre une restauration en un clic (Jetpack VaultPress Backup (Principalement la sauvegarde dans le nuage et la restauration en un clic, mais il faut inclure un plan payant pour la sauvegarde)

Phase 2 : Mise à niveau des sauvegardes vers des “systèmes récupérables”.”

Un grand nombre de sites sont réellement détruits, non pas à cause d'un manque de sauvegardes, mais à cause de.. :

  • Sauvegarde incomplète (uniquement la base de données, pas les téléchargements/thèmes/plugins)
  • Fichier de sauvegarde corrompu/autorisations incorrectes
  • Lorsque vous avez besoin de récupérer, vous vous rendez compte que “le processus de récupération ne fonctionne tout simplement pas”.”

Les objectifs de la phase 2 sont donc les suivantsFaire régulièrement des exercices de récupération(même dans un environnement de test/récupération de répertoire temporaire), confirmez les points suivants :

  • La base de données peut être récupérée.
  • La médiathèque peut être restaurée (wp-content/uploads/
  • Les thèmes/plugins peuvent être restaurés (wp-content/themes/wp-content/plugins/
  • Après la récupération, il est possible d'accéder au site normalement, de se connecter au backend normalement et d'exécuter les fonctions clés (le commerce électronique pour tester le processus de commande/paiement et le site d'adhésion pour tester les connexions/permissions).

C'est pourquoi de nombreuses solutions de sauvegarde commerciales mettent l'accent sur la “récupération en un clic”, la “récupération minute par minute” et les “sauvegardes incrémentielles pour réduire la charge”. Par exemple BlogVault Dans la description du plugin, il est souligné que **les sauvegardes automatiques et incrémentielles (y compris les bases de données, les thèmes, les plugins, les médias)** et les fonctions de mise en scène/migration sont fournies.ManageWP L'accent est également mis sur la réduction de la charge grâce à des techniques de sauvegarde incrémentielle et sur la restauration en un seul clic.

Phase 3 : Lier les sauvegardes au processus de mise à jour/libération (point de retour en arrière)

À ce stade, votre objectif est le suivant :Point de retour en arrière avant chaque changement majeur

Les scénarios typiques sont les suivants :

  • Mise à jour de la version majeure du noyau de WordPress
  • Changement de thème/révision du modèle
  • Installation ou remplacement de plug-ins clés (paiements électroniques, systèmes d'adhésion, systèmes de formulaires)
  • Remplacement d'images par lots / migration de contenu en masse

L'intérêt de l'étape 3 est qu'il n'est pas nécessaire de “prier pour que le changement se passe bien”, mais qu'il est possible de revenir rapidement au “moment précédant le changement” si le changement ne se passe pas bien.

4. sauvegarder ce qu'il faut sauvegarder exactement (de nombreuses personnes ont oublié ces points clés)

Essentiel 1 : Base de données (où se trouvent les commandes/utilisateurs/contenus/paramètres)

  • Articles, pages, commentaires
  • Utilisateurs, autorisations
  • WooCommerce Commandes, Inventaire, Coupons
  • Configurations des plug-ins (grand nombre de configurations stockées dans la base de données)

Essentiel 2 : wp-content (il s'agit de l'essentiel des “actifs visibles” du site WordPress)

  • uploadsles photos, les pièces jointes, la bibliothèque multimédia (l'endroit le plus facile à “oublier de sauvegarder”)
  • themesFichiers du thème (code personnalisé/modèles)
  • pluginsles fichiers de plugins (certains plugins écrivent également des fichiers personnalisés)

Le cas échéant : informations sur la configuration et l'environnement d'exploitation

Ne pas ignorer les différences environnementales :

  • Les différences de version de PHP peuvent provoquer des erreurs après la récupération
  • Des différences spécifiques entre les extensions et les composants de la mémoire cache peuvent entraîner des comportements différents.
  • Les règles en matière de proxy inverse, de CDN et de sécurité peuvent affecter l'interface de connexion et de backend.

La récupération ne consiste pas seulement à remettre le fichier en place, mais aussi à s'assurer que l'environnement d'exploitation et la configuration permettent son fonctionnement.

5. sélection du programme de sauvegarde

Type A : Sauvegardes programmées par plug-in (une solution de départ convenable pour la plupart des sites)

Caractéristiques : faible coût, contrôlable, déploiement rapide ; mais vous devez effectuer un solide “exercice de stockage et de récupération hors site”.

Outils de représentation :

  • UpdraftPlusLe plugin est un outil de sauvegarde et de restauration des tâches planifiées, avec une prise en charge explicite de plusieurs cibles de sauvegarde (Dropbox, Google Drive, Amazon S3, FTP, email, etc.) sur la page du plugin.
    Idéal pour : les sites de contenu/les sites commerciaux qui démarrent ; et les sites qui veulent des “sauvegardes sur leur propre stockage contrôlé”.
  • WPvivid Backup & MigrationLa page du plugin met en évidence les sauvegardes, les migrations et le staging (le staging peut être créé dans un sous-répertoire pour tester les changements).
    Idéal pour : les personnes qui migrent fréquemment des sites et qui doivent souvent tester des changements sur une base ad hoc.
  • DuplicateurLa page Plugin met l'accent sur la sauvegarde/le conditionnement/la migration/le clonage de sites vers de nouveaux hôtes ou de nouveaux domaines.
    Idéal pour : la migration, la réplication de sites, la construction de sites de test, la création de “paquets délocalisables”.

UpdraftPlus est plutôt un “démarreur de système de sauvegarde”.”

WPvivid/ Duplicator est plus performant pour la “migration/emballage/copie” mais peut aussi faire des sauvegardes.

Type B : Sauvegarde en nuage/sauvegarde en temps quasi réel (plus adapté aux sites plus sensibles aux données et au temps de récupération)

Caractéristiques : l'accent est mis sur la “protection par changement/changement à haute fréquence” et sur la “récupération en un clic”, ce qui s'apparente davantage à un ensemble de services.

Outils de représentation :

  • Jetpack VaultPress Backup (Jetpack Backup)La page du plugin met l'accent sur la sauvegarde dans le nuage et la restauration en un clic, et exige explicitement un plan Jetpack payant qui inclut la sauvegarde, dont le nom est "Backup".La page officielle de l'abonnement met également l'accent sur les points suivants“Sauvegardez chaque modification, revenez rapidement à un état utilisable grâce à la récupération en un clic”.
    Idéal pour : les sites de commerce électronique, les sites de membres et les sites sensibles à la “vitesse de récupération”, ou ceux qui souhaitent confier leurs opérations de sauvegarde à un service mature.
  • BlogVaultLa description du plugin inclut explicitement “des sauvegardes automatiques, sécurisées et incrémentales (bases de données, thèmes, plugins, médias)” avec des capacités intégrées de mise en scène et de migration.
    Idéal pour : les sites où “Sauvegarde + Test + Migration” est un flux de travail complet.
  • ManageWPLes techniques de sauvegarde incrémentale permettent de réduire la charge du serveur et d'assurer une restauration en un seul clic.
    Idéal pour : les personnes (studios/équipes) qui gèrent plusieurs sites et souhaitent effectuer des sauvegardes/mises à jour/surveillance dans un seul panneau de manière unifiée.

Type C : instantané côté hôte/sauvegarde automatisée (fortement recommandé en tant que “deuxième ligne d'assurance”)

La valeur d'une sauvegarde de l'hôte : il s'agit généralement d'un “instantané au niveau du système” avec une couverture plus large (y compris l'état des bases de données et des fichiers, et même de l'environnement à un certain niveau).

Idées reçues :

  • Sauvegarde de l'hôte ≠ Sauvegarde migratoireLes sauvegardes de l'hébergement peuvent ne pas être pratiques lorsque vous changez d'hébergeur ou que vous avez besoin de retirer vos sauvegardes de l'hébergeur.
  • Les sauvegardes par plug-in sont plus migratoiresLes sauvegardes sont stockées sur un espace de stockage que vous pouvez contrôler, ce qui rend la récupération dans les environnements plus flexible.

C'est donc la combinaison la plus stable qui est généralement retenue :

Sauvegarde hébergée (sous le capot) + Plugin/Sauvegarde dans le nuage (couche d'application migrable + points de récupération granulaires)

6. feuille de route en matière de sécurité (commencer par les éléments de base les plus efficaces, et non par une série de modules d'extension)

La sécurité ne consiste pas à “installer dix plug-ins”, mais à construire des défenses couche par couche :

Étape 1 : Comptes et privilèges (avantages les plus importants et les plus immédiats)

Ce que vous voulez faire à ce stade, c'est “rendre plus difficiles les points d'entrée les plus courants” :

  • Minimisation du compte administrateur : uniquement pour ceux qui en ont besoin
  • Politique de mot de passe fort : ne pas réutiliser, ne pas utiliser de mots de passe faibles
  • 2FA (vérification en deux étapes)Il s'agit de l'une des améliorations les plus efficaces à l'ère des mots de passe qui s'écrasent ou qui fuient.
    par exemple Une sécurité solide La page du plugin prend explicitement en charge plusieurs méthodes 2FA (Authy, Google Authenticator, email, codes alternatifs, etc.).
  • Protection de la connexion : limiter les tentatives de force brute, éviter les connexions pirates
  • Comptes non utilisés désactivés/supprimés ; thèmes/plugins qui ne sont plus utilisés supprimés (et pas seulement désactivés)

Étape 2 : Mises à jour et gestion de l'exposition (ne pas laisser les risques dans les anciennes versions)

Un grand nombre d'intrusions dans WordPress proviennent de “vieux plugins/thèmes/core avec des vulnérabilités accessibles au public”.

Par conséquent, la “mise à jour” est l'un des aspects essentiels de la stratégie de sécurité.
La documentation de WordPress mentionne l'introduction de mises à jour automatiques en arrière-plan à partir de WordPress 3.7 pour améliorer la sécurité, et indique que les mises à jour automatiques sont activées par défaut sur la plupart des sites, et à partir de 5.6 Le démarrage d'un nouveau site est automatiquement activéStratégies telles que les mises à jour de versions majeures ou mineures.

Principes :

  • Le noyau, les thèmes et les plugins doivent faire l'objet d'une stratégie de mise à jour claire (révision automatique/semi-automatique/manuelle).
  • Points de retour en arrière avant les mises à jour majeures (voir la section 3, “Phase de sauvegarde 3”)
  • Les plug-ins qui ne sont plus entretenus doivent être remplacés dès que possible (c'est le moyen le plus direct de “réduire l'exposition”).

Étape 3 : Protection et détection (rendre les attaques plus difficiles à réussir et les anomalies plus rapidement détectées)

À ce stade, il s'agit d'être “plus proche d'une défense systématique” :

  • Firewall/WAF (blocage d'une partie du trafic indésirable avant que la requête n'atteigne WordPress)
  • Analyse des codes malveillants, contrôle de l'intégrité des fichiers
  • Journaux et alertes de sécurité : connexions anormales, changements de privilèges, fichiers modifiés
  • Surveillance : surveillance des temps d'arrêt, expiration des certificats, anomalies 5xx, pics de trafic anormaux

Outils de représentation :

  • WordfenceLa page du plugin mentionne clairement le pare-feu, l'analyse des logiciels malveillants et la sécurité des connexions, et indique que la version Premium reçoit les règles du pare-feu et les mises à jour des signatures de logiciels malveillants en temps réel, alors que la version gratuite a un délai de 30 jours.
    Recommandation : la version gratuite améliore considérablement la sécurité de base, mais si votre site est plus risqué ou s'appuie davantage sur des “renseignements à jour sur les menaces”, comprenez la différence dans les “délais de mise à jour”.
  • Patchstack(idées de correctifs virtuels/de protection contre les exploits)Le site Web officiel de la Commission met l'accent sur la protection des sites contre les plugins/thèmes vulnérables par le biais de correctifs virtuels.PatchstackIl y a des instructions pour la version gratuite afin de fournir des alertes de vulnérabilité, pour la version payante afin de fournir une protection automatisée contre les vulnérabilités, ainsi que d'autres idées.
  • Sucuri(habilitation et sécurité des services)Sucuri : sa page de services met l'accent sur le nettoyage des logiciels malveillants avec la possibilité d'analyser et de bloquer en permanence les intrusions futures.

7. alertes aux risques

Pièges à haute fréquence liés à la sauvegarde

  1. Les sauvegardes sont uniquement locales au serveur
    Lorsque les serveurs tombent en panne, les sauvegardes locales disparaissent souvent avec eux.
  2. Base de données seulement, pas wp-content
    Lors de la restauration, vous constaterez que l'article est présent, mais que l'image a disparu, que la personnalisation du thème a disparu ou que les fichiers du plugin ne sont pas cohérents, ce qui entraîne une erreur.
  3. Ne jamais faire d'exercice de récupération.
    Ce n'est qu'au moment critique que vous vous rendez compte que la récupération a échoué, que la sauvegarde est corrompue ou que des fichiers essentiels sont manquants.
  4. La fréquence des sauvegardes n'est pas adaptée à l'activité de l'entreprise
    Les sites de commerce électronique ou d'affiliation qui effectuent des sauvegardes une fois par jour risquent, au pire, de perdre une journée de données relatives aux commandes ou au comportement des utilisateurs, pour un coût qui pourrait dépasser de loin celui de la sauvegarde.

Fosses à haute fréquence liées à la sécurité

  1. Plug-in de sécurité installé mais non mis à jour depuis longtemps
    Les plugins de sécurité ne remplacent pas les mises à jour. Les anciennes vulnérabilités existent toujours et le risque n'est pas près de disparaître.
  2. Trop de comptes administrateurs/comptes partagés
    Les autorisations sont incontrôlables, les journaux sont difficiles à retracer et les transferts de sortie sont risqués.
  3. “WAF/CDN et vous êtes en sécurité”.”
    Les WAF peuvent arrêter de nombreuses attaques génériques, mais ils ne peuvent pas corriger les mots de passe faibles, les anciennes vulnérabilités, les plug-ins de porte dérobée, etc. La chose la plus sûre à faire est d'avoir “plusieurs couches de défense”.
  4. L'empilement de plusieurs plugins de sécurité qui entrent en conflit les uns avec les autres ralentit également le site.
    Les politiques de sécurité devraient privilégier le principe “moins, c'est plus” : 2FA + politiques actualisées + pare-feu/scanner + alertes ; et non pas “plus vous en installez, plus vous êtes en sécurité”.

8. liste de contrôle pour la validation

Vérification des sauvegardes (ne dites pas “j'ai une sauvegarde” si vous ne réussissez pas ces 8 étapes)

  • Si les sauvegardes automatiques sont activées (pas les sauvegardes manuelles)
  • Si la sauvegarde contient une base de données + le contenu de wp (téléchargements/thèmes/plugins)
  • Si les sauvegardes sont stockées hors site (disque en nuage/stockage d'objets/serveur autonome)
  • Existe-t-il une stratégie claire de rétention (par exemple 7/30/90 jours de rétention) ?
  • Si la dernière sauvegarde a réussi (et non pas “la planification existe”)
  • Quand a eu lieu le dernier exercice de récupération ? A-t-il été couronné de succès ?
  • Existe-t-il un point de retour en arrière supplémentaire généré avant la grande mise à jour ?
  • Disponibilité du chemin critique après la reprise (connexion, formulaires, commandes en ligne/accès aux membres, etc.)

Validation de la sécurité (commencer par les bases)

  • Le compte de l'administrateur est-il réduit au minimum ? Existe-t-il un mécanisme de nettoyage du compte de sortie ?
  • Activer ou désactiver 2FA(au moins des rôles d'administrateur/rédacteur/responsable de magasin avec une grande autorité)
  • Existe-t-il uneStratégie de mise à jour(Core/themes/plugins)
  • Possibilité de supprimer les plugins/thèmes inutilisés (et pas seulement de les désactiver)
  • Disponibilité d'un pare-feu, d'une protection de l'identité et d'une analyse malveillante (Wordfence (etc. peut couvrir une partie)
  • Disponibilité des alertes de vulnérabilité/des idées de correctifs virtuels (Patchstack (Etc.)
  • Disponibilité des alarmes (connexions anormales, modifications de fichiers, temps d'arrêt, expiration des certificats)
  • Disponibilité de “plans d'urgence” : quelle est la première mesure à prendre en cas de piratage/altération ?

problèmes courants

1) Est-il suffisant d'utiliser uniquement la sauvegarde de l'hôte ?

Il n'est généralement pas recommandé de se fier à une seule source.
Les sauvegardes d'hébergement sont excellentes, mais elles ne facilitent pas nécessairement la suppression, la migration et le retour en arrière. C'est plus stable :Sauvegardes hébergées pour l'étayage + Sauvegardes Plugin/Cloud pour la migrabilité et les points de récupération contrôlés

2. à quelle fréquence dois-je effectuer des sauvegardes ?

Selon le “taux de variation des données” :

  • Sites de contenu : généralement assez par jour
  • Site de l'entreprise : quotidiennement (surtout s'il y a des pistes de formulaire) et confirmer que les pistes ne se trouvent pas uniquement sur le site.
  • Commerce électronique/affiliation : une fréquence plus élevée (toutes les heures ou même presque en temps réel) est recommandée, car les données relatives aux commandes et aux utilisateurs sont plus précieuses.

3. combien de temps les sauvegardes doivent-elles être conservées ?

En fonction du contenu et des besoins de conformité, vous pouvez utiliser cette idée :

  • Conserver au moins 7 à 30 jours pour un retour en arrière régulier
  • Si vous êtes préoccupé par les “portes dérobées latentes/la falsification chronique”, il est plus intéressant de conserver un cycle plus long (par exemple, 90 jours) afin de pouvoir revenir à une version antérieure plus propre.

4) UpdraftPlus / WPvivid / Duplicator, c'est la même chose ?

Tous les deux font marche arrière, mais avec des accents différents :

  • UpdraftPlus La formule la plus courante est “Sauvegarde programmée + Stockage multicible + Récupération”.”
  • WPvivid L'accent est mis sur la sauvegarde, la migration et la mise à disposition de capacités de test.
  • Duplicateur Très fort en “pack/migrate/clone site”

Si vous utilisez “type” pour sélectionner, vous ne serez pas dérouté par le nom.

5) Pourquoi devrais-je payer pour Jetpack Backup ? A quoi cela sert-il ?

Parce qu'il s'agit essentiellement d'un “service de sauvegarde dans le nuage”, qui met l'accent sur la sauvegarde dans le nuage et la restauration en un seul clic, la page du plugin doit explicitement inclure les éléments suivants Plans de paiement pour la sauvegardeLa page officielle de l'abonnement met l'accent sur la sauvegarde de chaque modification et sur la récupération rapide en un seul clic.
Idéal pour : les personnes qui sont plus sensibles à la vitesse de récupération et qui souhaitent confier l'exploitation et la gestion des sauvegardes à un service mature.

6) Quel est l'intérêt des “sauvegardes incrémentales” comme BlogVault / ManageWP ?

Les sauvegardes incrémentielles sont au cœur de ce système :Sauvegarder uniquement les modificationsce qui réduit la charge du serveur tout en permettant de générer des points de récupération à une fréquence plus élevée.

  • Plugin BlogVaultLes instructions mettent l'accent sur les sauvegardes automatiques et incrémentielles et sur l'écrasement des bases de données/thèmes/plugins/médias, avec des fonctions intégrées de mise à disposition et de migration ;
  • ManageWP Les techniques de sauvegarde incrémentale sont également mises en avant pour réduire la charge et permettre une restauration en un seul clic.

Idéal pour : les grands sites, les nombreux médias, les mises à jour fréquentes, ou si vous gérez plusieurs sites.

7) Un seul plug-in de sécurité suffit-il ?

Pour la plupart des sites, “un plugin de sécurité principal + une politique de base correcte” est généralement plus efficace que “plusieurs plugins”.
par exemple Wordfence Peut couvrir les capacités de base telles que le pare-feu, le balayage et la sécurité de l'ouverture de session ; couplé à la sécurité de l'accès à l'Internet, il peut couvrir les capacités de base. 2FA(Solid Security propose diverses méthodes pour ce faire), peut déjà augmenter considérablement le coût d'une attaque.

8. la version gratuite de Wordfence fonctionne-t-elle ? Pourquoi certaines personnes parlent-elles de passer à la version Premium ?

Page du plugin WordfenceClarity : Premium fournit des mises à jour en temps réel des règles de pare-feu et des signatures malveillantes, tandis que la version gratuite est retardée de 30 jours.
La nécessité d'une prime dépend de votre niveau de risque et de tolérance :

  • Sites à faible risque : version gratuite + mises à jour ponctuelles + 2FA, généralement déjà utile !
  • Un risque plus élevé ou une plus grande dépendance à l'égard de “renseignements à jour sur les menaces” : la nécessité de comprendre la fenêtre que peuvent créer les “mises à jour différées”.

9) Qu'est-ce qu'un “patch virtuel” comme Patchstack résout exactement ?

L'idée est d'utiliser des règles pour bloquer la surface d'attaque des vulnérabilités connues au niveau de l'application avant que les vulnérabilités des plugins/thèmes ne soient exploitées (ou avant que les correctifs ne soient pleinement répandus).Site officiel de PatchstackL'accent est mis sur les plugins/thèmes vulnérables de protection contre les correctifs virtuels, avec des explications sur les différences gratuit/payant en matière d'alertes et de protection automatisée.
Cela ne remplace pas la mise à jour, mais permet de minimiser le risque d'une “fenêtre de correctifs”.

10. vais-je me bloquer moi-même si j'active la fonction 2FA ?

Il est recommandé de se préparer à l'avance :

  • Autre code/méthode de récupération (Une sécurité solide Des programmes tels que les codes de sauvegarde ont également été mentionnés)
  • Conserver au moins un “gestionnaire d'urgence” et sécuriser les informations relatives à la récupération.
  • La clé : ne pas placer les informations de récupération au même endroit que celui où une brèche peut les atteindre

11) La mise à jour automatique de WordPress doit-elle être activée ou non ?

Documentation WordPressExpliquez que le mécanisme de mise à jour automatique en arrière-plan est destiné à améliorer la sécurité et qu'il est activé par défaut pour la plupart des sites, et que différents types de politiques de mise à jour peuvent être configurés.
Recommandation :

  • Mises à jour de sécurité et de versions mineures : tendent à être automatisées (réduisent le temps nécessaire pour révéler les vulnérabilités connues).
  • Versions majeures/mises à jour critiques de plugins : combiner les points de sauvegarde et de retour en arrière avec un processus de test avant d'aller de l'avant (au moins pour pouvoir revenir en arrière).

12) Quelle est la première étape à suivre si je soupçonne qu'un site web a été piraté ?

Ordre correct (pour éviter de faire un plus grand gâchis) :

  1. Arrêtez d'abord l'hémorragie.Les services d'information et de communication de l'Union européenne (UE) : restreindre temporairement les connexions en arrière-plan, suspendre les fonctions suspectes et ouvrir des pages de maintenance si nécessaire.
  2. Préservation des preuves et points de récupération d'abordSauvegarde de l'état actuel : Effectuer immédiatement une sauvegarde de l'état actuel (pour analyse) et préparer en même temps un point de retour en arrière propre.
  3. Retour en arrière/nettoyageLes services d'assistance à l'enfance et à la jeunesse sont des services d'assistance à l'enfance et à la jeunesse qui ont pour but d'améliorer la qualité de la vie des enfants et des jeunes.Sucuri etc. en mettant l'accent sur le nettoyage des malveillances et la protection permanente)
  4. réparer un trouMise à jour de core/plugins/themes, réinitialisation des mots de passe et des clés, activation de 2FA, suppression des comptes et des plugins suspects.

13. je m'occupe de la sécurité et de la sauvegarde, pourquoi dois-je surveiller ?

Parce que la “détection précoce” minimise les pertes.
Temps d'arrêt, certificats expirés, trafic anormal, connexions anormales, commandes anormales : autant de problèmes qui doivent être résolus le plus tôt possible.