Оптимизация производительности решает задачу “быстрее”, но на самом деле для веб-сайтов важны две вещи:

  • поручительство: Старайтесь не попадать в неприятности (не взламывайте, не зависайте, не разбивайтесь, не перехватывайте интерфейсы, не вмешивайтесь).
  • резервное копирование: быстрое восстановление, даже если что-то пошло не так (случайное удаление, перенос обновления, сбой сервера, откат после выкупа/взлома).

Следующие две вещи дополняют друг друга:

  • Если вы занимаетесь только безопасностью, но не резервным копированием, то при возникновении неконтролируемых проблем вы все равно можете за ночь выйти в ноль.“
  • Если вы будете заниматься только резервным копированием, но не обеспечением безопасности, вы попадете в цикл “каждый день получать повреждения и каждый день восстанавливать”, а время и затраты выйдут из-под контроля!

Вы должны быть в состоянии сделать это после прочтения:

  • Знать, что именно следует включить в понятие “резервное копирование и безопасность” (чтобы не купить не то, не установить не то и не считать, что это защита от дурака)
  • Возможность выбора подходящего решения по типу сайта (контент-сайт/бизнес-сайт/сайт электронной коммерции/сайт членства)
  • Способность постепенно переходить на новый режим работы в соответствии с дорожной картой (устойчивый, затем управляемый, затем систематический).
  • Можно проверить с помощью контрольного списка самодиагностики: резервное копированиеЭто действительно можно восстановить.БезопасностьЗащита действительно существует.
  • Знайте, куда в первую очередь следует обратиться при возникновении проблем (сбой резервного копирования, сбой восстановления, подозрение на взлом и т. д.).

1. Цель: вам нужна “восстанавливаемая система”, а не “плагин”.”

Резервное копирование - это не просто “наличие файла резервной копии”.”

Вместо этого:Сможете ли вы вернуть сайт в нужное вам состояние, когда он вам понадобится

Поэтому ключевым показателем резервного копирования является не “установленный плагин резервного копирования”, а эти две вещи:

  • Приемлемое окно потери данных (RPO): Как долго вы сможете мириться с потерей данных при наихудшем сценарии?
    Например: для сайта, размещающего контент, потеря 24 часов статей может быть приемлемой, а для сайта электронной коммерции потеря 30 минут заказов - серьезным делом.
  • Приемлемое время восстановления (RTO): Как быстро вы рассчитываете вернуться к работе после аварии?
    Например, корпоративный сайт должен восстанавливаться в течение 1 часа, а сайт электронной коммерции - в течение 10-30 минут.

Не обязательно записывать эти показатели в формулу, но используйте их для принятия решения:Частота резервного копирования, время хранения, необходимость резервного копирования в реальном времени/инкрементного резервного копирования, необходимость восстановления одним щелчком мыши/восстановления за пределами объекта

2. Разработка быстрой стратегии по типу участка (ориентация, затем выбор инструмента)

Советы по стратегии:

А. Контентные сайты / блоги

  • Частота изменений: обычно “ежедневно/еженедельно”
  • Рекомендуемая частота резервного копирования:повседневностьРезервное копирование базы данных + wp-контента (загрузки/темы/плагины)
  • Цель восстановления: достаточно вчерашней/сегодняшней версии (с упором на то, чтобы не потерять статьи и медиатеки).

B. Бизнес-сайт / маркетинговый сайт (важны лиды в форме)

  • Частота изменений: не обязательно высокая, но формы/ориентиры имеют решающее значение
  • Рекомендуемая частота резервного копирования: база данных не менееповседневностьДанные формы и электронной почты/CRM не будут находиться “в одном месте”.”
  • Цель восстановления: быстрый откат в случае проблем с обновлением/пересмотром/добавлением скриптов отслеживания

C. Сайт электронной коммерции (WooCommerce)

  • Частота изменений: заказы/инвентарь/поведение пользователей постоянно
  • Рекомендуемая частота резервного копирования: предпочтительновысокая частота(ежечасно или даже в режиме реального времени/ближе к реальному времени), по крайней мере, сделайте защиту базы данных надежной.
  • Цель восстановления: минимальная потеря данных о заказах; возможность быстрого восстановления связей между платежами и заказами

D. Сайт членства / сайт курса / сообщество

  • Частота изменений: прогресс пользователя, разрешения, разблокировка контента, данные о взаимодействии
  • Рекомендуемая частота резервного копирования: более высокая частота для баз данных; с точками восстановления “точка-время”.
  • Цель восстановления: пользовательские данные не повреждаются, разрешения не теряются, а содержимое не изменяется.

3. Дорожная карта резервного копирования (рекомендуется двигаться по этим трем этапам)

Основные моменты:Давайте сначала сделаем “способное восстановление”, а потом поговорим об “автоматизации и систематизации”.

Этап 1: Начните с “Автоматическое резервное копирование + внеофисное хранение”.”

В этом и заключается суть. Неважно, какой инструмент вы используете, он должен быть выполнен:

  • автоматический:: Не полагайтесь на “я не забуду нажать на нее вручную”.”
  • внеофисное хранение: Не размещайте резервные копии на одном сервере.
    Причина очень проста: сервер завис/диск сломался/в аккаунт вторглись, чтобы удалить библиотеку, и ваша “локальная резервная копия” может исчезнуть вместе с ней.

Типичные варианты реализации инструмента включают:

  • Плагин резервного копирования переносит резервные копии на облачный диск/объектное хранилище/FTP (UpdraftPlus (Он явно поддерживает Dropbox, Google Drive, Amazon S3 и многие другие цели).
  • Облачная служба резервного копирования хранит резервные копии в своем облаке и предлагает восстановление одним щелчком мыши (см.Резервное копирование Jetpack VaultPress (В основном облачное резервное копирование и восстановление одним щелчком мыши, но необходимо включить платный план для резервного копирования)

Этап 2: Модернизация резервных копий до уровня “восстанавливаемых систем”

Многие сайты действительно рушатся не из-за отсутствия резервных копий, а по причине:

  • Неполное резервное копирование (только базы данных, но не загрузок/тем/плагинов)
  • Поврежденный файл резервной копии/неправильные разрешения
  • Когда вам нужно восстановиться, вы понимаете, что “процесс восстановления просто не работает”.”

Таким образом, цели фазы 2 таковы:Регулярно выполняйте восстановительные упражнения(даже в тестовой среде/временном восстановлении каталога), подтвердите следующие моменты:

  • База данных может быть восстановлена.
  • Медиатеку можно восстановить (wp-content/uploads/
  • Темы/плагины могут быть восстановлены (wp-content/themes/wp-content/plugins/
  • После восстановления к сайту можно получить нормальный доступ, войти в бэкэнд и запустить ключевые функции (электронная коммерция для проверки процесса заказа/оплаты, а сайт членства - для проверки логина/привилегий).

Именно поэтому многие коммерческие решения для резервного копирования делают упор на “восстановление одним щелчком мыши”, “поминутное восстановление” и “инкрементное резервное копирование для снижения нагрузки”. Например BlogVault В описании плагина подчеркивается, что **автоматическое, инкрементное резервное копирование (включая базы данных, темы, плагины, медиа)** и функции постановки/миграции обеспечены.ManageWP Также особое внимание уделяется снижению нагрузки с помощью методов инкрементного резервного копирования и обеспечению восстановления одним щелчком мыши.

Этап 3: привязка резервных копий к процессу обновления/релиза (точка отката)

На этом этапе ваша цель - это:Точка отката перед каждым серьезным изменением

Типичные сценарии включают:

  • Обновление основной версии ядра WordPress
  • Смена темы/переделка шаблона
  • Установка или замена ключевых плагинов (платежи электронной коммерции, системы членства, системы форм)
  • Пакетная замена изображений / массовая миграция содержимого

Суть этапа 3 заключается в том, что вам не нужно “молиться, чтобы изменения прошли хорошо”, а скорее в том, что вы можете быстро вернуться к “моменту до изменений”, если изменения пойдут не так.

4. Резервное копирование - что именно нужно резервировать (многие люди, занимающиеся резервным копированием, упускают эти ключевые моменты)

Сущность 1: База данных (куда попадают заказы/пользователи/контент/настройки)

  • Статьи, Страницы, Комментарии
  • Пользователи, разрешения
  • WooCommerce Заказы, инвентарь, купоны
  • Конфигурации плагинов (большое количество конфигураций, хранящихся в базе данных)

Существо 2: wp-content (это основная часть “видимых активов” сайта WordPress)

  • uploads:: Изображения, вложения, медиатека (самое простое место, куда можно “забыть сделать резервную копию”).
  • themes: Файлы темы (пользовательский код/шаблоны)
  • plugins: файлы плагинов (некоторые плагины также пишут собственные файлы)

По мере необходимости: информация о конфигурации и операционной среде

Не игнорируйте различия в окружающей среде:

  • Разница в версии PHP может привести к ошибкам после восстановления
  • Различия между конкретными расширениями и компонентами кэша могут привести к различному поведению
  • Правила обратного прокси/CDN/безопасности могут влиять на вход в систему и интерфейс бэкэнда

Восстановление - это не только возвращение файла на место, но и обеспечение того, чтобы операционная среда и конфигурация могли поддерживать его работу.

5. Выбор программы резервного копирования

Тип A: подключаемое резервное копирование по таймеру (подходящее начальное решение для большинства сайтов)

Характеристики: низкая стоимость, управляемость, быстрое развертывание; но необходимо провести тщательную подготовку “хранение за пределами площадки + восстановление”.

Инструменты репрезентации:

  • UpdraftPlus: Основное внимание уделено резервному копированию и восстановлению по расписанию, а на странице плагина явно выражена поддержка нескольких целей резервного копирования (Dropbox, Google Drive, Amazon S3, FTP, электронная почта и т. д.).
    Идеально подходит для: начинающих контент-сайтов/бизнес-сайтов, а также сайтов, которым требуется “резервное копирование в собственное контролируемое хранилище”.
  • Резервное копирование и миграция WPvivid: На странице плагина выделены резервное копирование, миграция и стейджинг (стейджинг может быть создан в подкаталоге для тестирования изменений).
    Идеально подходит для: людей, которые часто мигрируют сайты и нуждаются в тестировании изменений на разовой основе.
  • Дубликатор: На странице плагинов особое внимание уделяется резервному копированию/пакетированию/миграции/клонированию сайтов на новые хосты или новые домены.
    Идеально подходит для: миграции, репликации сайтов, создания тестовых сайтов, создания “перемещаемых пакетов”.

UpdraftPlus - это скорее “стартовая система резервного копирования”.”

WPvivid/ Duplicator лучше справляется с “миграцией/упаковкой/копированием”, но также может делать резервные копии.

Тип B: облачное резервное копирование/резервное копирование почти в режиме реального времени (больше подходит для сайтов, которые более чувствительны к данным и времени восстановления)

Особенности: Упор на “защиту от каждого изменения/высокочастотного изменения” и “восстановление одним щелчком”, больше похоже на набор услуг.

Инструменты репрезентации:

  • Jetpack VaultPress Backup (Резервное копирование Jetpack): На странице плагина делается акцент на облачном резервном копировании и восстановлении одним щелчком мыши, при этом явно требуется платный тарифный план Jetpack, включающий Backup, которыйНа официальной странице подписки также отмечается“Сохраняйте каждое изменение, быстро возвращайтесь в пригодное для использования состояние с помощью восстановления одним щелчком мыши”.
    Идеально подходит для: электронной коммерции/сайтов с членством, чувствительных к скорости восстановления, или для тех, кто хочет передать операции резервного копирования зрелому сервису.
  • BlogVault: В описании плагина явно указано “автоматическое, безопасное, инкрементное резервное копирование (базы данных, тем, плагинов, медиа)” со встроенными возможностями постановки и миграции.
    Идеально подходит для: сайтов, для которых “резервное копирование + тестирование + миграция” является полным рабочим процессом.
  • ManageWP: Упор на методы инкрементного резервного копирования для снижения нагрузки на сервер и обеспечения восстановления одним щелчком мыши.
    Идеально подходит для: людей (студий/команд), которые управляют несколькими сайтами и хотят выполнять резервное копирование/обновление/мониторинг в одной панели единым способом.

Тип C: моментальные снимки на стороне хоста/автоматическое резервное копирование (настоятельно рекомендуется в качестве “второй линии страховки”)

Ценность резервного копирования хоста: как правило, это “снимок системного уровня” с более широким охватом (включая состояние баз данных и файлов, и даже окружения на определенном уровне).

Распространенные заблуждения:

  • Резервное копирование хоста ≠ Мигрируемое резервное копирование: Резервные копии хостинга могут быть неудобны при смене хостера или необходимости забрать свои резервные копии.
  • Резервное копирование с помощью плагинов является более переносимымРезервные копии попадают в хранилище, которое вы можете контролировать, что делает восстановление в разных средах более гибким.

Поэтому обычно выбирается наиболее устойчивая комбинация:

Hosted Backup (под капотом) + Plugin/Cloud Backup (переносимый уровень приложений + гранулированные точки восстановления)

6. Дорожная карта безопасности (начните с самых эффективных основ, а не с кучи плагинов)

Безопасность - это не “установка десяти плагинов”, это построение защиты на уровне слоев:

Этап 1: Учетные записи и привилегии (наибольшие и непосредственные преимущества)

На этом этапе вы хотите “усложнить наиболее распространенные точки входа”:

  • Минимизация учетной записи администратора: только для тех, кому это необходимо
  • Строгая политика паролей: не использовать повторно, не использовать слабые пароли
  • 2FA (двухэтапная верификация)Это одно из самых эффективных усовершенствований в эпоху “краха/утечки паролей”.
    например Надежная защита Страница плагина явно поддерживает несколько методов 2FA (Authy, Google Authenticator, электронная почта, альтернативные коды и т. д.).
  • Защита входа: ограничение попыток грубой силы, предотвращение подмены логинов
  • Неиспользуемые учетные записи отключены/удалены; темы/плагины, которые больше не используются, удалены (не только деактивированы)

Этап 2: Обновления и управление рисками (не оставляйте риски в старых версиях)

Большое количество вторжений в WordPress происходит из-за “старых плагинов/тем/ядра с общедоступными уязвимостями”.

Поэтому “обновление” - один из основных аспектов стратегии безопасности.
В документации WordPress упоминается о введении автоматических фоновых обновлений с версии WordPress 3.7 для повышения безопасности, и говорится, что автоматические обновления включены по умолчанию на большинстве сайтов, а из 5.6 Запуск нового сайта включается автоматическиТакие стратегии, как обновление крупных и мелких версий.

Принципы:

  • Ядро/темы/плагины должны иметь четкую стратегию обновления (автоматическое/полуавтоматическое/ручное)
  • Точки отката перед крупными обновлениями (вернитесь к разделу 3, “Этап резервного копирования 3”)
  • Плагины, которые больше не обслуживаются, должны быть заменены как можно скорее (это самый прямой способ “уменьшить воздействие”).

Этап 3: защита и обнаружение (усложнение успешности атак и раннее обнаружение аномалий)

На этом этапе вы хотите стать “более похожими на систематическую защиту”:

  • Брандмауэр/WAF (блокирует часть нежелательного трафика до того, как он попадет в WordPress)
  • Сканирование вредоносного кода, контроль целостности файлов
  • Журналы безопасности и оповещения: аномальные входы, изменения привилегий, измененные файлы
  • Мониторинг: мониторинг простоев, истечение срока действия сертификата, аномальные 5xx, аномальные скачки трафика

Инструменты репрезентации:

  • Wordfence: На странице плагина четко указаны брандмауэр, сканирование на наличие вредоносных программ и безопасность входа в систему, а также упоминается, что Premium получает обновления правил брандмауэра и сигнатур вредоносных программ в режиме реального времени, в то время как бесплатная версия имеет 30-дневную задержку.
    Рекомендация: Бесплатная версия значительно повышает базовый уровень безопасности, но если ваш сайт более рискованный или больше полагается на “актуальную информацию об угрозах”, поймите разницу в “задержках обновления”.
  • Patchstack(идеи виртуального исправления/защиты от эксплойтов): На официальном сайте компании рассказывается о защите сайтов от уязвимых плагинов/тем с помощью виртуальных патчей.Patchstack; есть инструкции для бесплатной версии, обеспечивающей оповещения об уязвимостях, для платной версии, обеспечивающей автоматическую защиту от уязвимостей, и другие идеи.
  • Sucuri(Допуск и безопасность обслуживания): На странице услуг компании Sucuri особое внимание уделяется очистке от вредоносных программ с возможностью непрерывного сканирования/блокирования будущих вторжений.

7. Оповещения о рисках

Высокочастотные "подводные камни", связанные с резервным копированием

  1. Резервные копии создаются только на локальном сервере
    Когда серверы выходят из строя, локальные резервные копии часто исчезают вместе с ними.
  2. Только база данных, но не wp-контент
    При восстановлении вы обнаружите: пост есть, а изображение исчезло; или настройки темы исчезли; или файлы плагина не соответствуют друг другу, что приводит к ошибке.
  3. Никогда не делайте восстановительных упражнений.
    Только в самый ответственный момент вы понимаете, что восстановление не удалось, резервная копия повреждена или критически важные файлы отсутствуют.
  4. Частота резервного копирования не соответствует бизнесу
    На сайтах электронной коммерции и членства, резервное копирование которых выполняется раз в день, в худшем случае вы можете потерять данные о заказах/поведении пользователей за день, что может значительно превысить стоимость резервного копирования.

Высокочастотные ямы, связанные с безопасностью

  1. Плагин безопасности установлен, но не обновлялся в течение длительного времени
    Плагины безопасности не заменяют обновления. Старые уязвимости существуют, и риск не исчезнет.
  2. Слишком много учетных записей администратора/общих учетных записей
    Разрешения выходят из-под контроля, журналы трудно отследить, а передача прав на выход рискованна.
  3. “WAF/CDN, и вы в безопасности”.”
    WAF могут остановить многие типовые атаки, но они не могут исправить слабые пароли, старые уязвимости, плагины с бэкдорами и т. д. Самый безопасный подход - это “многоуровневая защита”. Безопаснее всего иметь "многоуровневую защиту".
  4. Установка нескольких плагинов безопасности, которые конфликтуют друг с другом, также замедляет работу сайта
    В политике безопасности приоритетом должно быть “меньше - значит больше”: 2FA + обновленные политики + брандмауэр/сканирование + оповещения; а не “чем больше вы установите, тем более защищены”.

8. Контрольный перечень для валидации

Проверка резервных копий (не говорите “у меня есть резервная копия”, если вы не прошли эти 8)

  • Включено ли автоматическое резервное копирование (не ручное).
  • Содержит ли резервная копия базу данных + wp-контент (загрузки/темы/плагины)
  • Хранятся ли резервные копии вне помещения (облачный диск/объектное хранилище/отдельный сервер).
  • Существует ли четкая стратегия удержания (например, удержание в течение 7/30/90 дней).
  • Было ли последнее резервное копирование успешным (не “расписание существует”).
  • Когда было последнее упражнение по восстановлению? Было ли оно успешным?
  • Есть ли дополнительная точка отката, созданная перед большим обновлением?
  • Доступность критических путей после восстановления (вход в систему, формы, доступ к заказам электронной коммерции/ членству и т. д.)

Проверка безопасности (сначала изучите основы)

  • Минимизирована ли учетная запись администратора? Есть ли механизм очистки учетной записи при выходе?
  • Включить или выключить 2FA(по крайней мере, администратор/редактор/менеджер магазина с высокими полномочиями)
  • Существует ли четкийСтратегия обновления(Ядро/темы/плагины)
  • Нужно ли удалять неиспользуемые плагины/темы (а не просто деактивировать их)
  • Наличие брандмауэра/защиты логина/сканирования вредоносных программ (Wordfence (и т.д. может покрывать часть)
  • Доступность оповещений об уязвимостях/идей виртуального исправления (Patchstack и т. д.
  • Наличие оповещений (аномальные входы, изменения файлов, простои, истечение срока действия сертификата)
  • Наличие “планов действий на случай непредвиденных обстоятельств”: что необходимо предпринять в первую очередь в случае взлома/вредительства

общие проблемы

1. Достаточно ли использовать только собственные резервные копии хоста?

Обычно не рекомендуется полагаться только на один источник.
Резервное копирование на хостинге - это здорово, но оно не всегда позволяет легко “убрать, перенести и откатиться назад”. Это более стабильно:Резервное копирование на хостинге для обеспечения надежности + резервное копирование на плагинах/в облаке для миграции и контролируемых точек восстановления

2. Как часто следует выполнять резервное копирование?

В соответствии со “скоростью изменения данных”:

  • Контентные сайты: обычно достаточно в день
  • Сайт предприятия: ежедневно (особенно если есть формы лидов) и подтвердите, что лиды находятся не только на сайте
  • Электронная коммерция/ членство: рекомендуется более высокая частота (ежечасно или даже почти в режиме реального времени), так как данные о заказах/пользователях имеют большую ценность

3. Как долго должны храниться резервные копии?

В зависимости от содержания и соответствия требованиям вы можете использовать эту идею:

  • Храните не менее 7-30 дней для регулярного отката.
  • Если вас беспокоят “скрытые бэкдоры/хронические взломы”, то целесообразнее держать цикл дольше (например, 90 дней), чтобы можно было вернуться к более ранней чистой версии.

4. Являются ли UpdraftPlus / WPvivid / Duplicator “одним и тем же”?

Они оба поддерживают друг друга, но с разными акцентами:

  • UpdraftPlus Более типичным является “резервное копирование по расписанию + многоцелевое хранилище + восстановление”.”
  • WPvivid Акцент на резервном копировании + миграции + постановке на поток Возможности тестирования
  • Дубликатор Очень силен в “упаковке/миграции/клонировании сайта”.”

Если вы используете “тип” для выбора, вас не смутит название.

5. Почему я должен платить за Jetpack Backup? Для чего она нужна?

Поскольку по сути это скорее “облачный сервис резервного копирования” - с акцентом на сохранение в облаке и восстановление одним щелчком мыши - страница плагина должна содержать следующее Планы оплаты для резервного копированияНа официальной странице подписки подчеркивается важность сохранения каждого изменения и быстрого восстановления одним щелчком мыши.
Идеально подходит для: людей, которые более чувствительны к скорости восстановления и хотят оставить управление резервным копированием на усмотрение зрелого сервиса.

6. В чем смысл “инкрементных резервных копий”, таких как BlogVault / ManageWP?

В их основе лежит инкрементное резервное копирование:Резервное копирование только измененийчто снижает нагрузку на сервер и позволяет генерировать точки восстановления с большей частотой.

  • Плагин BlogVaultВ инструкциях особое внимание уделяется автоматическому инкрементальному резервному копированию и перезаписи баз данных/тем/плагинов/медиа, а также встроенным функциям постановки и миграции;
  • ManageWP Также особое внимание уделяется методам инкрементного резервного копирования для снижения нагрузки и обеспечения восстановления одним щелчком мыши.

Идеально подходит для: больших сайтов, большого количества медиа, частых обновлений или если вы управляете несколькими сайтами.

7. Достаточно ли одного плагина безопасности?

Для большинства сайтов “один основной плагин безопасности + правильная базовая политика” обычно более эффективен, чем “куча плагинов”.
например Wordfence Может охватывать базовые возможности, такие как брандмауэр, сканирование и безопасность входа в систему; в сочетании с 2FA(Solid Security предлагает множество способов сделать это), уже может значительно увеличить стоимость атаки.

8. Работает ли бесплатная версия Wordfence? Почему некоторые люди говорят о переходе на премиум-версию?

Страница плагина WordfenceClarity: Premium обеспечивает обновление правил брандмауэра и сигнатур вредоносных программ в режиме реального времени, в то время как бесплатная версия задерживает обновление на 30 дней.
Нужен ли вам Premium, зависит от вашего уровня риска и толерантности:

  • Сайты с низким уровнем риска: бесплатная версия + своевременные обновления + 2FA, обычно уже полезная!
  • Повышенный риск или большая зависимость от “актуальной информации об угрозах”: необходимость понимания того, что “отложенные обновления” могут создать "окно".

9. Что именно решает “виртуальный патч”, такой как Patchstack?

Идея заключается в том, что правила используются для блокирования поверхности атаки известных уязвимостей на уровне приложения до того, как уязвимости плагинов/тем будут использованы (или до того, как исправления получат широкое распространение).Официальный сайт PatchstackАкцент на виртуальной защите от патчей, уязвимых плагинах/темах, с объяснением различий между бесплатными и платными предупреждениями и автоматической защитой.
Это не замена обновлениям, а скорее способ минимизировать риск “окна исправлений”.

10. Заблокирую ли я себя, если активирую 2FA?

Рекомендуется подготовиться заранее:

  • Альтернативный код/метод восстановления (Надежная защита Также упоминались такие программы, как резервные коды)
  • Содержите по крайней мере одного “аварийного менеджера” и надежно защищайте информацию о восстановлении
  • Главное: не размещайте информацию для восстановления там, где до нее может добраться злоумышленник.

11. Включать или не включать автообновление WordPress?

Документация WordPressОбъясните, что механизм автоматического фонового обновления предназначен для повышения безопасности и включен по умолчанию для большинства сайтов, а также что можно настроить различные типы политик обновления.
Рекомендация:

  • Обновления безопасности и мелких версий: как правило, автоматизированы (сокращают время на выявление известных уязвимостей).
  • Крупные релизы/критические обновления плагинов: объедините резервные точки отката с процессом тестирования, прежде чем двигаться дальше (по крайней мере, чтобы иметь возможность откатиться назад)

12. Каким должен быть первый шаг, если я подозреваю, что сайт был взломан?

Правильный порядок (чтобы не наделать еще большего беспорядка):

  1. Сначала остановите кровотечение.: Временное ограничение фоновых входов, приостановка подозрительных функций и открытие страниц обслуживания, когда это необходимо.
  2. Сохранение улик и точки восстановления в первую очередь: Немедленно создайте резервную копию текущего состояния (для анализа) и одновременно подготовьте точку чистого отката.
  3. Откат/очисткаПриоритет восстановления до известного чистого момента времени или использование профессиональных услуг по уборке (см.Sucuri и т. д. с упором на очистку от вредоносных программ и постоянную защиту)
  4. залатать дыру: обновляйте ядро/плагины/темы, сбрасывайте пароли и ключи, включайте 2FA, удаляйте подозрительные аккаунты и плагины

13. Я занимаюсь безопасностью и резервным копированием, зачем мне нужен мониторинг?

Потому что “раннее обнаружение” сводит потери к минимуму.
Простои, просроченные сертификаты, ненормальный трафик, ненормальные логины, ненормальные заказы - все это проблемы из разряда “чем раньше узнаешь, тем лучше”.