Всем привет! Хотел бы сегодня поговорить о безопасности сайтов и, в частности, сайтов на WordPress. Все в интернете очень не стабильно, а особенно нестабильны сервера, на которых висят наши с вами сайты. К счастью, в WP есть уже встроенная возможность автоматически сохранять базы данных, и этого очень здорово — ведь база данных сайта и есть то место, где хранятся записи, страницы, рубрики, метки, настройки темы и всех плагинов сайта. Поэтому очень важно создавать ежедневный или еженедельный (здесь все зависит от важности информации) бэкап базы данных, и отсылать его либо на емайл, либо на ftp-сервер (другой компьютер в интернете).
Но, кроме встроенного, в интернете есть еще куча плагинов, которые имеют более расширенные функции и возможности:
WordPress Backup to Dropbox — Плагин делает backup базы данных и файлов сайта, а затем всё это сохраняет на сервисе dropbox.com. Хороший плагин, к тому же, не нагружает личный комп лишними файлами. Страничка плагина WordPress Backup to Dropbox на wordpress.org — http://wordpress.org/extend/plugins/wordpress-backup-to-dropbox/
BackWPup — Аналог WordPress Backup to Dropbox только с большими возможностями. Этот плагин имеет более тонкие настройки и возможность отправлять бэкап разными способами. Страничка плагина BackWPup на WordPress.org — http://wordpress.org/extend/plugins/backwpup/
Очень важно подобрать «правильный» плагин резервного копирования, который будет работать и… не создавать проблем в безопасности сайта. На это стоит обратить внимание — ведь плагин резервного копирования имеет доступ к базе данных и делает ее «выгрузку» куда-то, и если база данных вашего сайта станет доступна кому-то (хакеру, например) — то он без труда сломает «оборону» и навешает своих ссылок, «взрослого» содержания и прочих разных — что немедленно отразится на вашем сайте и в целом на инфобизнесе.
Совет — прежде чем ставить плагин резервного копирования себе на сайт, поищите в интернете отзывы о нем, прочитайте отзывы и описание на официальном сайте WordPress — и только после этого принимайте решение об использовании плагина. Такая методика должна применяться ко всем плагинам без исключения.
Твитнуть |
Отличная и нужная вещь, но меня сейчас больше волнует джумла. Так что я буду ждать, ваших статей по ней в том же разрезе.
Что касается ворд преса, то вопрос звучит так, что делать, если на вашем сайте обнаружено вредоносное ПО, которое поставили не вы?
Что тогда предпринимать?
узнайте что за ПО и гугл в помощь. разные вирусы разными методами лечатся.
Игорь, встречный вопрос, а как с Джумлой быть? Понимаю, что не в тему, но актуально для меня, весьма?
Как понять, что на сайте что-то не так?
Просто зайдя на сайт, если каспер ругнется, значит дело плохо?
а также пункты в яше и гуле вебмастерах.
Ругётся Каспер как? Если скажет что сайт может быть опасен для посещения пользователем, да, дело не очень хорошее. Наверно есть левая ссылка.
Игорь, а можно вас по джумле поспрашивать? Только нужно в другую тему переехать.
Джумлой не пользуюсь. вордпресс — легче по настройке, он гибкий, легко под себя настроить. больше плагинов, тем. И для оптимизации — он самое то. извините, помочь ничем не могу)
Очень жаль, меня убедили работать на джумле, поэтому пока воюю в одиночестве. Спасибо за ответ, думаю, одолею этого зверька :).
Может для оптимизации ВордПрес лучше Джумлы, но не по настройке или гибкости. Мне Джумла сложной не казалась.
Игорь речь не о вирусах, а о перехвате баз данных мошенником во время передачи. Базы передаются на комп пользователя.
Lalla78, eсли исходить из того что на Джумле раза в полтора сайтов больше чем на Вордпресе, то правильно убедили.
В статье и про безопасность сайта написано и про бекап сайта. Но безопасность сайта это совсем другое, она требует других плагинов, например плагина защиты админки и прочее.
В статье бекап выступает как часть общей безопасности, а не вся безопасность. Поэтому правильно написано.
В Джумле так же бекапы делаются как и в любом движке. Свои плагины для Джумлы или другого движка ставите. Какие из них лучше — дело вкуса.
habrahabr.ru/post/151879/ — здесь прочтите и уверуйте)
Я не верю Игорь приведёной статистике, что у ВордПресс 54% сайтов, а на Джумле 9. Статистика сайта cmsmagazine говорит об обратном.
Делать полный бэкап я считаю в любом случае нужно. Недавно читал как один блоггер добился посещаемости в 1500 человек, а после у него пошли проблемы с хостингом и — все полетело к чертям. Так и остался он без блога, и это пчально, а все потому что не сделал бэкап сайта и базы данных.
А у вас если ругаются антивирусы нужно просмотреть файлы на наличие шеллов, скорее всего это из-за них.
Знаете, то что вы говорите похоже на фантастику. Тем более блог с такой посещалкой. У меня сайт на не очень дорогом хосте, но в их обязанности входит делать бекапы не только за день раньше, день позже, но еще и хранить их месяцами.
Знаю, что может случиться с дата центром все что угодно, но не иметь ни единого бекапа — это идиотизм просто :).
Как бы это странно не звучало но это правда. Может знаете Александра Борисова? Вот он мне и давал пример автора блога который не делал бэкапы, и в своем курсе упоминал об этом.
Слышала от него, в смысле аудио запись. Но мне кажется это не реальностью. Вы со мной не согласны? Разве хозяин сайта с такой посещалкой рискнул бы ? Думаю нет, даже я, не имея такого количества посетителей, но все равно жаль своего труда и созданных статей.
Поэтому регулярно делаю, точнее скачиваю, готовые бекапы с сайта хостера.
Печальная история Евгений. Она пример нужности бекапа. Блогер мог понадеятся на обещания хостера, что хостер делает бекап. У хостера должен был быть хотя бы один бекап.
Копию баз данных получаю каждый день благодаря плагину Better WP Security, у него много функций по защите блога
А есть что-то такое, что может делать полную копию блога? Ну чтобы и база данных и все файлы сервера приходили на почту.
А какой у вас размер ящика? У меня сайт маленький, но уже весит больше 60 мб. Так что вы что-то придумали фантастическое, забирайте у хостера с БД отдельно. Храните в разных местах, да и все.
зависит от хостера. Рекомендую хостинг украина — там админпанель — просто сказка, устойчивый, за год с ним не было пролем. Это не реклама, рефссылку не даю) как найти — вбейте в гугле)
А как с расценками, что именно понравилось? Только админ панель и все? А как с саппортом? Насколько профи и помогают? Как они работают, какие гарантии? Сохранение бд и самого сайта?
расценки — нормальные, . саппорты — за час отписываются. 3 типа копии делаются при бекапе — дневной, недельный и месячный. все на разных серваках в разных странах. восстанавливал сайт из бекапа месячной давности — все ок. 1 гб, 1 сайт — 30 долл за год. поддоменов и баз — неограничено. траф неограничен.
Вот. На хорошем хостинге должны дедатся бекапы как у вашего хостера. И делаться все разные — дневные, недельные, месячные.
На этом хостинге админпанель это платная c-panel. Панель хостер устанавливает не пользователь.
Lalla78, у меня хостинг sweb, бекапы можно сделать недельной давности, оперативная поддержка от саппорта всегда
Minotavr, у Игоря даже восстановили сайт с бекапами месячной давности. Может быть удобно если на блоге вирус появился, а ты не знаешь когда именно появился.
Здесь я доверяю своему хостеру. Они каждый день сохраняют базу. Иногда и себе делаю бекап. Но если работаешь с сайтом много и часто, то запомнить все свои действия очень тяжело.
Доверять хостеру из разряда веры. Но перекладывать свою бездеятельность на хостера не нужно. Изредка можно самому бекап сделать.
Делать бекапы — это функция хостера, входящая в поддержку вашего ресурса. Это всем понятно до возникновения критической ситуации — обычно сбоев серверов. Вот тогда хостер показывает свое истинное лицо. Если что-то потеряно и восстановить не удается, то хостер может вам заявить, что резервирование своей информации нужно делать самим.
да, был у меня такой «человечный хостер»)) цена хорошая, но вот что вышло — у них ограничение по траффику было. каменный век. + никакого сервиса — вытягивал сайт через фтп, базу через пхпмайадмин. на украине — все сразу тянет в архиве. пришло письмо на почту с ссылкой на скачивание. бекап по требованию — 15 мин. делает.
Всякие «человечные хостеры» попадаются. Через фтп быстро должно скачаться если качали б/д.
Золотые слова, делать регулярно и иметь от 2-5 копий последних. При чем 1 на жестком, одну на флешке, а еще одну где-то в заначке в инете, так на всяк пожарный случай. Жизнь она такая штука, что может повезти кругом :).
Поэтому, чтобы свести риск к минимуму своих трудов, регулярно скачанные бекапы — это ваш гарант. Удаляем старые и восстанавливаем новые.
Есть правда одно но, почему-то один бекап из новых когда-то не открылся, поэтому хранить надо не 1 бекап, а 2, так для перестраховки, а вдруг вы очень везучи :).
Конечно, может быть и такая ситуация, что во время резервного сохранения тоже произойдет сбой (для особо удачливых). Но современные методы поддержки серверов должны исключать такие ситуации. Если операция копировани завершилась некорректно, то она автоматически должнв быть повторена.
А это не паранойя? 🙂
Все админы немного параноики, а я проработала админом более 10 лет. Так что думаю, что данная болезнь во мне расцвела буйно, но очень часто именно она спасает меня, моих знакомых от некоторых неприятностей с паролями, бекапами сайтов и т.п.
Делать так или нет, каждый решает сам, но кусать себя за локти и жалеть о утраченном и восстанавливать хуже, чем потратить 5-10 минут в неделю на хранение.
Lalla78, Вы в крайность бросаетесь. Зачем 5 копий сайта делать. На это же время уходит и немаленькое. Двух копий вполне достаточно.
Лучше добавитьк этим базам базу месячной давности. Поймаешь вирус, а узнаешь об этом через пару недель, а все бекапы уже завирусованы.
Если резервирование своей информации нужно делать самим, то в правилах так и написано. А почти у всех хостеров написано, что они сами делают бекап и указывают как часто они делают бекап. То, что некоторые недобросовестные хостеры забудут сделать бекап, с этим соглашусь.
Хостер может сделать бекап, а если глюк у хостера случился? Были случаи, когда хостер из своего бекапа не мог восстановить сайт из за битости бекапа.
На самом деле для вордпресса много программ для бекапа. В статье не упомянут скрипт Sypex Dumper, который может делать дамп с больших Б/Д. Единственным ограничением для дампера являются ограничения 32-битных версий PHP которые не умеют работать с файлами более 4 ГБ.
Безопасность сайта и установленных плагинов на WordPress легко проверяется с помощью программы wpscan. Эта программа покажет не только уязвимые плагины, но и даст ссылки, на темы, как злоумышленник уязвимостями может воспользоваться.http://rabotaidoma.ru —enumerate p
Единственное, она не работает под виндой. Запуск под линуксом для этого сайта был бы такой:
wpscan —url www.