G|Translate: English EN Deutsch DE Italiano IT Русский RU Español ES Українська UK

Плагины для архивирования и переноса сайта

5/5 - (1 голос)

Лучшая безопасность для сайта – это делать backup сайта.

И регулярно.

Плагины для архивирования и переноса сайта

Даже если враги всё сломали (а там почти 3000 файлов PHP в движке) – всё удаляем из папки WWW на сервере (именно ВСЁ – включая файлы движка WordPress) и восстанавливаем из бэкапа как было.

Что такое архивация сайтов?

Backup сайта это копирование баз данных, файлов сайта, почты, FTP-аккаунтов и множества других “деталек” на Вашем хостинге.

Сайт у нас состоит собственно из нескольких частей:

  • набор файлов (файлы PHP движка и картинки)
  • база данных MySQL, в которой хранится текстовая часть сайта, меню и все взаимосвязи между модулями

Не обязательно, кстати,  именно PHP – для разработки сайта может быть использован любой язык программирования. Главное, что бы браузер в ответ на свой запрос получил набор HTML тэгов.

Основная сложность –  в WordPress в базе данных хранятся абсолютные адреса “деталей” сайта, т.е. просто всё скопировать можно, а восстановить на другом домене – нельзя.

Только на том, где и был сайт.

Удобнее всего архивы сайта делать через специальные плагины, они и данных сохранят и позволят корректно восстановить сайт на другом домене (через изменение служебных параметров в базе MySQL)

ВАЖНО:

  • крайне желательно использовать для архивации оба плагина. Не редкость ситуация, когда на отдельных хостингах корректно не работает (и при создании архива и при развертывании) либо один, либо другой плагин :(
  • плагины корректно переписывают пути WP внутри базы MySql – но если Вы используете объектный кэш в оперативной памяти – все пути будут указывать на старый домен! необходимо после установки удалить в папке /wp-content файл object-cache.php или изменить ключ в файле wp-config.php на другой
  • в процессе архивирования сайт переводится в режим обслуживания и сервер отдает 403 код (запрос принят, но ответа не будет :) – выбирайте время с наименьшем числом посетителей для создания бэкапа

Про кэширование читаем статью

Кэширование WordPress

Режим обслуживания WordPress

Зачем вообще нужен режим обслуживания?

Сайт – практически живой организм, кто-то пишет комментарии, плагины обновляются, изменяются позиции популярных записей. Все это – работа с базой MySQL. Для корректного дампа базы все эти процессы надо остановить. В противном случае дамп будет не корректным и целостность базы может быть нарушена.

По этой же причине крайне не желательно делать дамп базы средствами PHPMyAdmin. База в процессе получения дампа динамически меняется. Через админпанель нет возможности включения режима обслуживания.

Режим обслуживания включается или специальными функциями WP или плагином.

Плагин WP Maintenance Mode

https://ru.wordpress.org/plugins/wp-maintenance-mode/

Плагины для архивирования и переноса сайта

Плагин позволяет:

  • включить режим обслуживания
  • можно создать свою страницу-заглушку
  • возможно показать счетчик обратного отсчета, когда сайт будет снова доступен

Сводная таблица с основными плюсами и минусами.

Плюсы и минусыDuplicatorAll-in-One WP Migration
Доступ FTP

для сохранения не нужен

для восстановления – нужен

не нужен доступ FTP, можно из админки и сохранить и запросить файл для восстановления
Что сохраняет

Все файлы в папке сайта

Только файлы WordPress, все Ваши файлы нужно сохранять отдельно!
РазмерИспользуется сжатие, примерно на 25% меньше итоговый архив – можно легко открыть архив любым архиваторомВ размер сайта на хостинге (чуть меньше, т.к. не все файлы движка копируются)
На слабых хостингахМогут быть проблемы из-за тайм-аута на сервере (сжимать долго)Нет таких проблем
ВосстановлениеОдин в один – как было, включая версию WordPressВосстанавливает только сайт на текущем установленном движке – могут быть проблемы при несовпадении версий
Число файлов в итогеДва – архив и установщик – можно сохранить только архивОдин – сам архив
Ограничения бесплатной версииПо размеру нет, в проф.версии улучшенная поддержка больших сайтов на слабых хостингахБазовое ограничение – 64 Мбайта, с бесплатным расширением до 500 Мбайт, далее платно.

Плагин для сохранения и архивирования сайта – Duplicator

плагин  – Duplicator

Плагины для архивирования и переноса сайта

ВАЖНО:

  • Duplicator полностью архивирует всю папку на сервере – с оригинальными папками и файлами WordPress, Вашими папками и файлами, папками и файлами от других плагинов.
  • При развертывании архива ЗАНОВО создается файл .htaccess в корневой папке средствами WP
  • Оригинальный файл .htaccess есть в архиве

Схема переноса:

  • устанавливаем плагин Duplicator в текущий сайт 
  • запускаем создание архива и установщика
  • нужен доступ FTP для последующих действий
  • на новом месте/домене всё удаляем из папки www
  • копируем туда архив и установщик
  • запускаем установщик и восстанавливаем сайт вместе с движком

Установка плагина Duplicator и активация обычным способом.

Плагины для архивирования и переноса сайта

Нажимаем “СОЗДАТЬ НОВЫЙ”

Плагины для архивирования и переноса сайта

При сканировании на слабых хостингах Dublicator выдает предупреждение о малом времени выполнения скрипта PHP – в данном случае 60 сек.

Плагины для архивирования и переноса сайта

Но это не является критичным. Запускаем создание.

Плагины для архивирования и переноса сайта

Итого: архив создан.

Сохранить можно или через FTP или через административную панель сайта.

На диске желательно создать папку для хранения, так как два файла:

  • сам архив (ZIP)
  • установщик (PHP)

Что внутри архива Duplicator?

Для развертывания сайта (на этом или другом домене – установщик корректно поменяет все пути в базе данных) – нам нужно:

  • архив файлов
  • установщик
  • дамп базы данных

По умолчанию предлагается сохранить два файла – архив и установщик. Но это не критично. В архиве есть и копия базы и копия установщика.

Плагины для архивирования и переноса сайта

Вот выглядит архив внутри:

  • все наши папки и файлы с сервера
  • папка dup-installer (со служебными данными)
  • дамп базы данных
  • копия установщика intaller.php

 

ВАЖНО: 

Если Вы потеряли установщик installer.php – то установщик от другого архива не подойдет (там записано название файла архива и контрольный хеш). Внутри архива есть файл установщика под именем “…….._installer-backup.php“. Вытаскиваете его из архива – и можно использовать.

Плагины для архивирования и переноса сайта

А где файл wp-config.php?

Сам файл не сохраняется.  Файл будет пересоздан по образцу при развертывании сайта на новом месте при вводе новых данных. Остальные параметры файла wp-config.php сохраняются в текстовом файле dup-wp-config-arc_XXXXXX.txt

ВАЖНО: плагин обнаруживает и сохраняет данные из файла wp-config.php, даже есть он расположен на уровень выше (вне основной папки сайта).

Читаем статью

Что хранится в файле wp-config.php

При установке будет сообщение об отсутствии файла wp-config.php при создании архива

Английский :

If the wp-config.php file was moved up one level and out of the WordPress root folder in the package creation site then this test will show a warning.

This Duplicator installer will place this wp-config.php file in the WordPress setup root folder of this installation site to help stabilize the install process. This process will not break anything in your installation site, but the details are here for your information.

Русский

Если в wp-config.php файл был перемещен на один уровень выше и из корневой папки WordPress на сайте создания пакета, тогда этот тест покажет предупреждение.

Этот установщик дубликатора разместит это wp-config.php файл в корневой папке установки WordPress этого сайта установки, чтобы помочь стабилизировать процесс установки. Этот процесс ничего не нарушит на вашем сайте установки, но подробности приведены здесь для вашего сведения.

В папке dup-installer помимо служебных файлов хранится также архив нашей базы данных MySql

Плагины для архивирования и переноса сайта

Восстановление сайта из архива Duplicator

Восстановление сайта из архива простое –  папку WWW на сервере очищаем от всего, копируем туда архив и установщик и запускаем установщик. Как его запустить? Как обычный файл PHP :)

В адресной строке браузера:

domen.ru/………….._installer.php (полное имя установщика)

После запуска процесс пошел, два основных этапа:

  • развертывание папок сайта из архива
  • подключение базы данных, отвечаем на стандартные вопросы (хост базы данных, логин/пароль к ней и т.д., логин/пароль для входа в админку)

В результате у нас есть восстановленная копия сайта.

ВАЖНО: не забудьте восстановить оригинальный файл .htaccess в коневой папке

#This Apache config file was created by Duplicator Installer 
#The original can be found in archived file with the name .htaccess__[HASH]

Да, Вы ничего не пропустили !

На новом месте НЕ НУЖНО заранее устанавливать WordPress – из архива будет развернута полная копия сайта вместе с движком.

Плагин архивации и сохранения All-in-One WP Migration

Плагин – All-in-One WP Migration

Плагины для архивирования и переноса сайта

Вот он рядом с Duplicator. Установок 2 миллиона против 1 миллиона у Duplicator.

ВАЖНО: теперь бесплатная версия работает на сайтах до 100 Мб (ранее было до 500 Мб).

Читаем статью

Ограничение 100 Мб для бесплатной версии All-in-One WP Migration

Сайт со всеми настройками копируется в файл, который можно сохранить на локальном компьютере. Так же при восстановлении на другом домене производится автоматическая корректировка путей в базе данных.

ВАЖНО: All-in-One WP Migration сохраняет только папки и файлы WordPress.

Если у Вас есть:

  • дополнительные папки (со своими скриптами)
  • дополнительные файлы в корне сайта (для регистрации в поисковых машинах)
  • файлы Apache .htaccess в разных папках

Их нужно хранить отдельно и после развертывания сайта перенести вручную на сервер. Также папки с архивами Duplicator не будут сохранены

Но тут уже в целевом месте нужен установленный WordPress – т.е. сам движок не копируется:

  • нужны лишние движения по установке WordPress в новом месте
  • имеем гарантированную и чистую среду CMS WordPress после установки
  • т.е. фактически можно “починить” движок WordPress, испорченный хакерами (перенос сайта в новый движок)
  • несмотря на отсутствие файлов движка – сам архив получается больше, чем у Duplicator (так как нет дополнительного сжатия данных)

 

Схема переноса:

  •  НЕ НУЖЕН доступ FTP
  • на текущем сайте устанавливаем плагин All-in-One WP Migration
  • запускаем, делаем архив сайта, сохраняем на ПК 
  • на новом месте/домене устанавливаем WordPress (с любым логином и паролем – можно не запоминать и записывать, потом база MySql будет полностью заменена из архива)
  • входим в админку с логином/паролем, которые у нас есть после этой установки
  • в него также устанавливаем плагин All-in-One WP Migration
  • если архив больше 64 Mb – устанавливаем еще расширение к плагину (см. ниже)
  • в плагине указываем сайт с архивом -> запускаем восстановление сайта на новом месте
  • входим в админку сайта уже с логином/паролем перенесенного сайта
  • плагин All-in-One WP Migration можно удалить

 

выбираем сохранение в файл (можно выбрать и сохранение в облако)

Плагины для архивирования и переноса сайта

процесс начался

Плагины для архивирования и переноса сайта

сохраняем архив в файл на компьютере

Плагины для архивирования и переноса сайта

Как открыть файл архива с расширением .wpress?

Собственно – сам архив не открывается, но можно из него извлечь все файлы с помощью специальной утилиты от разработчика.

https://traktor.wp-migration.com/

Плагины для архивирования и переноса сайта

После распаковки в папке будет

Плагины для архивирования и переноса сайта

  • все основные папки с данными
  • дамп базы данных
  • файл формата .json с основными параметрами сайта

ВАЖНО: плагин обнаруживает и сохраняет данные из файла wp-config.php, даже есть он расположен на уровень выше (вне основной папки сайта).

Читаем статью

Что хранится в файле wp-config.php

Восстановление сайта из архива WPRESS

Потом можно восстановить сайт из архива.

Сначала необходимо на новом хостинге:

  • установить собственно WordPress
  • и плагин All-in-One WP Migration

Далее из плагина находим наш архив.

Плагины для архивирования и переноса сайта

По умолчанию – размер архива не должен превышать 64 Mb, для увеличения до 512 Mb необходимо установить дополнительное расширение (это бесплатно). Для архивов более 512 Mb – отдельное расширение уже платное.

Вот ссылка на это расширение к плагину

Плагины для архивирования и переноса сайта

После скачивания и установки – дополнительное расширение появится в списке плагинов.

Плагины для архивирования и переноса сайта

И да – несмотря на сохранение в файл на компьютере – на сервере всё равно остается копия (в папке wp-content/allwm-backups), которая занимает место.

Плагины для архивирования и переноса сайта

Её можно удалить через пункт “Резервные копии”

Плагины для архивирования и переноса сайта

 

Подпишитесь в VKontakte - нажмите кнопку
Подпишитесь в Telegram - нажмите кнопку
Наша группа ODNOKLASSNIKI

Вы можете сохранить ссылку на эту страницу себе на компьютер в виде htm файла




Пишите на электронную почту (тема и email будут добавлены автоматически в письмо)

В Вашем браузере должна быть настроена обработка ссылок mailto

site_post@bk.ru

или просто скопируйте адрес e-mail



Почитать в разделе

Защита WP

CMS WordPress является достаточно популярной платформой для ведения блогов и создания сайтов. Это же автоматически подразумевает большое количество желающих использовать Ваш сайт для своих целей: перехват и перепродажа трафика (т.е. пользователь пришел на Ваш сайт и редиректом ушел на целевой сайт хакера) размещение рекламных ссылок создание бота на Вашем сервере/сайте (будет использоваться как минимум для подбора паролей на чужих сайтах) отправка спама (да, у WordPress есть свой почтовый сервер) добавление к Вашему сайту рекламных страниц (достаточно дописать в базу MySql) Самое обидное - что сайт живет после взлома не более 6 мес. Поисковые роботы находят всё это...
(Читать полностью...)

  • Всего статей в разделе: 12
  • Показано статей в списке: 11
  • Сортировка: название по алфавиту

Бан хакеров по IP для WordPress

Нехороших хакеров можно и нужно банить по IP - т.е. не пускаем пакеты с отдельных IP в обработку. Но есть ряд проблем: часть IP (с которых идет атака) принадлежат не хакерам, а вполне обычным пользователям, которые наловили вирусов на свой ПК (и теперь он работает на другого хозяина) с учетом ежедневной смены IP провайдером у большей части обычных пользователей - через сутки конкретный IP станет не опасным есть упрямые хакеры, которые работают с постоянного IP еще есть "умники", которые пытаются запустить разные php-скрипты в адресной строке браузера (в основном получают, конечно, код 404) есть принципиально разные блокировки IP на уровне CMS WordPress на уровне...
(Читать полностью...)

Блокируем ботов-подборщиков через fail2ban

80% всех атак ботов на WordPress идут на вход в административную панель. Наша задача - такие IP отправить в бан. Используем плагин WP fail2ban. Плагин делает важную  вещь — он выводит в лог /var/log/auth.log (это один из системных логов Linux) каждую попытку авторизации на сайте (настройками можно изменить). Т.е. не создается дополнительный лог-файл - а идет запись в один общий системный лог Linux. Это удобно, если у Вас несколько сайтов на VPS, всё ошибки входа по всем сайтам будут записываться в один общий файл. И не нужно дополнительно под каждый сайт настраивать WP fail2ban:) ВАЖНО: можно вообще "спрятать" админку от злых ботов Меняем адрес административной панели...
(Читать полностью...)

Варианты основных хакерских атак на Ваш сайт

Зачем защищать небольшой сайт? "У меня маленький сайт-блог, зачем мне его защищать и от кого?" Немного печальной статистики. Скажем так, сейчас в 50% на Вашем сайте пасутся боты, а не живые люди.  Вот классический пример работы ботнета - с разных IP (зараженные ПК пользователей) идет подбор пароля к логину Administrator - аккуратно, с интервалом в 5-10 минут. Успехов тебе,  железяка :) Всё, что видит ботнет со своей стороны - после однократного ввода логина/пароля форма входа исчезает...  Как видно на картинке выше - атака перебором идет с разных IP (разные заражённые ПК), которые через небольшой интервал времени меняются. Т.е. необходимо запоминать (с помощью плагина) IP,...
(Читать полностью...)

Двухфакторная аутентификация WordPress

Включаем двухфакторную аутентификацию WordPress - т.е. логин + пароль для входа + еще дополнительный код/пароль. Защита паролем сервера Апач Общая структура папки Вашего сайта на WordPress (на сервере хостинга) следующая Сайт сайт запускается файлом index.php в корневой папке. Административная панель запускается файлом index.php в папке wp-admin Существует два варианта входа в систему управления сайтом: через браузер в административную панель вход или site.ru/wp-admin (тут расположена сама панель управления) или site.ru/wp-login.php (проверка логина/пароля) через мобильное приложение (Android / iOS), см. ниже - указываем логин/пароль и сайт (уже без "хвостика"...
(Читать полностью...)

Закрываем папки и файлы WordPress с помощью Apache

Используем web-сервер Apache для блокировки доступа извне ВАЖНО: всё нижеперечисленное будет работать, если Вы конечно, используете сервер Apache. Если Вы используете связку NginX и  PHP-FPM (сервера Apache тут нет!) все эти инструкции работать не будут! Сервер Apache не участвует в обработке запросов! Закроем файл wp-login.php Мы можем спрятать вход в административную панель. И ввод логина/пароля не будет уже использовать напрямую файл wp-login.php. Но сам файл wp-login.php конечно продолжает существовать и работать, просто теперь WordPress при его запросе показывает ошибку 404. Но как мы помним, ботнетов много - и они по прежнему будут загружать Ваш сервер PHP на обработку...
(Читать полностью...)

Защита базы данных сайта MySql

База данных на сервере хостинга - основное место, где хранятся "детальки" (текстовые данные в основном) от Вашего сайта. Если туда что-либо записать лишнего - то движок WordPress это и покажет = и это уже будет не Ваш сайт :( Зачем нужна вообще какая-то база для сайта? Читаем статью База MySql Прямая атака на базу MySql По умолчанию, при установке WordPress создает в базе таблицы с префиксом wp_. Злоумышленники об этом знают. Необходимо либо при установке выбрать другой префикс вида mysite_ (WordPress спросит при установке, не более 6-ти латинских букв), либо поменять его у готового сайта. Зачем это нужно? Ну вот пример - мы при установке указали другой префикс вида xxx_...
(Читать полностью...)

Защита текста и картинок от копирования

Как защитить свой блог (картинки и текст) от копирования? В общем случае - никак :(  Всё, что Вы видите в своем браузере - оно уже есть на Вашем компьютере. Но можно сильно усложнить сам процесс копирования для любителей copy-paste. Итак, основные направления: запрет выделения текста мышью и дальнейшее copy-paste запрет хотлингов (т.е. показывать картинки с Вашего сайта на другом домене) защита картинок через "водяной знак" (он же Watermark) запрет парсинга страницы сайта с другого домена   Запрет выделения текста мышью (запрет копирования) Казалось бы самый простой вариант - заблокировать правую кнопку мыши. Но это не есть хорошо. Часть посетителей...
(Читать полностью...)

Как сбросить пароль администратора WordPress

Потеряли пароль от админики WordPress? Что делать? Не всё так плохо :) Используем средство восстановления пароля WordPress При входе Вводим свой email Получаем на свою почту служебную ссылку, заходим, меняем пароль. Всё стандартно. Используем нашу базу MySql для смены пароля Да, в ней хранится информация о пользователях, их паролях и прочая полезная информация. Для прямого подключения к базе используем phpMyAdmin (параметры входа у Вас должны быть от Вашего хостера). Вот база данных и таблица wp_users Хакеры, не мучайтесь, все критичные данные замазаны, Administrator - это ник, а не логин :) Пароль пользователя в базе хранится в зашифрованном виде. Делаем Sql-запрос...
(Читать полностью...)

Как скрыть логин автора поста

При отображении записи WordPress выводит автора поста. Как отключить вывод автора поста/записи? Если ничего не  делать - то любой желающий сможет увидеть логин входа в систему и ему останется только подбирать пароль. И да -  WordPress в стандартной установке еще и подтверждает правильность логина. И вот тут нас поджидает проблема. Вывод автора поста делает не сам движок WP - это зависит от применяемой темы. В каких-то темах автор выводится, в каких-то темах автор не выводится, в каких-то настраивается. Есть специальный плагин - но он работает не на всех темах (именно по этой причине, что в разных темах сделано иногда по разному). Итак, что мы можем сделать. Плагин Show/Hide...
(Читать полностью...)

Как скрыть логин пользователя WordPress

Посмотрим статистику. Для начала устанавливаем плагин Activity Log (логгирование действий пользователей), активируем И видим следующие картину Кто все эти люди и откуда они знают мой логин? Это не люди мучают клавиатуру с ручным подбором паролей, это боты (зараженные компьютеры). Точнее даже не компьютеры, а устройства типа микроволновки и холодильника. Сейчас везде производители ставят процессоры и выход в интернет, на таких устройствах практически нет никакой защиты, их взламывают и они вливаются в ряды ботов. Еще есть «банды умных лампочек» – smart-лампы с управлением со смартафона через Wi-Fi. Тоже хорошо взламываются и начинают работать на чужих дядей. WordPress достаточно...
(Читать полностью...)

Переводим сайт WordPress на https

Будем переводить сайт на защищенный протокол HTTPS ВАЖНО: Это именно зашифрованная передача данных от сервера до конечного посетителя, а не показатель безопасности сайта! Сайт может быть взломан, сайт сам по себе может быть сделан мошенниками и прочее - и при этом сайт будет работать по защищенному протоколу https и иметь "зеленый замочек". Поэтому сейчас зеленый цвет замочка остался только в Opera, остальные браузеры показывают его серым цветом. Переводим на HTTPS Читаем основную статью Как включить HTTPS на сайте? Для работы HTTPS нам нужно несколько базовых вещей: нужно получить сертификат SSL (браузер как-то должен проверить валидность ключа для...
(Читать полностью...)