Wszystko, co musisz wiedzieć o kopiach zapasowych, ale nie powiedzą ci tego firmy hostingowe

Lokowanie produktu

Bez regularnej kopii zapasowej trudno jest sobie wyobrazić bezpieczne funkcjonowanie w sieci, szczególnie będąc właścicielem serwisu, bloga czy sklepu internetowego.  Poszedłbym o krok dalej - to w zasadzie niemożliwe.

Wszystko, co musisz wiedzieć o kopiach zapasowych

Ten artykuł powstał z myślą o:

●  każdym, kto choć raz utracił ważne dane,

●  wszystkich tych, którzy wolą mieć pewność, że nawet kiedy nadpiszą sobie ważny plik – to wciąż mogą odzyskać jego zawartość,

●  właścicielach stron i sklepów, którzy chcą wiedzieć, jak firmy hostingowe podchodzą do ochrony ich danych.

Kopie zapasowe vs macierze dyskowe RAID

Na początku wyjaśniam, że w tym artykule skupiam się na ochronie danych poprzez kopie zapasowe - typowe tzw. backupy. To tylko jeden z możliwych sposobów ochrony danych. Często w kontekście hostingu mówi się o tym, że dane są jednocześnie zapisywane na wielu dyskach i chroni to przed ich utratą.


CZĘSTE NIEPOROZUMIENIE - RAID VS BACKUP

Systemy RAID - w uproszczeniu - służą do jednoczesnego wykonywania operacji dyskowych na wielu fizycznych nośnikach w celu uzyskania korzyści, związanych z ochroną danych lub szybkością działania. Zapis następuje od razu na kilka dysków - w razie awarii dysku dane nie są tracone, ponieważ na drugim dysku jest ich kopia.

System taki chroni przed awarią dysków i jest podstawowym mechanizmem ochronnym stosowanym przez firmę hostingową. System działa w czasie rzeczywistym, od razu wykonując wszystkie operacje na obu nośnikach. Dzięki temu w każdej chwili zawierają one dokładnie te same dane. Oznacza to jednak, że jeśli plik nadpiszesz albo skasujesz, to dokładnie ta sama operacja zostanie wykonana także na drugim dysku. Dlatego konieczne są też kopie zapasowe.

Jak tracimy dane? Nim zauważysz, staniesz się ofiarą ataku!

Niestety kradzież danych w ostatnich latach zyskała na popularności, a ofiarami cyberprzestępczości coraz częściej padają nawet niewielkie blogi czy lokalne sklepy internetowe. Pewnie nawet nie zdajesz sobie sprawy, jak często twoja strona mogła stać się ofiarą takiego ataku.

Według badań przeprowadzonych przez cyber_Folks - jednego z liderów hostingowych na rynku - przeciętna liczba ataków na strony w Polsce to ok. 500 prób miesięcznie, choć jest to liczba odnosząca się jedynie do wykrytych i zatrzymanych prób – realna skala ataków jest znacznie wyższa, bo przecież nie wszystkie udaje się wykryć.

Badania firmy hostingowej cyber_Folks objęły ćwierć miliona domen chronionych systemem mod_security oraz blisko dwa tysiące domen objętych dodatkowo autorskim rozwiązaniem WAF, w grudniu 2020. Te dwa mechanizmy mają za zadanie zatrzymywanie niebezpiecznych żądań, zanim trafią one do aplikacji użytkownika (sklepu, bloga, strony na WordPress). Spośród tych ok. 500 ataków część polega na prostym i stosunkowo niegroźnym umieszczeniu spamu w komentarzach, ale inne to próby skanowania podatności stron albo wykonywania ataków typu XSS, Sql Injection czy przechwycenia bazy danych. Szczególnie narażone wydają się popularne serwisy e-commerce.

Dlaczego moja strona w ogóle jest atakowana?

Przyczyn może być bardzo wiele, a do często spotykanych celów działania atakujących należą:

  • wykradzenie bazy danych użytkowników - np. w celu żądania okupu,
  • szyfrowanie danych (ransomware) - także w celu żądania okupu,
  • umieszczenie w treści strony linków seo,
  • uruchomienie fałszywego oprogramowania na twoim serwerze (np. sklepu internetowego, który nigdy nie wysyła zamówionego i opłaconego towaru),
  • rozsyłanie spamu z twojej domeny i twojego serwera, np. z ofertą leków na potencję,
  • umieszczanie złośliwych przekierowań z twojej strony do innych serwisów,
  • spamowanie twojej strony treściami zawierającymi linki afiliacyjne,
  • urządzenie sobie z twojej strony zaplecza seo linkującego do domen, na promowaniu których zależy atakującym,
  • wykradzenie zapisanych w serwisie lub aplikacji danych transakcyjnych, np. z kart płatniczych.

W zdecydowanej większości wypadków ataki na strony mają charakter zorganizowanego, zautomatyzowanego poszukiwania podatnych serwisów. Rzadko są to ataki „wycelowane” konkretnie w ciebie.

Przyznaj się - ile razy skasowałeś ważny plik przez przypadek?

Kiedy dołożymy do tego różnego typu awarie sprzętowe, własne błędy, np. omyłkowe skasowanie pliku przez właściciela strony lub nadpisanie pliku przez dewelopera, okazuje się, że na dane czyha wiele niebezpieczeństw, z których nie zdajesz sobie często sprawy, a jedną z metod, aby je chronić, jest regularne wykonywanie kopii zapasowej.

Posiadanie takiej kopii pozwala przywrócić stronę do stanu sprzed utraty danych. W wypadku infekcji/ataku może ułatwić zidentyfikowanie tych plików, które uległy niezamierzonej przez Ciebie modyfikacji.

Backup w hostingu? Trzy ważne warunki.

Skuteczność backupu zależy od wielu czynników, a ich wspólnym mianownikiem jest zawsze rzetelna firma hostingowa. Oczywiście dostawca powinien zadbać o kopie, ale jeśli zakładasz z góry, że wykonuje on kopie zapasowe plików codziennie, ale nie miałeś okazji jeszcze tego zweryfikować - popełniasz błąd. Operatorzy hostingowi potrafią w znacznym stopniu różnić się od siebie pod tym kątem, dlatego zanim zdecydujesz się na konkretną usługę, doprecyzuj dokładnie harmonogram backupu, czas przechowywania kopii zapasowych oraz sposób przywracania danych. Pozwól, że ułatwię ten proces.

  1. Częstotliwość backupu

Patrzę często na to, co proponują firmy hostingowe i widzę ogromne różnice w częstotliwości backupu. Ogólnie przyjmuje się, że backup wykonywany powinien być raz na dobę. W rzeczywistości jednak jedni usługodawcy nie wykonują go wcale, drudzy raz w tygodniu, przy czym liderzy na rynku potrafią robić to nawet kilka razy dziennie.

Wiadomo, że im większa częstotliwość, tym mniejsze prawdopodobieństwo, że dane zostaną utracone, a strona staje się wówczas bezpieczniejsza. Przykładowo, w wypadku hostingu cyberfolks.pl kopia zapasowa plików wykonywana jest każdego dnia, a hosting WordPress oraz serwery dla PrestaShop realizują backup baz co sześć godzin, co daje pewność, że w wypadku ataku czy awarii, szkody będą mniejsze. To szczególnie ważne dla sklepów internetowych.

  1. Czas przechowywania danych

Musisz pamiętać o tym, że firmy hostingowe nie trzymają kopii zapasowych w nieskończoność. To byłoby zbyt kosztowne. Przyjęło się, że przechowują dane z ostatnich dwóch dni, jednak to w mojej opinii zdecydowanie za krótko. Im dłużej przechowywane są dane (np. w hostingu cyber_Folks jest to 28 dni wstecz), tym większa szansa na to, że będzie można z nich skorzystać, kiedy faktycznie zauważymy problem. Nie zawsze przecież dostrzeżemy błąd od razu - lepiej mieć dostęp do danych po prostu dłużej.

 class="wp-image-1541786"
  1. Sposób przywracania danych

Najczęściej można skorzystać z supportu, który jest do dyspozycji w ramach hostingu. Bezpośredni kontakt ze specjalistą jest wygodny, ale trochę czasochłonny. Dlatego warto zwracać uwagę na to, czy firma oferuje możliwość odzyskiwania kopii plików, baz czy poczty samodzielnie. To zdecydowanie szybsze i wygodniejsze.


W RAZIE PODEJRZENIA INFEKCJI NA STRONIE

Przywrócenie strony lub sklepu z kopii zapasowej, jeśli masz takową, powinno od razu przywrócić serwis do działania. Uważaj - to kuszące, aby poprzestać na tym działaniu. Tymczasem coś przecież do infekcji doprowadziło, gdzieś w serwisie musisz mieć podatność, która ją umożliwiła. Dlatego polecam Ci przede wszystkim ustalenie źródła tej infekcji - pomoże tu kontakt ze specjalistami. Samo przywrócenie kopii, bez naprawienia luki, może spowodować, że problem za chwilę powróci. Niezainfekowaną kopię traktuj raczej referencyjnie, jako coś, co może ułatwić Ci porównanie plików i bazy ze stanem po infekcji, a nie jako ostatni krok w radzeniu sobie z takim zdarzeniem.

Manualny backup jest ok, ale tylko w teorii

Manualny backup to dobry zwyczaj właścicieli stron, którzy chcą jeszcze bardziej zadbać o swoje dane. Może to też stanowić pewnego rodzaju dopełnienie backupu, który gwarantuje nam firma hostingowa. Jednak w praktyce, mimo że jest to oczywiście wykonalne, odradzałbym bazowanie tylko na tej metodzie. 

Dlaczego? Manualny backup pochłania sporo czasu i zwyczajnie przeszkadza w codziennej pracy. W końcu trzeba o nim ciągle pamiętać, a przecież nie o to chodzi, aby utrudniać sobie pracę, dlatego polecam korzystanie z wtyczek.

Manualny backup doradzam tylko jako doraźne działanie przed np. wykonaniem dużej zmiany w serwisie.

Jaką wtyczkę do backupu wybrać?

Jeśli prowadzisz stronę opartą na WordPressie, to polecam sięgnąć po wtyczkę UpdraftPlus lub BackWPUp. Zapewne je kojarzysz, bo pierwsza z nich w ostatnich latach zyskała sporą popularność, a liczba jej pobrań nie bez powodu przekroczyła już 30 milionów. Wtyczki są bowiem skutecznym narzędziem pozwalającym automatycznie zapisywać kopie zapasowe w dowolnym miejscu np. w chmurze, a ich obsługa jest banalnie prosta. Dla przykładu, po zainstalowaniu i włączeniu wtyczki UpdraftPlus, od razu możesz zacząć korzystać z opcji Backup Now, która automatycznie wykona kopię zapasową plików i bazy, a w przypadku awarii szybko odzyskasz wszystkie dane, które znajdziesz w zakładce Existing Backups.

Działanie wtyczki jest o tyle elastyczne, że możesz dowolnie ją skonfigurować i wybrać, co jaki czas (co ile godzin, dni czy tygodni) ma się tworzyć kopia zapasowa. W praktyce oznacza to, że nie musisz pamiętać o kopiach zapasowych, bo one tworzą się same w wybranym przez ciebie czasie. Wtyczki w takiej sytuacji okazują się świetnym dopełnieniem backupu, który gwarantuje nam dostawca hostingu.

Pamiętaj o bezpieczeństwie!

Jak sam widzisz, zagrożenia czyhają na twoje dane praktycznie z każdej strony i żeby się ich ustrzec, musisz zadbać o regularny backup. Wszystko po to, żeby w razie potrzeby przywrócić jej wcześniejszy, nienaruszony stan i uniknąć strat. Kluczem jest nie tylko samodzielne dbanie o dane za pomocą wtyczek, ale przede wszystkim dobra firma hostingowa, taka jak cyber_Folks, która może nie tylko zapewnić częste kopie zapasowe plików, długi czas przechowywania danych i szybki support w razie potrzeby, ale też przy pomocy niezliczonych narzędzi (w tym specjalistycznego audytu bezpieczeństwa)  zadba o wzmocnienie zabezpieczeń twojej strony.

Jeśli jesteś ciekawy, jak jeszcze możesz wzmocnić zabezpieczenia swojej strony, to niedawno poświęciłem temu osobny tekst, do którego cię w tym miejscu odsyłam. Dowiesz się z niego, jak w siedmiu krokach uodpornić swoją stronę na próby włamania i tym samym zapewnić jej stałe bezpieczeństwo.

* Materiał powstał we współpracy z Cyber Folks.

Lokowanie produktu
Najnowsze