Многие думают так: бэкапы настроены — значит, все окей. Можно спать спокойно. На деле нет. Бэкап сам по себе не спасает. Он всего лишь копия. А вот план восстановления — это уже ответ на вопрос: кто, как, откуда и за сколько минут поднимет сайт, если все поедет в стену.
И да — разница тут не формальная, а очень даже болезненная. Особенно для малого бизнеса. Когда у вас интернет-магазин, запись клиентов через сайт или просто поток заявок, каждый час простоя стоит денег. Иногда репутации тоже. А это уже неприятно.
Бэкап — это файл. План восстановления — это сценарий
Вот самая простая формулировка.
Бэкап — это копия сайта: файлов, базы данных, иногда настроек сервера. План восстановления — это понятный порядок действий, по которому вы реально вернете сайт в рабочее состояние. Не «когда-нибудь разберемся», а конкретно: где лежат копии, кто имеет доступ, какая копия чистая, на какой хостинг ее заливать, как проверить что все снова работает.
Смотрите, знакомая картина:
- плагин для бэкапов стоит уже год;
- копии якобы уходят в Dropbox или на хостинг;
- никто ни разу не пробовал восстановление;
- пароль от облака знает бывший подрядчик;
- последний «успешный» бэкап был 4 месяца назад.
Формально бэкап есть. По факту — защиты почти нет.
Где все ломается на практике
Честно говоря, проблема редко в самой идее резервных копий. Проблема в деталях. Мелких, скучных, но очень важных. Видел это много раз: сайт ломается после апдейта WooCommerce, владелец говорит «у нас же есть бэкап», а дальше начинается цирк.
Сначала ищут, где он лежит. Потом выясняется, что база сохранилась, а файлы — нет. Или наоборот. Или копия лежит на том же сервере, который уже лег. Или backup есть, но он уже с малварью внутри, потому что сайт был взломан две недели назад, а заметили только сегодня.
Вот почему фраза «у нас есть бэкап» почти ничего не значит без продолжения.
Продолжение должно быть таким: мы знаем, какую копию брать, как быстро ее развернуть, кто это делает, и что проверять после запуска. Вот это уже звучит как план.
Что должно быть в нормальном плане восстановления
Не какой-то огромный документ на 40 страниц. Для маленького бизнеса это перебор. Хватит одной внятной инструкции. Буквально на 1-2 страницы. Но там должно быть все главное.
- Где лежат бэкапы
Не в голове у разработчика. А в понятном месте: облако, внешний сторидж, панель хостинга. - Как часто они делаются
Для сайта-визитки хватит раз в день. Для магазина с заказами — иногда нужно каждые 1-4 часа. - Сколько копий хранится
Минимум несколько последних. Лучше — дневные, недельные и месячные. - Какой порядок восстановления
База, файлы, DNS, SSL, проверка формы, проверка оплаты, проверка писем. - Кто отвечает
Вы, админ, агентство, фрилансер — кто именно. С телефоном, не просто «подрядчик». - Как понять, что копия чистая
Это особенно важно после взлома. Иначе вы просто вернете зараженный сайт обратно.
На составление такого плана обычно уходит 1-2 часа, если сайт не очень сложный. Если у вас WooCommerce, интеграции с CRM, платежки и куча кастомщины — закладывайте полдня. Но это все равно мелочь по сравнению с потерями при простое.
Бэкап не помогает, если вы не тестировали восстановление
Вот это, пожалуй, главная мысль всей статьи.
Пока вы ни разу не восстановили сайт из копии — вы не знаете, работает ваш бэкап или нет. Вы просто надеетесь. А надежда в техподдержке и безопасности так себе стратегия.
Нормальная схема простая: хотя бы раз в 2-3 месяца берете свежую копию и разворачиваете ее на тестовом домене или staging-сайте. Смотрите, открывается ли админка, работает ли каталог, проходит ли заказ, отправляются ли письма. Для маленького корпоративного сайта на это может уйти 20-30 минут. Для магазина — час, иногда два.
И вот после такого теста можно уже более-менее выдохнуть.
Отдельная боль — взломанный сайт
Если сайт взломали, бэкап вообще перестает быть автоматическим спасением. Почему? Потому что вы не знаете, когда именно туда залезли. Бэкдор мог висеть внутри месяц. А значит, три последние копии тоже заражены. И чо толку тогда?
В такой ситуации сначала смотрят, какая версия еще была чистой, потом чистят следы взлома, меняют пароли, обновляют плагины, темы, WordPress, проверяют юзеров и только потом возвращают сайт в работу. Иначе будет повторный взлом — иногда в тот же день.
Если у вас как раз такой случай, обычно быстрее и дешевле сразу идти на очистку и восстановление взломанного сайта, чем наугад перебирать старые архивы и надеяться что одна из копий вдруг окажется нормальной.
Кстати, полезно держать под рукой не только бэкап, но и журнал изменений: когда ставили новый плагин, когда обновляли PHP, кто получил доступ в админку. Без этого после инцидента все вспоминают по памяти. Плохая идея.
Сколько копий хранить и где
Тут без фанатизма, но и без экономии на спичках.
Хорошее базовое правило — 3-2-1:
- 3 копии данных;
- 2 разных места хранения;
- 1 копия вне основного сервера.
То есть не надо держать все архивы только на том же хостинге, где лежит сайт. Если сервер умер, заблокировался или аккаунт сломали — до свидания и сайту, и бэкапам. Лучше так: одна копия у хостера, вторая в облаке типа Google Drive, Backblaze или S3.
По деньгам это обычно недорого. Для сайта небольшой компании хранение копий часто укладывается в 2-10 евро в месяц. Даже у магазина среднего размера редко выходит что-то страшное.
План восстановления для маленького бизнеса — как это выглядит в жизни
Допустим, у вас интернет-магазин на WordPress и WooCommerce. Заказов 5-20 в день. Не гигант, но и не хобби-сайт. Что бы я советовал?
Примерно так:
— База данных — бэкап каждые 4 часа.
— Файлы сайта — раз в сутки.
— Хранение копий — 14 дней минимум.
— Раз в месяц — тестовое восстановление.
— После каждого крупного апдейта — внеплановый бэкап.
— Контакты ответственного — в заметке, доступной не только одному человеку.
И плюс короткий чек-лист восстановления. Без умных слов. По-человечески:
«Если сайт упал: открыть панель хостинга, включить maintenance page, взять последнюю чистую копию, развернуть на staging, проверить заказы и оплату, потом переключить боевой сайт».
Все. Этого уже достаточно, чтобы не метаться в панике.
Что еще стоит настроить кроме бэкапов
На самом деле бэкапы — это последняя линия защиты. Лучше до восстановления вообще не доводить. Поэтому рядом с копиями должны жить обычные меры безопасности: защита входа, 2FA, обновления ядра и плагинов, мониторинг аптайма, сканирование на уязвимости.
Например, двухфакторка ставится быстро — минут за 10-15, а пользы много. Особенно если у вас несколько админов. Вот тут есть нормальное объяснение про двухфакторную аутентификацию для WordPress — без перегруза и маркетинговой мишуры.
А если не хочется собирать все это по кускам, логичнее взять обслуживание WordPress с регулярными апдейтами, бэкапами и защитой. Для малого бизнеса это часто дешевле, чем один серьезный аврал. Причем сильно дешевле.
Типичная ошибка владельца сайта
Самая частая? Делегировать все одному человеку и не иметь доступа самому. Пароли у разработчика, копии у разработчика, хостинг на его почте, домен тоже непонятно на ком. Пока все хорошо — никто не парится. Потом человек пропал, заболел, поссорились, уехал. И все. Вы владелец бизнеса, а доступов нет.
Короче, проверьте сегодня же:
— есть ли у вас доступ к хостингу;
— есть ли доступ к месту, где лежат бэкапы;
— знаете ли вы, кто восстанавливает сайт;
— пробовали ли вы это хоть раз.
Если хотя бы на два пункта ответ «нет» — плана восстановления у вас пока нет.
Итог
Бэкап — это сырье. План восстановления — это способ быстро вернуть сайт к жизни. Без паники, без гаданий, без ночных звонков «а где архив-то?».
И да, для малого бизнеса тут не нужна космическая система. Нужны рабочие вещи: копии в двух местах, понятная инструкция, проверка восстановления и базовая защита сайта. Все.
Если хотите копнуть тему глубже, полезно еще почитать про разницу между «резервная копия есть» и «сайт реально можно поднять». А еще — про типичные ошибки после взлома, когда владельцы сами возвращают зараженную версию назад. Пока таких статей у нас нет, но они бы многим сэкономили деньги. Это я прям серьезно.
Так что не откладывайте. Откройте свой сайт, проверьте бэкапы, и задайте себе простой вопрос: если все сломается сегодня вечером, вы правда знаете что делать? Если нет — вот с этого и стоит начать.