Sikkerhed, der ikke afhænger af held.
Container-isolering pr. websted, HMAC-signeret kontrolplan, krypterede sikkerhedskopier, automatisk SSL — hvert udsagn her svarer til en reel del af aktiv infrastruktur, ikke en markedsføringscheckliste.
gratis prøveperiode · alle sikkerhedsprimitiverne inkluderet i alle planer
En sikkerhedsstilling, du kan verificere, ikke antage.
Hvert websted viser sin aktuelle sikkerhedsstatus i dashboardet — TLS-status, seneste vellykkede sikkerhedskopi, seneste sikkerhedspatch, rate af mislykkede logins, tilladte AI-bots. Ingen mysterier, ingen skjulte cron-jobs.
- 12:04:22TLS renewal/ acme order completedok
- 12:03:51Backupr2://yovale-backups/site-87 okok
- 12:03:18WP coreauto-patch 6.9.2 appliedok
- 12:02:44Login protectionblocked 12 attempts on wp-loginok
- 12:02:09WAFCloudflare rule wp-xmlrpc enabledok
Sikkerheden ved delt hosting er en ønskeseddel.
Hos de fleste delte WordPress-webhosts betyder sikkerhed en WAF-indstillingsside, en valgfri sikkerhedskopi og et malware-scan-plugin, du glemte at installere. Der er ingen reel isolering mellem websteder — din nabos kompromitterede plugin er dit problem.
Managed webhosts opkræver $25–$50/måned for at pakke den samme arkitektur mere venligt og sælger derefter de faktisk nyttige dele (offsite-sikkerhedskopier, staging, login-beskyttelse, malware-scanning) som tilvalg.
Yovale sælger ikke sikkerhed som et funktionsniveau. Container-isolering, krypterede sikkerhedskopier, login-beskyttelse, HMAC-signeret kontrolplan og oplysningsprogrammet er en del af alle planer fra $149/år. Sikkerhedsstillingen nedenfor er den samme, vi leverer til alle kunder.
Fem primitiver, alle aktive som standard.
Hvert kort her repræsenterer en reel del af aktiv infrastruktur, ikke et køreplansforpligtelse. Hvor en primitiv drives af en tredjepart (Cloudflare, Let's Encrypt), navngives den.
- 0101isolering
Én Docker-container pr. websted
Hvert WordPress-websted kører i sin egen Docker-container med isoleret filsystem, dedikerede PHP-FPM-workers, begrænset hukommelse og CPU. Et kompromis på ét websted når ikke et andet.
isoleret kørsel - 0202edge
Automatisk TLS via Traefik
Let's Encrypt-certifikater udstedes og fornyes automatisk af Traefik for hvert domæne, du tilføjer. HTTP/2 og HTTP/3 aktive som standard. Ingen manuel fornyelse, ingen udløbsoverraskelser.
automatisk udstedelse + fornyelse - 0303kontrolplan
HMAC-signeret kontrolplan
Hvert kald mellem dashboardet og VPS-agenten er signeret med en server-specifik HMAC-hemmelighed gemt krypteret i databasen. Agenten afviser usignerede kald; dashboardet afviser ukontrollerede svar.
server-specifikke hemmeligheder - 0404sikkerhedskopier
Krypterede offsite-sikkerhedskopier
Daglige websteds- og databasesikkerhedskopier til Cloudflare R2 med AES-256-kryptering i hvile. 30 dages opbevaring ved Starter, 90 dage ved Growth, 365 dage ved Business. Genoprettelse med ét klik fra ethvert gemt punkt.
AES-256, R2 - 0505wordpress
Login-beskyttelse og WAF
Brute force-beskyttelse på wp-login, automatisk blokering af kendte skadelige bots, Cloudflare-WAF-regler tilpasset WordPress-trusselsmønstre og automatisk patchning af WordPress-kernens sikkerhedsudgivelser.
WP-optimeret WAF
Hvad en sikker WordPress-host burde levere som standard.
sikkerhedsstack · hvordan det hænger sammen
Tre lag, hvert websted, alle planer.
Stacken er identisk på Starter og Business. Det eneste, der er niveauafhængigt, er opbevaringstiden for sikkerhedskopier. Alt andet — isolering, TLS, HMAC, login-beskyttelse, WAF — er det samme overalt.
Cloudflare håndterer DDoS, WAF og tilladelseslisten for AI-bots ved den globale edge. Traefik på hver VPS håndterer TLS-terminering, HTTP/3 og anmodningsrouting til pr.-websteds-containere.
Hvert websted lever i sin egen Docker-container med begrænset hukommelse, dedikerede PHP-FPM-workers, isoleret filsystem og sin egen MariaDB-container. WP-CLI, autoupdate-hooks og cron kører inden for denne grænse.
En FastAPI-agent på hver VPS udfører provisionering, sikkerhedskopier, SSL og PHP-konfigurationsændringer. Dashboardet udsteder HMAC-signerede kald; agenten verificerer, før den handler. Hemmeligheder er krypteret i hvile i dashboarddatabasen.
Sikkerhed er ikke et niveau. Det er produktet.
Alle planer får den fulde sikkerhedsstilling ovenfor. Det eneste, prissætningen ændrer, er opbevaringstiden for sikkerhedskopier og antallet af websteder. Ekstra sikkerhedsniveauer er ikke sådan, Yovale sælges.
Starter, 2 websteder. Fuld sikkerhedsstilling. Sikkerhedskopier opbevaret i 30 dage. Growth og Business udvider opbevaringen til henholdsvis 90 og 365 dage.
Læs også den kontraktlige side.
Sikkerhedsprimitiverne, side for side.
Hvad sikkerhedsbevidste købere spørger om først.
Hvordan isoleres ét websted fra et andet på den samme VPS?+
Hvert websted har sin egen Docker-container med eget filsystem, sin egen PHP-FPM-pulje, sin egen MariaDB-container og sin egen begrænsede hukommelse. Linux-kernegrænsen er isoleringen. Der er ingen delt PHP-kørsel mellem websteder.
Hvor opbevares sikkerhedskopier, og er de krypterede?+
Daglige sikkerhedskopier lander i Cloudflare R2 med AES-256-kryptering i hvile. Krypteringsnøgler administreres under R2's standard nøglehåndteringskontrakt. Opbevaring: 30 dage ved Starter, 90 dage ved Growth, 365 dage ved Business.
Har Yovale et program for sårbarhedsoplysning?+
Ja. Send en rapport til security@yovale.com. Vi reagerer på oplysningsrapporter inden for 5 arbejdsdage og forfølger ikke juridiske skridt mod velmenende forskere, der følger ansvarlig oplysningspraksis. Tidspunktet for offentlig oplysning koordineres; vi krediterer rapportorer i ændringsloggen, medmindre de foretrækker andet.
Er to-faktor-godkendelse tilgængelig på dashboardet?+
TOTP-baseret 2FA er tilgængelig på alle dashboardkonti og er påkrævet for konti med administrativ rækkevidde. Tilføj det under Konto → Sikkerhed.
Hvordan godkendes kald til kontrolplanet?+
Hver VPS har sin egen HMAC-hemmelighed, krypteret i hvile i dashboardets Supabase-instans. Dashboardet signerer hvert kald til agenten med den hemmelighed; agenten afviser usignerede eller ukontrollerede kald. Der er ingen delte bearer-tokens mellem servere.
Hvad sker der, hvis en CVE oplyses mod WordPress-kernen?+
Sikkerhedsudgivelser af WordPress-kernen anvendes automatisk på hele flåden inden for timer efter oplysningen. Vi kræver ingen kundehandling for kernens sikkerhedspatches. Opdateringer af temaer og plugins forbliver under kundekontrol, fordi de kan bryde websteder; tilgængelige opdateringer vises i dashboardet.
Hvor kan jeg læse mere kontraktlige detaljer?+
Databehandleraftalen og slutbrugerlicensaftalen linket i sidefoden. DPA dækker underdatabehandlere, sikkerhedsforanstaltninger, tidsfrister for underretning om brud og internationale overførsler.
Flyt et websted over og se sikkerhedsstillingen selv.
Syv minutters migrering, syv dages prøveperiode. Alle primitiver på denne side er aktive på det første websted, du provisionerer — intet at aktivere, intet mersalg.