Sikkerhet som ikke avhenger av flaks.
Containerisolasjon per nettsted, HMAC-signert kontrollplan, krypterte sikkerhetskopier, automatisk SSL — hvert utsagn her tilsvarer en reell del av aktiv infrastruktur, ikke en markedsføringssjekkliste.
gratis prøveperiode · alle sikkerhetsprimitiver inkludert i alle planer
En sikkerhetsposisjon du kan verifisere, ikke anta.
Hvert nettsted viser sin gjeldende sikkerhetsstatus i dashbordet — TLS-status, siste vellykkede sikkerhetskopi, siste sikkerhetsoppdatering, mislykkede påloggingsfrekvens, tillatte AI-bots. Ingen mysterier, ingen skjulte cron-jobber.
- 12:04:22TLS renewal/ acme order completedok
- 12:03:51Backupr2://yovale-backups/site-87 okok
- 12:03:18WP coreauto-patch 6.9.2 appliedok
- 12:02:44Login protectionblocked 12 attempts on wp-loginok
- 12:02:09WAFCloudflare rule wp-xmlrpc enabledok
Sikkerheten ved delt hosting er en ønskeliste.
Hos de fleste delte WordPress-verter betyr sikkerhet en WAF-innstillingsside, en valgfri sikkerhetskopi og et skanner-plugin for skadevare du glemte å installere. Det er ingen reell isolasjon mellom nettsteder — naboens kompromitterte plugin er ditt problem.
Managed-verter tar $25–$50/mnd for å pakke den samme arkitekturen vennligere og selger deretter de faktisk nyttige delene (offsite-sikkerhetskopier, staging, påloggingsbeskyttelse, skanning av skadevare) som tillegg.
Yovale selger ikke sikkerhet som et funksjonsnivå. Containerisolasjon, krypterte sikkerhetskopier, påloggingsbeskyttelse, HMAC-signert kontrollplan og avsløringsprogrammet er en del av alle planer fra $149/år. Sikkerhetsposisjonen nedenfor er den samme vi leverer til alle kunder.
Fem primitiver, alle aktive som standard.
Hvert kort her representerer en reell del av aktiv infrastruktur, ikke et veikartforpliktelse. Der en primitiv drives av en tredjepart (Cloudflare, Let's Encrypt), navngis den.
- 0101isolasjon
Én Docker-container per nettsted
Hvert WordPress-nettsted kjører i sin egen Docker-container med isolert filsystem, dedikerte PHP-FPM-arbeidere, begrenset minne og CPU. Et kompromiss på ett nettsted når ikke et annet.
isolert kjøring - 0202edge
Automatisk TLS via Traefik
Let's Encrypt-sertifikater utstedes og fornyes automatisk av Traefik for hvert domene du legger til. HTTP/2 og HTTP/3 aktive som standard. Ingen manuell fornyelse, ingen utløpsoverraskelser.
automatisk utstedelse + fornyelse - 0303kontrollplan
HMAC-signert kontrollplan
Hvert kall mellom dashbordet og VPS-agenten er signert med en server-spesifikk HMAC-hemmelighet lagret kryptert i databasen. Agenten avviser usignerte kall; dashbordet avviser uverifiserte svar.
server-spesifikke hemmeligheter - 0404sikkerhetskopier
Krypterte offsite-sikkerhetskopier
Daglige nettsted- og databasesikkerhetskopier til Cloudflare R2 med AES-256-kryptering i ro. 30 dagers oppbevaring ved Starter, 90 dager ved Growth, 365 dager ved Business. Gjenopprettelse med ett klikk fra ethvert lagret punkt.
AES-256, R2 - 0505wordpress
Påloggingsbeskyttelse og WAF
Brute force-beskyttelse på wp-login, automatisk blokkering av kjente skadelige bots, Cloudflare-WAF-regler tilpasset WordPress-trusselmønstre og automatisk oppdatering av WordPress-kjernens sikkerhetsutgivelser.
WP-optimalisert WAF
Hva en sikker WordPress-vert burde levere som standard.
sikkerhetsstack · hvordan det henger sammen
Tre lag, hvert nettsted, alle planer.
Stacken er identisk på Starter og Business. Det eneste som er nivåavhengig, er oppbevaringstiden for sikkerhetskopier. Alt annet — isolasjon, TLS, HMAC, påloggingsbeskyttelse, WAF — er det samme overalt.
Cloudflare håndterer DDoS, WAF og tillatelseslisten for AI-bots ved den globale kanten. Traefik på hver VPS håndterer TLS-terminering, HTTP/3 og forespørselsruting til per-nettsted-containere.
Hvert nettsted lever i sin egen Docker-container med begrenset minne, dedikerte PHP-FPM-arbeidere, isolert filsystem og sin egen MariaDB-container. WP-CLI, autoupdate-hooks og cron kjøres innen denne grensen.
En FastAPI-agent på hver VPS utfører klargjøring, sikkerhetskopier, SSL og PHP-konfigurasjonsendringer. Dashbordet utsteder HMAC-signerte kall; agenten verifiserer før handling. Hemmeligheter er kryptert i ro i dashbordets database.
Sikkerhet er ikke et nivå. Det er produktet.
Alle planer får den fullstendige sikkerhetsposisjonen ovenfor. Det eneste prissettingen endrer er oppbevaringstiden for sikkerhetskopier og antall nettsteder. Ekstra sikkerhetsnivåer er ikke slik Yovale selges.
Starter, 2 nettsteder. Full sikkerhetsposisjon. Sikkerhetskopier oppbevart i 30 dager. Growth og Business utvider oppbevaringen til henholdsvis 90 og 365 dager.
Les også den kontraktlige siden.
Sikkerhetsprimitivene, side for side.
Hva sikkerhetsbevisste kjøpere spør om først.
Hvordan isoleres ett nettsted fra et annet på samme VPS?+
Hvert nettsted har sin egen Docker-container med eget filsystem, sin egen PHP-FPM-pool, sin egen MariaDB-container og sitt eget begrensede minne. Linux-kjernegrensen er isolasjonen. Det er ingen delt PHP-kjøring mellom nettsteder.
Hvor lagres sikkerhetskopier, og er de kryptert?+
Daglige sikkerhetskopier havner i Cloudflare R2 med AES-256-kryptering i ro. Krypteringsnøkler administreres under R2s standard nøkkelhåndteringskontrakt. Oppbevaring: 30 dager ved Starter, 90 dager ved Growth, 365 dager ved Business.
Har Yovale et program for sårbarhetsmeldinger?+
Ja. Send en rapport til security@yovale.com. Vi svarer på avsløringsrapporter innen 5 virkedager og iverksetter ikke juridiske skritt mot velmenende forskere som følger ansvarlig avsløringspraksis. Tidspunktet for offentlig avsløring koordineres; vi krediterer rapportørene i endringsloggen med mindre de foretrekker noe annet.
Er tofaktorautentisering tilgjengelig på dashbordet?+
TOTP-basert 2FA er tilgjengelig på alle dashbordkontoer og er påkrevd for kontoer med administrativ rekkevidde. Legg det til under Konto → Sikkerhet.
Hvordan autentiseres kall til kontrollplanet?+
Hver VPS har sin egen HMAC-hemmelighet, kryptert i ro i dashbordets Supabase-instans. Dashbordet signerer hvert kall til agenten med den hemmeligheten; agenten avviser usignerte eller uverifiserte kall. Det er ingen delte bearer-tokens mellom servere.
Hva skjer hvis en CVE avsløres mot WordPress-kjernen?+
Sikkerhetsutgivelser av WordPress-kjernen brukes automatisk på hele flåten innen timer etter avsløringen. Vi krever ingen kundehandling for kjernens sikkerhetsoppdateringer. Oppdateringer av temaer og plugins forblir under kundekontroll fordi de kan ødelegge nettsteder; tilgjengelige oppdateringer vises i dashbordet.
Hvor kan jeg lese mer kontraktlige detaljer?+
Databehandleravtalen og sluttbrukerlisensavtalen lenket i bunnteksten. DPA dekker underdatabehandlere, sikkerhetstiltak, tidsfrister for varsling om brudd og internasjonale overføringer.
Flytt et nettsted over og se sikkerhetsposisjonen selv.
Syv minutters migrering, syv dagers prøveperiode. Hvert primitiv på denne siden er aktivt på det første nettstedet du klargjør — ingenting å aktivere, ingen mersalg.