很多人以為「有備份」就安全,但真正出事時才發現:備份太舊、資料庫漏掉、檔案無法解壓、還原後網站打不開,或根本不知道備份放在哪裡。
資安不是只有防止被駭,也包含出事後能不能恢復營運。這篇文章整理網站與 VPS 的備份還原演練基礎,讓你先確認自己是不是救得回來。
你會先搞懂這幾件事
- 備份要能還原才算有價值。
- 只備份網站檔案不夠,通常還需要資料庫、Email、DNS 與設定紀錄。
- RPO 是最多能接受失去多久資料;RTO 是最多能接受停機多久。
- 還原演練應該在測試環境做,不要直接拿 production 試。
- 備份也要有權限控管,避免被攻擊者一起刪掉或加密。
先盤點你到底備份了什麼
常見網站需要備份:
| 項目 | 為什麼重要 |
|---|---|
| 網站檔案 | WordPress、主題、外掛、上傳圖片、程式碼 |
| 資料庫 | 文章、訂單、會員、設定、外掛資料 |
| 若信箱也放在同一台主機,搬家或事故時會受影響 | |
| DNS 設定 | 搬家或災難復原時需要快速重建 |
| SSL 憑證與金鑰 | 特定環境可能需要保留 |
| Nginx / Apache / PHP 設定 | VPS 或代管環境常需要 |
| 排程與環境變數 | API、Webhook、背景任務、AI 工具常會用到 |
如果你只知道「主機商說有備份」,但不知道備份頻率、保存天數、還原方式與費用,就還不算真正掌握風險。
RPO 與 RTO 用白話怎麼理解
| 名詞 | 白話 | 例子 |
|---|---|---|
| RPO | 最多能失去多久資料 | 每日備份一次,最壞可能失去 24 小時資料 |
| RTO | 最多能停多久服務 | 網站壞掉後,希望 2 小時內恢復 |
不同網站能接受的範圍不同:
- 公司形象網站:可能可接受較長 RTO。
- 電商網站:訂單與會員資料不能輕易遺失。
- 付費會員網站:內容、付款狀態與登入資料都要小心。
- 內部 AI 工具或 API:要看是否影響團隊工作流程。
先把 RPO / RTO 講清楚,才知道備份策略要做到什麼程度。
cPanel / WordPress 常見備份錯誤
常見問題:
- 只下載
public_html,忘記資料庫。 - 只匯出 WordPress 文章,忘記 uploads 圖片。
- 備份存在同一台主機,被入侵或故障時一起失去。
- 備份檔太大,還原時主機空間不足。
- 沒有測試過還原,直到事故才發現壓縮檔損壞。
- 備份包含舊惡意檔案,還原後又被感染。
如果你使用 cPanel,可以先看 cPanel 網站備份與還原教學 建立基本操作觀念。
VPS 常見備份錯誤
VPS 比虛擬主機自由,但責任也比較多。常見問題:
- 只做 snapshot,沒有資料庫一致性處理。
- Docker volume 沒有備份。
.env、憑證、Nginx 設定、排程沒有記錄。- 備份腳本失敗很久,沒有人知道。
- 沒有把備份放到不同主機或不同帳號。
- 還原後 IP、DNS、firewall、systemd service 沒接好。
VPS 重要服務建議至少整理:
服務名稱:
資料位置:
資料庫名稱:
設定檔位置:
備份位置:
還原步驟:
驗證方式:
這份清單比「我大概知道在哪裡」可靠很多。
怎麼做一次低風險還原演練
不要直接在正式網站上測試還原。比較安全的方式:
- 下載最近一次備份。
- 準備測試網域、暫時子網域或本機測試環境。
- 還原檔案與資料庫。
- 修改測試環境設定,例如資料庫連線與網站 URL。
- 確認首頁、登入、表單、圖片、外掛、Email 發送是否正常。
- 記錄花了多久、卡在哪裡、缺了什麼。
演練完你會知道兩件事:備份是不是完整,以及真的出事時大概要多久能恢復。
備份也要保護
備份本身也可能變成風險:
- 備份檔如果放在公開目錄,可能被下載。
- 備份內可能包含資料庫密碼、客戶資料、API Key。
- 攻擊者如果拿到主機權限,可能刪掉本機備份。
- 勒索軟體或惡意程式可能加密同一台主機上的備份。
基本做法:
- 備份不要只放同一台主機。
- 備份檔不要放在公開 Web 目錄。
- 重要備份要限制權限與下載人員。
- 定期測試還原,不只看備份檔是否存在。
- 對重要系統保留多個時間點,不要只有最新一份。
延伸閱讀
需要協助判斷目前環境是否安全?
如果你不確定目前備份是否完整、還原是否可行,或網站已經發生異常需要判斷優先順序,可以到侃瑞科技官方網站取得初步判斷。