Backups zijn goed en van groot belang voor het behouden van een gezonde site of het snel terugkrijgen van een gezonde site. Maar, is het wel veilig om volledige 1-op-1 backups te maken? 

Eerder schreven we al over Stoppen met backups! (met een knipoog) maar, u kunt het ook te bont maken.

Backups kunt u comprimeren als (bijvoorbeeld) zipfile om ruimte te besparen, u kunt bestanden downloaden, maar u kunt ze ook in een andere map op uw webhostingaccount zetten. Allemaal prima. Maar, let op qua naamgeving op en vraag u af of jan en alleman (en dat zijn veel mensen en spambots) er dan gewoon bij kunnen.

Laatst keken we mee bij een account bij een concullega, en we troffen dit aan:

Gehackte mappen 1
Gehackte mappen, puur omdat de mapnaam raadbaar was

Voelt u hem al?

Maak nooit backups die voor iedereen leesbaar zijn in een publieke map zoals “backups”, “bak”, “original”, “safecopy” etcetera. Deze backups van WordPress 3.5.1 werden gehackt en misbruikt om verder in het account bestanden aan te passen en malafide scripts te laden in de browser.

Het kan nog erger. Want er was nog een andere backup map (met daarin WordPress 3.3.1). Een die vrijwel niet te raden was, maar die via de backup map gecompromitteerd is. (Klik op het plaatje voor vergroting):

Gehackte mappen 2
Gehacked-te mappen, via een andere ingang

1-op-1 backups: Conclusie

Kijk uit met mapnamen, en (als het dan toch moet) beveilig mappen door ze in een private map te zetten die niet vanaf het web benaderbaar is. Of verleen alleen maar toegang tot de map via IP restricties.

Kies ook voor een van onze managed pakketten, voorzien van alle backup mogelijkheden die u nodig heeft

Lees ook: Stoppen met backups!