運に頼らないセキュリティ。
サイトごとのコンテナ分離、HMAC署名コントロールプレーン、暗号化バックアップ、自動SSL — このページのすべての記述は、マーケティングのチェックリストではなく、実際に稼働しているインフラの実装に対応しています。
無料トライアル · すべてのセキュリティ基本機能がすべてのプランに含まれます
推測ではなく、検証できる体制。
すべてのサイトはダッシュボードで現在のセキュリティ状態を確認できます — TLS状態、最後の成功したバックアップ、最後のセキュリティパッチ、ログイン失敗率、許可リストに登録されたAIボット。謎も隠れたcronジョブもありません。
- 12:04:22TLS更新/ ACMEオーダー完了ok
- 12:03:51バックアップr2://yovale-backups/site-87 okok
- 12:03:18WPコア自動パッチ6.9.2適用済みok
- 12:02:44ログイン保護wp-loginへの12回の試行をブロックok
- 12:02:09WAFCloudflareルール wp-xmlrpc 有効化ok
共有ホスティングのセキュリティは願望リストです。
ほとんどの共有WordPressホストでは、セキュリティとはWAF設定ページ、オプトインバックアップ、インストールし忘れたマルウェアスキャンプラグインを意味します。サイト間の実際の分離はなく、隣のサイトの侵害されたプラグインがあなたの問題になります。
マネージドホストは月額$25〜$50で同じアーキテクチャにより分かりやすいラッパーをかぶせ、実際に役立つ機能(オフサイトバックアップ、ステージング、ログイン保護、マルウェアスキャン)をアドオンとして販売します。
Yovaleはセキュリティを機能ティアとして販売しません。コンテナ分離、暗号化バックアップ、ログイン保護、HMAC署名コントロールプレーン、開示プログラムはすべて年間$149からのすべてのプランに含まれています。以下の体制はすべてのお客様に提供するものです。
5つの基本機能、すべてデフォルトで有効。
ここの各カードは実際に稼働しているインフラの1つであり、ロードマップの約束ではありません。基本機能がサードパーティ(Cloudflare、Let's Encrypt)によって運用される場合はその名前を明記しています。
- 0101分離
サイトごとに1つのDockerコンテナ
各WordPressサイトは独自のDockerコンテナで実行され、分離されたファイルシステム、専用PHP-FPMワーカー、バインドされたメモリとCPUを持ちます。1つのサイトの侵害が別のサイトに及ぶことはありません。
分離されたランタイム - 0202エッジ
TraefikによるAutomatic TLS
追加するすべてのドメインでTraefikによってLet's Encrypt証明書が自動的に発行・更新されます。HTTP/2とHTTP/3はデフォルトで有効です。手動更新も期限切れの驚きもありません。
自動発行と更新 - 0303コントロールプレーン
HMAC署名コントロールプレーン
ダッシュボードとVPSごとのエージェント間のすべての呼び出しは、データベースに暗号化されて保存されたサーバーごとのHMAC秘密鍵で署名されます。エージェントは未署名の呼び出しを拒否し、ダッシュボードは未検証の応答を拒否します。
サーバーごとの秘密鍵 - 0404バックアップ
暗号化されたオフサイトバックアップ
AES-256静止時暗号化を使用したCloudflare R2へのサイトとデータベースの日次バックアップ。Starterで30日、Growthで90日、Businessで365日の保持期間。保持期間内の任意のポイントからワンクリックリストア。
AES-256、R2 - 0505WordPress
ログイン保護とWAF
wp-loginへのブルートフォース保護、既知の悪意あるボットの自動ブロック、WordPressの脅威パターンに調整されたCloudflare WAFルール、WordPressコアセキュリティリリースの自動パッチ適用。
WP調整済みWAF
安全なWordPressホストが最初から提供すべき機能。
セキュリティスタック · 連携の仕組み
3つのレイヤー、すべてのサイト、すべてのプラン。
以下のスタックはStarterとBusinessで同じです。ティアごとに異なるのはバックアップ保持期間のみです。それ以外のすべて — 分離、TLS、HMAC、ログイン保護、WAF — はどこでも同じです。
CloudflareはDDoS、WAF、AIボット許可リストをグローバルエッジで処理します。各VPS上のTraefikはTLS終端、HTTP/3、サイトごとのコンテナへのリクエストルーティングを処理します。
各サイトはバインドされたメモリ、専用PHP-FPMワーカー、分離されたファイルシステム、独自のMariaDBコンテナを持つ独自のDockerコンテナで動作します。WP-CLI、自動更新フック、cronはこの境界内で実行されます。
各VPS上のFastAPIエージェントがプロビジョニング、バックアップ、SSL、PHP設定変更を実行します。ダッシュボードはHMAC署名済みの呼び出しを発行し、エージェントは動作前に検証します。秘密鍵はダッシュボードデータベースで静止時に暗号化されています。
セキュリティはティアではありません。製品です。
すべてのプランは上記の完全な体制を提供します。料金によって変わるのはバックアップ保持期間とサイト数のみです。セキュリティのアドオンティアはYovaleの販売方法ではありません。
Starter、2サイト。完全なセキュリティ体制。バックアップ保持期間30日。GrowthとBusinessはそれぞれ90日と365日に延長されます。
契約面もご確認ください。
セキュリティを重視する購入者が最初に質問すること。
同じVPS上の1つのサイトが別のサイトからどのように分離されていますか?+
すべてのサイトは独自のファイルシステム、独自のPHP-FPMプール、独自のMariaDBコンテナ、独自のバインドされたメモリを持つ独自のDockerコンテナを持っています。Linuxカーネル境界が分離です。サイト間に共有PHPランタイムはありません。
バックアップはどこに保存され、暗号化されていますか?+
日次バックアップはAES-256静止時暗号化でCloudflare R2に保存されます。暗号化キーはR2の標準キー管理契約の下で管理されます。バックアップ保持期間はStarterで30日、Growthで90日、Businessで365日です。
Yovaleには脆弱性開示プログラムがありますか?+
はい。security@yovale.comに報告をお送りください。5営業日以内に開示報告に応答し、責任ある開示慣行に従う善意の研究者に対して法的措置を取ることはありません。公開開示のタイミングは調整されます。希望しない場合を除き、変更ログに報告者をクレジットします。
ダッシュボードで二要素認証は利用できますか?+
TOTPベースの2FAはすべてのダッシュボードアカウントで利用でき、管理スコープを持つアカウントには必須です。アカウント→セキュリティで追加できます。
コントロールプレーンの呼び出しはどのように認証されますか?+
各VPSは独自のHMAC秘密鍵を持ち、ダッシュボードのSupabaseインスタンスで静止時に暗号化されています。ダッシュボードはその秘密鍵でエージェントへのすべての呼び出しに署名し、エージェントは未署名または未検証の呼び出しを拒否します。サーバー間に共有ベアラートークンはありません。
WordPressコアに対してCVEが開示された場合はどうなりますか?+
WordPressコアのセキュリティリリースは、開示から数時間以内にフリート全体に自動適用されます。コアセキュリティパッチにお客様の操作は必要ありません。テーマとプラグインの更新はサイトを壊す可能性があるため、お客様が管理します。利用可能な更新はダッシュボードに表示されます。
契約上の詳細はどこで確認できますか?+
フッターにリンクされているデータ処理契約とエンドユーザーライセンス契約で確認できます。DPAはサブプロセッサー、セキュリティ対策、侵害通知のタイミング、国際移転をカバーしています。
サイトを移行して体制を自分の目で確かめてください。
7分間の移行、無料トライアル。このページのすべての基本機能は最初にプロビジョニングするサイトで有効になります — 有効にするものも、アップセルするものもありません。