Säkerhet som inte beror på tur.
Containerisolering per webbplats, HMAC-signerat kontrollplan, krypterade säkerhetskopior, automatisk SSL — varje påstående här motsvarar en verklig del av aktiv infrastruktur, inte en marknadsföringschecklista.
gratis provperiod · alla säkerhetsprimitiver ingår i varje plan
En säkerhetsställning du kan verifiera, inte gissa.
Varje webbplats visar sitt aktuella säkerhetsläge i instrumentpanelen — TLS-status, senaste lyckade säkerhetskopia, senaste säkerhetspatch, misslyckade inloggningar, tillåtna AI-botar. Inga mysterier, inga dolda cron-jobb.
- 12:04:22TLS renewal/ acme order completedok
- 12:03:51Backupr2://yovale-backups/site-87 okok
- 12:03:18WP coreauto-patch 6.9.2 appliedok
- 12:02:44Login protectionblocked 12 attempts on wp-loginok
- 12:02:09WAFCloudflare rule wp-xmlrpc enabledok
Säkerheten hos delad hosting är en önskelista.
Hos de flesta delade WordPress-värdar innebär säkerhet en WAF-inställningssida, en valfri säkerhetskopia och ett plugin för skanning av skadlig kod som du glömde installera. Det finns ingen faktisk isolering mellan webbplatser — din grannes komprometterade plugin är ditt problem.
Managed-värdar tar $25–$50/månad för att linda in samma arkitektur vänligare och säljer sedan de faktiskt användbara delarna (offsite-säkerhetskopior, staging, inloggningsskydd, skanning av skadlig kod) som tillägg.
Yovale säljer inte säkerhet som en funktionsnivå. Containerisolering, krypterade säkerhetskopior, inloggningsskydd, HMAC-signerat kontrollplan och programmet för avslöjande ingår i varje plan från $149/år. Säkerhetsställningen nedan är samma som vi levererar till varje kund.
Fem primitiver, alla aktiva som standard.
Varje kort här representerar en verklig del av aktiv infrastruktur, inte ett färdplansåtagande. Där en primitiv drivs av en tredje part (Cloudflare, Let's Encrypt) namnges den.
- 0101isolering
En Docker-container per webbplats
Varje WordPress-webbplats körs i sin egen Docker-container med isolerat filsystem, dedikerade PHP-FPM-workers, begränsat minne och CPU. En kompromittering på en webbplats når inte en annan.
isolerad körtid - 0202edge
Automatisk TLS via Traefik
Let's Encrypt-certifikat utfärdas och förnyas automatiskt av Traefik för varje domän du lägger till. HTTP/2 och HTTP/3 aktiva som standard. Ingen manuell förnyelse, inga utgångsöverraskningar.
automatisk utfärdande + förnyelse - 0303kontrollplan
HMAC-signerat kontrollplan
Varje anrop mellan instrumentpanelen och VPS-agenten signeras med en serverspecifik HMAC-hemlighet lagrad krypterad i databasen. Agenten avvisar osignerade anrop; instrumentpanelen avvisar overifierade svar.
serverspecifika hemligheter - 0404säkerhetskopior
Krypterade offsite-säkerhetskopior
Dagliga säkerhetskopior av webbplats och databas till Cloudflare R2 med AES-256-kryptering i vila. 30 dagars lagring vid Starter, 90 dagar vid Growth, 365 dagar vid Business. Enklicksåterställning från valfri sparad punkt.
AES-256, R2 - 0505wordpress
Inloggningsskydd och WAF
Skydd mot brute force på wp-login, automatisk blockering av kända skadliga botar, Cloudflare-WAF-regler anpassade till WordPress-hotmönster och automatisk patchning av WordPress-kärnans säkerhetsversioner.
WP-optimerad WAF
Vad en säker WordPress-värd borde leverera som standard.
säkerhetsstack · hur allt hänger ihop
Tre lager, varje webbplats, varje plan.
Stacken är identisk på Starter och Business. Det enda som är nivåberoende är lagringstiden för säkerhetskopior. Allt annat — isolering, TLS, HMAC, inloggningsskydd, WAF — är detsamma överallt.
Cloudflare hanterar DDoS, WAF och tillståndslistan för AI-botar vid den globala kanten. Traefik på varje VPS hanterar TLS-terminering, HTTP/3 och förfrågningsroutning till per-webbplats-containers.
Varje webbplats lever i sin egen Docker-container med begränsat minne, dedikerade PHP-FPM-workers, isolerat filsystem och sin egen MariaDB-container. WP-CLI, autoupdate-hookar och cron körs inom denna gräns.
En FastAPI-agent på varje VPS utför provisionering, säkerhetskopior, SSL och PHP-konfigurationsändringar. Instrumentpanelen utfärdar HMAC-signerade anrop; agenten verifierar innan åtgärd. Hemligheter är krypterade i vila i instrumentpanelens databas.
Säkerhet är inte en nivå. Det är produkten.
Varje plan får den fullständiga säkerhetsställningen ovan. Det enda som prissättningen ändrar är lagringstiden för säkerhetskopior och antalet webbplatser. Tilläggssäkerhetsnivåer är inte hur Yovale säljs.
Starter, 2 webbplatser. Fullständig säkerhetsställning. Säkerhetskopior sparas i 30 dagar. Growth och Business utökar lagringen till 90 respektive 365 dagar.
Läs även den avtalsenliga sidan.
Säkerhetsprimitiverna, sida för sida.
Vad säkerhetsmedvetna köpare frågar först.
Hur isoleras en webbplats från en annan på samma VPS?+
Varje webbplats har sin egen Docker-container med eget filsystem, egen PHP-FPM-pool, egen MariaDB-container och eget begränsat minne. Linux-kärnans gräns utgör isoleringen. Det finns ingen delad PHP-körtid mellan webbplatser.
Var lagras säkerhetskopior och är de krypterade?+
Dagliga säkerhetskopior hamnar i Cloudflare R2 med AES-256-kryptering i vila. Krypteringsnycklar hanteras enligt R2:s standardavtal för nyckelhantering. Lagringstid: 30 dagar vid Starter, 90 dagar vid Growth, 365 dagar vid Business.
Har Yovale ett program för avslöjande av sårbarheter?+
Ja. Skicka en rapport till security@yovale.com. Vi svarar på avslöjanderapporter inom 5 arbetsdagar och vidtar inga rättsliga åtgärder mot välmenande forskare som följer praxis för ansvarsfull avslöjande. Tidpunkten för offentlig avslöjande samordnas; vi tillskriver rapportörer i ändringsloggen om de inte föredrar annat.
Är tvåfaktorsautentisering tillgänglig på instrumentpanelen?+
TOTP-baserad 2FA är tillgänglig på varje instrumentpanelkonto och krävs för konton med administrativ behörighet. Lägg till den under Konto → Säkerhet.
Hur autentiseras anrop till kontrollplanet?+
Varje VPS har sin egen HMAC-hemlighet, krypterad i vila i instrumentpanelens Supabase-instans. Instrumentpanelen signerar varje anrop till agenten med den hemligheten; agenten avvisar osignerade eller overifierade anrop. Det finns inga delade bearer-tokens mellan servrar.
Vad händer om en CVE avslöjas mot WordPress-kärnan?+
Säkerhetsversioner av WordPress-kärnan appliceras automatiskt i hela flottan inom timmar efter avslöjandet. Vi kräver ingen kundåtgärd för säkerhetspatchar i kärnan. Uppdateringar av teman och plugins förblir under kundkontroll eftersom de kan bryta webbplatser; tillgängliga uppdateringar visas i instrumentpanelen.
Var kan jag läsa mer avtalsenliga detaljer?+
Databehandlingsavtalet och slutanvändarlicensavtalet som länkas i sidfoten. DPA täcker underleverantörer, säkerhetsåtgärder, tidsfrister för incidentmeddelanden och internationella överföringar.
Flytta en webbplats och se säkerhetsställningen själv.
Sju minuters migrering, sju dagars provperiod. Varje primitiv på den här sidan är aktiv på den första webbplatsen du provisionerar — inget att aktivera, ingen merförsäljning.