Skocz do zawartości

szmigieldesign

Użytkownicy
  • Ilość treści

    26
  • Rejestracja

  • Ostatnio

Reputacja

4 Neutral

Informacje osobiste

  • Imię
    Łukasz

Ostatnio na profilu byli

Blok z ostatnio odwiedzającymi jest wyłączony i nie jest wyświetlany innym użytkownikom.

  1. Główny problem z DDoS ma związek z pierwszą literką, czyli Distributed. Zakładając szczęśliwy scenariusz, że faktycznie atak przeprowadzony jest na wspomniane w komentarzach xmlrpc czy admin-ajax to i tak bardzo dużą liczbę zapytań zamierzasz filtrować przez Apache lub PHP, co negatywnie wpłynie na wydajność. Jeżeli atakowany jest Twój serwis (np. wspomniane pliki w domenie) to Cloudflare może pomóc. Jeżeli atakowany jest serwer przez IP, wtedy najlepiej zadziałają dedykowane narzędzia zainstalowane (bądź nie) po stronie hostingu. W przypadku WordPress, Wordfence przydaje się głównie do raportów przesyłanych na e-mail (co jest przydatne w szczególności kiedy potrzebujesz mieć kontrolę nad wieloma serwisami), do porównywania plików WordPress (motywów i wtyczek) z wersjami znajdującymi się w repozytorium oraz do szybkiego i łatwego wdrożenia pomocnych mechanizmów bezpieczeństwa (ograniczenie prób logowania, zapobieganie wykonywania kodu w /wp-content/uploads/ etc.). Wordfence posiada WAF, ale jest to mechanizm działający z poziomu PHP (czyli nie będący królem wydajności), wymaga wstępnej konfiguracji (która nie jest wykonywana samoczynnie po instalacji) i w wersji darmowej posiada reguły opóźnione o 30 dni względem daty publikacji. Jeżeli hosting nie pomoże, możesz rozważyć subskrypcję usługi od Sucuri. Różnica w stosunku do Wordfence polega na tym, że ruch kierowany jest przez firewall zewnętrzny, a filtry nie są uruchamiane na poziomie Twojego hostingu. Obawiam się jednak, że w przypadku ataków na IP nie filtrowanych skutecznie przez hosting, rezultat będzie podobny jak dotychczas.
  2. Hm, nie jesteś w stanie pobrać nowych wersji wtyczek manualnie ze strony producenta? Czy mechanizm zabezpieczający we wtyczkach efektywnie je wyłączy jeżeli wykryje zmianę domeny?
  3. Hm. Pytanie czy autoryzacja zadziała także dla subdomeny - w takim wypadku mógłbyś uruchomić tymczasową wersję serwisu na subdomenie domeny na którą masz zarejestrowane wtyczki.
  4. Hm, a nie lepiej pobrać kopię, przebudować i wgrać z powrotem? Wtedy downtime wyniesie nie więcej niż godzinę.
  5. Nie można po prostu zrobić przekierowań w htaccess? Jeżeli zmieniasz kategorię (dodajesz lub usuwasz z permalinku) i WordPress sam sobie nie poradzi to jedno przekierowanie z wyrażeniem regularnym w htaccess powinno załatwić sprawę. Z czasem linki w Google zaktualizują się tak jak pisze theqkash.
  6. Zależy od konfiguracji połączenia po stronie Cloudflare. Może być Flexible SSL, Full SSL albo Full SSL Strict. Pierwsze dwa powinny działać nawet jeżeli certyfikat nie jest skonfigurowany poprawnie. Flexible SSL działą tak jak Mion napisał. Zobacz https://support.cloudflare.com/hc/en-us/articles/204144518-SSL-FAQ
  7. No jak to jak, nieuczciwą praktyką rynkową 😉
  8. HTTP/2 nie powinno wykrzaczać layoutu. Zwykle layout się sypie kiedy optymalizujesz jQuery, dlatego w lscache jest osobna opcja wykluczająca jQuery ze wszystkich optymalizacji. Ale faktycznie może być potrzebne głębsze zbadanie tematu i wykluczanie poszczególnych js/css. Pisałeś do HD w tej sprawie? Tak to wygląda u mnie (zał.). Sugeruję wykluczyć też googlesyndication z optymalizacji. lscache pozwala na automatyczną optymalizację obrazków od 1200 kredytów (level 3), ale funkcja ta została dodana niedawno, więc jeśli wcześniej badałeś temat to mogłeś o tym nie wiedzieć.
  9. Dlaczego nie łączysz CSS / JS? Miałeś z tym problemy? Jeżeli jesteś na dhosting, możesz też włączyć HTTP/2 push. Zmieniałeś coś w [6] Tuning względem wartości domyślnych? Ładowanie minifikowanego kodu przed innym może powodować problemy w ładowaniu treści bo zmieniasz kolejność skryptów. Po zmianie ustawień minify / tuning, etc. konieczne jest wyczyszczenie całej pamięci podręcznej. Jedyne błędy jakie widzę u siebie dotyczą Google Ads (403 podczas ładowania zasobów ads) - pomyśl o dodaniu frazy "googleads" do wyjątków js/css. Nie wiem czy korzystasz z optymalizacji obrazów, jeśli nie, zapraszam do mojego krótkiego poradnika - https://szmigiel.design/pl/blog/skuteczna-optymalizacja-grafik-w-wordpress-dzieki-wtyczce-litespeed-cache/
  10. @kacperq, w lscache w zakładce CDN jest opcja serwowania jquery po cdn - wtyczka filtruje zapytania i ładuje je przez Google CDN i chyba jeszcze cdnjs do wyboru - jeżeli problem był z jquery, warto sprawdzić. Sprawdź też w zakładce optymalizacja czy przypadkiem nie ładujesz minifikowanych skryptów przed innymi, może tam jest jakiś konflikt.
  11. Nie masz przypadkiem dziurawej wtyczki? https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/
  12. Możesz jeszcze podpytać autorów Disqus czy wiedzą o problemie i czy mają na to radę. Ale zasadniczo tak jak theqkash napisał - olać.
  13. Dysk zewnętrzny podłączany tylko na potrzeby wykonania kopii.
  14. dhosting zaleca żeby przy konfiguracji domen z Cloudflare korzystać z ich panelu. Poproś w pierwszej kolejności support jeżeli masz tam hosting i domenę, pewnie pomogą z konfiguracją.
×
×
  • Utwórz nowe...

Ważne informacje

Korzystając z forum, wyrażasz zgodę na: Warunki korzystania z serwisu, Regulamin, Polityka prywatności.