Skocz do zawartości

szmigieldesign

Użytkownicy
  • Ilość treści

    26
  • Rejestracja

  • Ostatnio

Wszystko napisane przez szmigieldesign

  1. Główny problem z DDoS ma związek z pierwszą literką, czyli Distributed. Zakładając szczęśliwy scenariusz, że faktycznie atak przeprowadzony jest na wspomniane w komentarzach xmlrpc czy admin-ajax to i tak bardzo dużą liczbę zapytań zamierzasz filtrować przez Apache lub PHP, co negatywnie wpłynie na wydajność. Jeżeli atakowany jest Twój serwis (np. wspomniane pliki w domenie) to Cloudflare może pomóc. Jeżeli atakowany jest serwer przez IP, wtedy najlepiej zadziałają dedykowane narzędzia zainstalowane (bądź nie) po stronie hostingu. W przypadku WordPress, Wordfence przydaje się głównie do raportów przesyłanych na e-mail (co jest przydatne w szczególności kiedy potrzebujesz mieć kontrolę nad wieloma serwisami), do porównywania plików WordPress (motywów i wtyczek) z wersjami znajdującymi się w repozytorium oraz do szybkiego i łatwego wdrożenia pomocnych mechanizmów bezpieczeństwa (ograniczenie prób logowania, zapobieganie wykonywania kodu w /wp-content/uploads/ etc.). Wordfence posiada WAF, ale jest to mechanizm działający z poziomu PHP (czyli nie będący królem wydajności), wymaga wstępnej konfiguracji (która nie jest wykonywana samoczynnie po instalacji) i w wersji darmowej posiada reguły opóźnione o 30 dni względem daty publikacji. Jeżeli hosting nie pomoże, możesz rozważyć subskrypcję usługi od Sucuri. Różnica w stosunku do Wordfence polega na tym, że ruch kierowany jest przez firewall zewnętrzny, a filtry nie są uruchamiane na poziomie Twojego hostingu. Obawiam się jednak, że w przypadku ataków na IP nie filtrowanych skutecznie przez hosting, rezultat będzie podobny jak dotychczas.
  2. Hm, nie jesteś w stanie pobrać nowych wersji wtyczek manualnie ze strony producenta? Czy mechanizm zabezpieczający we wtyczkach efektywnie je wyłączy jeżeli wykryje zmianę domeny?
  3. Hm. Pytanie czy autoryzacja zadziała także dla subdomeny - w takim wypadku mógłbyś uruchomić tymczasową wersję serwisu na subdomenie domeny na którą masz zarejestrowane wtyczki.
  4. Hm, a nie lepiej pobrać kopię, przebudować i wgrać z powrotem? Wtedy downtime wyniesie nie więcej niż godzinę.
  5. Nie można po prostu zrobić przekierowań w htaccess? Jeżeli zmieniasz kategorię (dodajesz lub usuwasz z permalinku) i WordPress sam sobie nie poradzi to jedno przekierowanie z wyrażeniem regularnym w htaccess powinno załatwić sprawę. Z czasem linki w Google zaktualizują się tak jak pisze theqkash.
  6. Zależy od konfiguracji połączenia po stronie Cloudflare. Może być Flexible SSL, Full SSL albo Full SSL Strict. Pierwsze dwa powinny działać nawet jeżeli certyfikat nie jest skonfigurowany poprawnie. Flexible SSL działą tak jak Mion napisał. Zobacz https://support.cloudflare.com/hc/en-us/articles/204144518-SSL-FAQ
  7. No jak to jak, nieuczciwą praktyką rynkową 😉
  8. HTTP/2 nie powinno wykrzaczać layoutu. Zwykle layout się sypie kiedy optymalizujesz jQuery, dlatego w lscache jest osobna opcja wykluczająca jQuery ze wszystkich optymalizacji. Ale faktycznie może być potrzebne głębsze zbadanie tematu i wykluczanie poszczególnych js/css. Pisałeś do HD w tej sprawie? Tak to wygląda u mnie (zał.). Sugeruję wykluczyć też googlesyndication z optymalizacji. lscache pozwala na automatyczną optymalizację obrazków od 1200 kredytów (level 3), ale funkcja ta została dodana niedawno, więc jeśli wcześniej badałeś temat to mogłeś o tym nie wiedzieć.
  9. Dlaczego nie łączysz CSS / JS? Miałeś z tym problemy? Jeżeli jesteś na dhosting, możesz też włączyć HTTP/2 push. Zmieniałeś coś w [6] Tuning względem wartości domyślnych? Ładowanie minifikowanego kodu przed innym może powodować problemy w ładowaniu treści bo zmieniasz kolejność skryptów. Po zmianie ustawień minify / tuning, etc. konieczne jest wyczyszczenie całej pamięci podręcznej. Jedyne błędy jakie widzę u siebie dotyczą Google Ads (403 podczas ładowania zasobów ads) - pomyśl o dodaniu frazy "googleads" do wyjątków js/css. Nie wiem czy korzystasz z optymalizacji obrazów, jeśli nie, zapraszam do mojego krótkiego poradnika - https://szmigiel.design/pl/blog/skuteczna-optymalizacja-grafik-w-wordpress-dzieki-wtyczce-litespeed-cache/
  10. @kacperq, w lscache w zakładce CDN jest opcja serwowania jquery po cdn - wtyczka filtruje zapytania i ładuje je przez Google CDN i chyba jeszcze cdnjs do wyboru - jeżeli problem był z jquery, warto sprawdzić. Sprawdź też w zakładce optymalizacja czy przypadkiem nie ładujesz minifikowanych skryptów przed innymi, może tam jest jakiś konflikt.
  11. Nie masz przypadkiem dziurawej wtyczki? https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/
  12. Możesz jeszcze podpytać autorów Disqus czy wiedzą o problemie i czy mają na to radę. Ale zasadniczo tak jak theqkash napisał - olać.
  13. Dysk zewnętrzny podłączany tylko na potrzeby wykonania kopii.
  14. dhosting zaleca żeby przy konfiguracji domen z Cloudflare korzystać z ich panelu. Poproś w pierwszej kolejności support jeżeli masz tam hosting i domenę, pewnie pomogą z konfiguracją.
  15. Wołam @dhosting.pl, napiszcie proszę trochę więcej dlaczego problem jest technicznie skomplikowany. Jeżeli chodzi o spam z tego wątku - w zasadzie problemem jest tylko ten typ spamu, z całą resztą filtry radzą sobie bardzo dobrze.
  16. Nie pisz na forum tylko na iod@nazwa.pl - od tego jest inspektor danych osobowych w każdej firmie żeby takie sprawy ogarniać.
  17. Z opisu wtyczki wynika, że ma dość kompleksowe funkcje. Testowałeś może Wordfence i możesz porównać? Ciekawi mnie jak w praktyce działa np. skaner zawartości plików.
  18. Prawda, ja też doświadczyłem hostingów, gdzie domyślnie prawie wszystkie funkcje PHP były odblokowane, a open_basedir ograniczony do całego konta. W przypadku infekcji jednego CMS, reszta leciała po kolei. Na dhosting jest z tym spokój, LiteSpeed działa nad wyraz dobrze, a domyślnie każda strona zamknięta jest w swoim folderze. Generalnie dużą zaletą dhosting jest to, że dla popularnych aplikacji webowych zasadniczo wszystko działa "out of the box".
  19. Cześć, nie wiem czy problem został już przez Ciebie rozwiązany, jeśli nie to mój tip: Sprawdź czy dla któregoś z elementów CSS logo (np. nadrzędne a lub jego kontener) nie ma przejść "transition" lub "opacity". Możesz napisać tymczasowe style które nadadzą wartości opacity dla tych elementów na 1 (możesz dla pewności spróbować z !important) oraz wyłączą transition. Nie zaszkodzi wymusić też wymiarów width oraz height (dla testów również z important). Zdarzyło mi się, że przez przezroczystość oraz przejścia niektóre przeglądarki szarpią obrazki optymalizując wydajność. Może się zdarzyć, że np. masz transition albo opacity na cały nagłówek obsługiwane przez jakiś JS i przeglądarka w rzeczywistości nie kończy renderowania przejścia i renderuje poszarpany obraz. Sprawdź też HTML / CSS / JS jakimś testerem błędów, może przeglądarka wpada w quirks mode i ma problem z renderowaniem obrazków.
  20. Cześć, testuję u siebie od pewnego czasu dla wpisów blogowych. Ciekawa technologia, ale trochę na siłę. To dodatkowa warstwa, którą trzeba przygotować, ostylować i opublikować. O ile w przypadku popularnych rozwiązań jak WordPress można AMP uruchomić łatwo, lekko i przyjemnie, o tyle w przypadku dedykowanych projektów to dodatkowa praca. Czy warto? Moim zdaniem tak, pod warunkiem, że serwis jest bardzo poczytny, liczba wejść z urządzeń mobilnych jest dominująca i nierzadko są to wejścia z zagranicy. Automatyczne keszowanie treści przez AMP Project to duży plus - zasadniczo mamy darmowy CDN dla treści, no, ale AMP się sam nie wdroży 😉 Co mnie najbardziej boli? To fizycznie osobny dokument HTML powiązany z oryginałem - trochę proteza a nie natywne rozwiązanie jak RWD. Trzeba toto zrobić niezależnie od oryginalnej strony i nie można integrować niektórych rozwiązań marketingowych / komentarzy, skryptów, etc. Zdaję sobie sprawę, że to jest "po coś" - AMP ma być możliwie najbardziej odchudzony, lazy load, etc., ale w gruncie rzeczy doprowadza to do sytuacji sprzed lat, kiedy były serwisy dedykowane urządzeniom stacjonarnym i ich mobilne odpowiedniki dla telefonów. Osobiście jestem zwolennikiem dobrze zaprojektowanych stron z wykorzystaniem przemyślanego RWD niż dodatkowej warstwy w postaci AMP. Nie widzę też wyraźnego zysku w postaci SERP po wprowadzeniu AMP, a sam Google dość zachowawczo promuje AMP w wynikach wyszukiwania - ikona mogłaby chociażby posiadać kolor. Ale ja mam skromny ruch na stronie, domyślam się, że w przypadku portalów newsowych może to mieć większe znaczenie - ładowanie stron z CDN wygrywa.
×
×
  • Utwórz nowe...

Ważne informacje

Korzystając z forum, wyrażasz zgodę na: Warunki korzystania z serwisu, Regulamin, Polityka prywatności.