[-]
Szybkie szukanie


Baner sklepu jdtech.pl
Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
Męcząca administracja blogiem na Wordpress
31-05-2015, 21:13
Post: #1
Męcząca administracja blogiem na Wordpress
Właśnie zakończyłem walkę z drugą rzeczą związaną z Wordpress. W sumie dwie takie "dziury" łatałem:
1. Około roku temu serwer gwałtownie zwolnił. Zobaczyłem, że jest mnóstwo odwołań do adresu jdtech/wp-admin, gdzie normalnie użytkownik/administrator loguje się do interfejsu. Problem w tym, że każda próba powoduje odpalenie całego silnika Wordpressa, odpowiednich modułów php i bazy danych mysql. 20-30 wywołań na sekundę (prób zalogowania) po prostu przeciążyło maszynę.
Rozwiązanie - dodanie autoryzacji niskopoziomej (http auth) na ten folder. Dzięki temu serwer WWW zwraca kod braku dostępu 401 zanim zacznie uruchamiań zasobożerny podsystem php. Problem zniknął natychmiast.
2. Teraz znowu coś takiego znalazłem w logach:
Kod:
185.62.189.47 jdtech.pl - [31/May/2015:21:02:04 +0200] "POST /xmlrpc.php HTTP/1.0" 200 389 "-" "Mozilla/5.0 (compatible; Googlebot/2.1;  http://www.google.com/bot.html)"
Oczywiście nie jest to googlebot, tylko próba ataku na podsystem xmlrpc w Wordpressie. Nieudany, bo podsystem wyłączony, poza tym Wordpress za stary. Problem w tym, że znowu kilka razy na sekundę atakuje i serwer staje dęba. Zastosowałem tę samą metodę - http auth. Problem zniknął.

Czekam na kolejny taki atak Smile
Prze to jednak migracji serwera nie zrobiłem.
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
31-05-2015, 23:27
Post: #2
Odp: Męcząca administracja blogiem na Wordpress
Mnie sie dzis zdarzyło[Obrazek: ZqA8qcq.png]

Wysłane z mojego GT-N7105 za pomocą Tapatalk 2
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
31-05-2015, 23:47
Post: #3
Męcząca administracja blogiem na Wordpress
To dokładnie objaw tego problemu, który rozwiązałem wieczorem dopiero.
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
21-11-2015, 19:25
Post: #4
RE: Męcząca administracja blogiem na Wordpress
Witam Wszystkich

(31-05-2015 21:13)jakubd napisał(a):  Rozwiązanie - dodanie autoryzacji niskopoziomej (http auth) na ten folder. Dzięki temu serwer WWW zwraca kod braku dostępu 401 zanim zacznie uruchamiań zasobożerny podsystem php. Problem zniknął natychmiast.

Mam pytanie czy możesz napisać jak wykonać tą autoryzację niskopoziomową bo mam ten sam problem. Serwer www stoi na OpenSuse 11.4

Z góry dziękuję za odpowiedź
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
21-11-2015, 23:28
Post: #5
Męcząca administracja blogiem na Wordpress
Nie ma znaczenia serwer (w znaczeniu dystrybucja) tylko jakiegoś używasz demona (serwera) WWW - ja mam lighttpd, większość używa apacha, z rzadka nginx innych.
Ogólnie musisz skonfigurować http auth (autoryzacja http) i tego szukasz dla swojego serwera WWW - w apache robi się to za pomocą pliku ./htaccess (zawiera zasady autoryzacji i dostępu do treści) i umieszczonego gdzieś obok .htpasswd lub podobnego, w którym trzymasz zaszyfrowane hasła. Ja w lighttpd takie rzeczy muszę trzymać w samym konfigu /etc/lighttpd/* - to jest męczące, ale z powodu wydajności imho się opłaca męczyć.

Uwaga techniczna - są pluginy wordpressa, które źle znoszą brak dostępu klientów do wp-admin - a to powoduje właśnie zahasłowanie wp-admin. Jednak ja na szczęście żadnego z nich nie używam.
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
22-02-2016, 10:13
Post: #6
Męcząca administracja blogiem na Wordpress
W jaki sposób robisz backupy WP, czy używasz wtyczek czy kopiujesz wszystko via FTP, co jaki czas?
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
22-02-2016, 20:10
Post: #7
Męcząca administracja blogiem na Wordpress
Wtyczka robiąca zrzut plików i bazy MySQL + zewnętrzny skrypt pobierający kopię na inny serwer, a dodatkowo na NAS zainstalowany w lokalizacji, gdzie zarządzam siecią lokalną i mam szybkie łącze.
Zaleta - bardzo szybko się to przywraca.
Wady - wydajność backupu jest ograniczona (w większych systemach potrafi się robić kilka godzin).
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
23-02-2016, 10:30
Post: #8
Męcząca administracja blogiem na Wordpress
A jakie to konkretnie narzędzia jeżeli jesteśmy przy tym?
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
23-02-2016, 13:06
Post: #9
Męcząca administracja blogiem na Wordpress
To zależy od konkretnego serwera i usługi, którą zarządzam.
Najczęściej w przypadku Wordpressów używam BackUpWordPress
Natomiast do kopiowania między serwerami - własnych skryptów korzystających z rsync po ssh z raportowaniem w logach i powiadomieniami email.

Backup jednego z obsługiwanych przeze mnie serwerów trwa 14 godzin, więc jest wykonywany nie codziennie, tylko co kilka dni przy mniejszym ruchu i bez skryptów wbudowanych - tylko na żywych plikach z kompresją podczas kopiowania między serwerami - głównie z powodu wielkości i liczby plików nie da się tego zrobić inaczej przy przydzielonym budżecie. 14 godzin nawet pomimo tego, że to jest tylko przyrostowe.
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
09-04-2016, 12:53
Post: #10
Męcząca administracja blogiem na Wordpress
Czyli sam BackUpWordpress Tobie wystarcza? Bo ja oprócz niego kopiuję wszystko przez FTP, i czy do tego osobno jeszcze bazy MySQL poprzez panel cPanel zrobić backup? Czy to wystarcza żeby zabezpieczyć Wordpressa.

Raz wgrałem nowszą wersję tematu i wszystko mi się posypalo, bo nie wiedziałem które pliki .php na nowo zmieniać. U mnie jedynie uciążliwe byłoby podnoszenie tego na nowo, no ale 14 godzin tutaj jak piszesz - to szmat czasu.
Znajdź wszystkie posty użytkownika
Podziękuj Odpowiedz cytując ten post
Odpowiedz