оптимизация веб

Защита файла wp-config.php в nginx

26.06.2015 rudjuk Leave a comment

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net В файле wp-config.php CMS WordPress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах. Защита в веб-сервере Apache указывается в файле .htaccess:

# Deny public access to wp-config.php
<Files wp-config.php>
    Order allow,deny
    Deny from all
</Files>

# Deny public access to wp-config.php

Order allow,deny

Deny from all

</Files>

Защита в веб-сервере Nginx:

# Deny public access to wp-config.php
location ~* wp-config.php { 
    deny all; 
}

# Deny public access to wp-config.php

location ~* wp-config.php {

deny all;

}

Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Безопасность WordPress. 3 самых эффективных способа защиты от брутфорса

26.06.2015 rudjuk Leave a comment

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress. В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу. 1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора. В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin';
UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

1 2	UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin'; UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков […]

Защита сайта от брутфорса без правки кода

26.06.2015 rudjuk Leave a comment

Если Ваш сайт, написанный на базе популярного движка (WordPress, Joomla, Magento и др.), стал сильно тормозить, а в логах доступа сервера Вы видите множество обращений к странице логина или к странице администрирования, знайте — ваш сайт «нашли» боты-брутфорсеры и пытаются подобрать пароль администратора.Если с Вашим паролем всё нормально (он длинный и набран цифрами и буквами в разных регистрах), то Вы можете быть уверены, что брутфорсер его не подберёт. Но сам факт того, что происходит подбор, а тем паче то, что при этом страшно грузится сервер и расходуется трафик (особенно если на вашем хостинге он платный) откровенно говоря, напрягает. Ниже я расскажу как избавиться от этой проблемки очень простым и бескровным способом. Сперва предыстория. Проблемой я озаботился спустя некоторое время после того, как перешёл с «самодельного» движка на WordPress (впрочем, это мог бы быть любой другой более-менее распространённый движок). Запилил первый сайт и уже через неделю увидел в логах огромное количество запросов к странице логина. Поиски в интернете выводили на множество «рецептов», подавляющее большинство которых заключается в переименовании файла wp-login.php и его правке (поскольку адрес самой страницы неоднократно встречается в самом файле wp-login.php и других файлах движка. Но этот способ означает правку ядра WordPress. А это влечёт за собой невозможность получать регулярные автоматические обновления ядра, а также несовместимость с некоторыми плагинами. К тому же способ абсолютно не спасает против тех роботов, которые ищут «дыры» в админке и плагинах, обращаясь с хитроумными параметрами по адресам вида /wp-admin/* В общем, этот способ сразу был отвергнут. А идея моя заключается вот в чём. Нужно завести специальную […]

Используем rel=nofollow и noindex для Yandex

26.06.2015 rudjuk Leave a comment

В апреле, поисковик Yandex, обрадовал рунетовских веб-мастеров, включением поддержки атрибута rel=»nofollow» в ссылках. Какую пользу это нам — блоггерам принесет? Как правильно прописать атрибут rel=»nofollow» в ссылках и что теперь будет с <noindex>? Давайте попробуем разобраться в этих новинках Яндекса . Небольшая предыстория атрибута rel=nofollow Что такое rel=nofollow? Rel=» « — атрибут в ссылке <a>, указывающий отношение ссылки к целевой странице. Также, есть еще атрибут Rev=» «, указывающий отношение целевой страницы к ссылке, например (ссылка с rev=»sponsor» указывает, что это спонсорская ссылка). Но об этом в следующей статье. Nofollow — статус, говорящий о том,что вы не одобряете данную ссылку. Исходя из вышесказанного: Rel=nofollow — определяет отношение вашей ссылки к целевой странице как не одобряемое. Применительно к поисковикам, данный атрибут указывает индексирующим роботам, что по данной ссылке не следует переходить на целевую страницу. Rel=nofollow был введен и стандартизирован в 2005 году, в ответ на многочисленный ссылочный спам, присутствующий в блогах. Инициатором введения была поисковая система Google. Google, встречая ссылку с данным атрибутом, не следует по данной ссылке и не передает вес PR целевым страницам. Также, данные ссылки не учитывались в расчетах распределения ссылочного веса по ссылкам страницы. Но, так было до 2010 года. На данный момент, Google, также не передает ссылочный вес и не следует по ссылкам с rel=»nofollow», но вот ссылочный вес, внутри страницы, стал распределятся и на эти ссылки но впустую. То есть, если у вашей страницы PR-10 и 10 ссылок на странице, где 5 из них закрыты, то каждая открытая ссылка передавала по 2PR на целевую страницу. Теперь […]

Настройка кеширования страниц в PHP: XCACHE

26.06.2015 rudjuk Leave a comment

Значительного прироста производительности веб-сервера можно достичь, если использовать акселератор PHP-кода. Для его установки необходимо выполнить команду:

apt-get install php-xcache

1	apt-get install php-xcache

Настраиваем кеш: Файл настройки /etc/php5/apache2/conf.d/xcache.ini.

realpath_cache_size=4096k
xcache.size=40M
xcache.slots=8K
xcache.ttl=3600

realpath_cache_size=4096k

xcache.size=40M

xcache.slots=8K

xcache.ttl=3600

Также можно указать число ядер вашего процессора:

xcache.count=2

1	xcache.count=2

понятно, что это для 2-х процессоров. Источник: http://help.ubuntu.ru/wiki/web-server Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Разгоняем WordPress до скорости света

26.06.2015 rudjuk Leave a comment

Скорость и отказоустойчивость – одни из тех факторов, что неизменно влияют на популярность вашего ресурса, ведь даже с лучшим в мире контентом медленно работающий сайт будет раздражать читателей и рано или поздно вы их потеряете. В этой статье мы будем оптимизировать самый популярный блоговый движок — WordPress, работающий на PHP. А заодно рассмотрим несколько общих моментов в оптимизации сайтов. 1 Тестируем текущую скорость Чтобы узнать изменилось ли что-нибудь после нашей оптимизации, не помешает замерять для начала текущую скорость загрузки страниц блога, чтоб было с чем сравнивать. Есть несколько инструментов, которые помогут сделать это: 1.1 Pingdom Pingdom проводит быстрое и наглядное тестирование скорости загрузки всех элементов на странице и представляет результаты в виде удобной диаграммы, где можно посмотреть, какие элементы сайта загружаются медленнее чем необходимо и прочие проблемные области. Бенчмарк одного довольно известного ресурса. 1.2 YSlow YSlow– плагин для Firefox, который встраивается в, пожалуй лучший плагин для веб разработчика, Firebug. Он анализирует более 20 факторов, которые влияют на скорость работы сайта и оценивает общую производительность по 100 бальной системе, а каждый отдельный элемент оценкой от A до F. 1.3 Количество запросов и время их выполнения Вставив небольшой кусок PHP кода, можно вывести в футер количество запросов к БД и время, затраченное на их выполнение. <?php echo get_num_queries(); ?> queries in <?php timer_stop(1); ?> seconds. 2 Web Hosting Хотите верьте, хотите — нет, но веб хостинг одна из важнейших деталей, влияющих на производительность блога. Не вдаваясь в подробности, вот очень простая характеристика наиболее популярных типов хостинга, которая поможет вам примерно оценить нагрузку […]

.htaccess и php_value mbstring.func_overload

17.06.2015 rudjuk Leave a comment

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net В Битрикс требуют установку параметров php.ini:

php_value mbstring.func_overload 2
php_value mbstring.internal_encoding UTF-8

1 2	php_value mbstring.func_overload 2 php_value mbstring.internal_encoding UTF-8

Но, с некоторых пор данные параметры не изменяются в файле .htaccess. Изменение же в php.ini может отрицательно сказаться на работе других сайтов. Решением может настройка конфига виртуального хоста:

php_admin_value mbstring.func_overload 2
php_admin_value mbstring.internal_encoding UTF-8

1 2	php_admin_value mbstring.func_overload 2 php_admin_value mbstring.internal_encoding UTF-8

Оптимизация веб-сервера

08.06.2015 rudjuk Leave a comment

Прежде, чем расширять парк серверов, всегда стоит подумать над оптимизацией программного обеспечения, работающего на нем. Обычно, это дает гораздо больший эффект, чем установка большого количества дополнительных, мощных и дорогих аппаратных средств. 1. Оптимизация CMS-системы. Как было показано опытами, которые я проводил несколько лет назад, наибольшая скорость загрузки и пропускная система – у статических файлов. Скорость cms-систем и статических файлов отличается в 1000-10 000 раз. Причем, это еще сильней сказывается при применении системы веб-сервера NGinx. Зная это, я переработал систему кеширования в нашей cms-системе Корпорация 2 таким образом, чтоб генерировался статический сайт из динамического содержимого. Это дало значительный прирост скорости и значительное уменьшение нагрузки на сервере. 2. Оптимизация работы веб-сервера. Связка Apache-Nginx. Мы давно практикуем систему 2-х уровневого веб-сервера. Эта система дает устойчивость к большому количеству посещений, и как результат – скорость работы веб-сервера. 3. Оптимизация работы базы данных. Связка PostgreSQL-PGBouncer. Связка о которой многие забывают, но которая просто необходима при большом количестве работающих пользователей в online. Эта связка прекрасно себя проявила и сейчас реально у нас реально выдерживается более 500 пользователей в online. Причем, есть возможность выдерживать еще гораздо большие нагрузки! 4. Оптимизация работы с файлами Nginx. Если не правильно настроить Nginx, то он будет загружать не нужной работой Apache. Поэтому, мы настроили Nginx так, чтоб он как можно реже переводил управление на Apache. В идеале – работая вообще без Apache! 5. Системы кеширования PHP. Остановились на xCache. Значительное время веб-сервера тратится на компиляцию PHP-кода. Поэтому, я решил установить систему кеширования PHP-кода. Рассматривая ряд вариантов остановился на xCache. Но, ниже […]

Веб-сервер Nginx и PHP-FPM (настройка мобильного хостинга) – пополняется

08.06.2015 rudjuk Leave a comment

Т.к. система должна быть максимально мобильной, поднимаю веб-сервер на базе виртуальной машины. Все программное обеспечение использую с открытым исходным кодом, бесплатное. Для виртуальной машины вырал virtualbox: https://www.virtualbox.org/wiki/Downloads Операционную систему использую Linux Ubuntu: http://www.ubuntu.com/ После того, как установил Linux Ubuntu в вируальной машине VirtualBox, устанавливаю веб-сервер nginx и PHP-FPM:

apt-get install nginx

1	apt-get install nginx

apt-get install php5-cli php5-common php5-mysql php5-gd php5-fpm php5-cgi \

1	apt-get install php5-cli php5-common php5-mysql php5-gd php5-fpm php5-cgi \

php5-fpm php-pear php5-mcrypt

1	php5-fpm php-pear php5-mcrypt

Редактируем файл:

/etc/php5/fpm/php.ini

1	/etc/php5/fpm/php.ini

cgi.fix_pathinfo = 0

1	cgi.fix_pathinfo = 0

Редактируем файл:

/etc/php5/fpm/pool.d/www.conf

1	/etc/php5/fpm/pool.d/www.conf

security.limit_extensions = .php .php3 .php4 .php5

1	security.limit_extensions = .php .php3 .php4 .php5

listen = /var/run/php5-fpm.sock

1	listen = /var/run/php5-fpm.sock

listen.owner = www-data
listen.group = www-data
listen.mode = 0660

listen.owner = www-data

listen.group = www-data

listen.mode = 0660

Перезагружаем:

service php5-fpm restart

1	service php5-fpm restart

Для удобства, ставлю некоторые из утилит:

apt-get install mc, htop

1	apt-get install mc, htop

Устанавливаю DNS-сервер для настройки ns-сервера и доменных зон:

apt-get install bind9

1	apt-get install bind9

mc – это удобный файловый менеджер. htop – удобное средство для просмотра загрузки процессоров.

apt-get install whois

1	apt-get install whois

whois – сервис для получения информации о доменах. Еще некоторые команды, которые могут понадобиться при настройке доменов. dig название домена – определение информации о настройках домена . nslookup название домена – просмотр ns-серверов домена. Устанавливаем Apache2 Для сайтов, которым нужен rewrite устанавливаем Apache2: apt-get install apache2

a2enmod ssl
a2enmod rewrite
a2enmod suexec
a2enmod include

a2enmod ssl

a2enmod rewrite

a2enmod suexec

a2enmod include

apt-get install libapache2-mod-php5 apt-get install php5-curl Ставим RPaf

RPaf нужен для определения ip-адреса клиента.

1	RPaf нужен для определения ip-адреса клиента.

apt-get install libapache2-mod-rpaf
a2enmod rpaf

1 2	apt-get install libapache2-mod-rpaf a2enmod rpaf

Устанавливаем MySQL

apt-get install mysql-server mysql-client mysql-common

1	apt-get install mysql-server mysql-client mysql-common

Устанавливаем Memcahed

apt-get install memcached php5-memcached

1	apt-get install memcached php5-memcached

Настройка рабочего места веб-разрабочика Для работы с веб-сервером, удобно поставить такое программное-обеспечение: putty – клиент терминала. filezilla – файловый менеджер, передающий файлы по ssh. Данное программное обеспечение – с открытым исходным кодом, бесплатное и кросс-платформенное. Прекрасно зарекомендовало себя при работе с веб-сервером. Настройка конфигов Nginx

server { 
   listen *:80; 
   server_name НАЗВАНИЕ_ДОМЕНА; 
   access_log /var/log/nginx/access.log;

  # Перенаправление на back-end location / 
  { proxy_pass НАЗВАНИЕ_ДОМЕНА:8080/; 
    proxy_set_header Host $host; 
    proxy_set_header X-Real-IP $remote_addr; 
    proxy_set_header X-Forwarded-For $remote_addr; 
    proxy_connect_timeout 120; proxy_send_timeout 120; 
    proxy_read_timeout 180; 
  }

# Статическиое наполнение отдает сам nginx 
# back-end этим заниматься не должен 
location ~* \.(jpg|jpeg|gif|png|ico|css|bmp|swf|js|html|txt|exe|7z|rar|pdf)$ 
  { 
     root КОРНЕВОЙ_КАТАЛОГ; 
  } 
}

server {

listen *:80;

server_name НАЗВАНИЕ_ДОМЕНА;

access_log /var/log/nginx/access.log;

# Перенаправление на back-end location /

{ proxy_pass НАЗВАНИЕ_ДОМЕНА:8080/;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $remote_addr;

proxy_connect_timeout 120; proxy_send_timeout 120;

proxy_read_timeout 180;

}

# Статическиое наполнение отдает сам nginx

# back-end этим заниматься не должен

location ~* \.(jpg|jpeg|gif|png|ico|css|bmp|swf|js|html|txt|exe|7z|rar|pdf)$

{

root КОРНЕВОЙ_КАТАЛОГ;

}

Другие полезные утилиты на хостинге Просмотр объема трафика в терминале: apt-get install iptraf Чтоб просмотреть трафик, просто наберите в терминале: iptraf Просмотр объема трафика в веб-виде: apt-get install darkstat После установки, изменяем конфиг /etc/darkstat/init.cfg # Turn this to yes when you have configured the options below. START_DARKSTAT=yes […]

Apache
Linux