]]>eTXT]]>


]]>]]>

Как защитить сервер от нагрузки

Как защитить сервер и снизить нагрузку на CPU.

Плагины, защищающие админку вордпресс сайта и снижающие нагрузку на сервер.

 

Мы уже выделили в отдельную категорию плагины для защиты сайтов на вордпресс. Почитайте описания плагинов для защиты от взломов и вирусов.

Плюс  у нас идет регулярный бекап базы данных. Благодаря ему, мы в особо сложных случаях сможем удалить полностью файлы зараженного сайта. Затем быстро залить свежий дистрибутив и рабочую базу данных.

Но есть еще одна важная проблема – это нагрузка на CPU сервера хостинга при массированных попытках взлома административной части. Про показатель CPU и снижение нагрузки с помощью скрипта maxcache кэш для сайтов на wordpress я писала с подробной статистикой и скринами.  

При достижении его максимального значения сервер ложится – что означает и сайты лежат. Если у вас на сервере несколько сайтов, а взламывают один из них, то страдают все. Они начинают жутко тормозить и могут стать недоступными даже на долгий период.

Нагрузка на CPU сервера возникает и при попытках взлома. И кеш здесь уже не поможет. Для этого есть специальные плагины. Т.к. любая DDOS атака (а это и перебор паролей) грузит сервер, то следует не допускать такие атаки вообще.

Как происходит подбор паролей? Одновременно с разных айпи идет попытка подобрать логин, пароль к админке.  Представляете, за секунду бесчисленное множество попыток входа? Что будет…  Или подберут, либо сервер не выдержит. Нерабочий сайт – это еще полбеды. Если взломщики добьются своего, то ваш сайт тоже станет рассадником – он станет участником взлома других сайтов. А что с ним сделают поисковики – страшно подумать – бан, черный список и доказывай, что было за недоразумение.

Для того, чтобы понять, что вас атакуют посмотрите в логах запрос «POST» - это и есть посыл ударов. Много «POST»в одно время  - будьте осторожны, ставьте защиту.

 

Обзор плагинов wordpress, которые защищают от подбора паролей.

Плагин Hack me if you can

Скачать на wordpress.org - ]]>http://wordpress.org/plugins/hack-me-if-you-can/]]>

Язык русский и английский. Настройки простейшие.

Смысл идеи – взломщик попадет на страницу авторизации wp-admin или wp-login.php, но там не будет формы. А будет любая ваша запись для него, типа «Ну-ну! Взломай меня!».

А ссылку в вашу админ часть вы придумаете сами. И будет она известна только вам!

Установка очень простая. Залил, активировал, написал послание или оставил пустым. Тогда будет переадресация на 404 или главную страницы. Но здесь стоит подумать – слишком много заходов на 404…

 

Плагин WP Better Security

Скачать ]]>http://wordpress.org/plugins/better-wp-security/]]>

Настройка: придумываете свой адрес для админки. Кроме этого, у плагина есть и другие возможности.

Он проведет анализ степени вашей защищенности.

У него есть мониторинг измененных файлов. Это удобно, вы будет первым узнавать, если было вторжение.

Но WP Better Security достаточно тяжелый и потребляет много ресурсов.

 

 

Плагин Simple Login Lockdown я уже упоминала.

Здесь можно настроить количество попыток ввода пароля. По умолчанию это 5 и после этого IP адрес хулигана блокируется. Также время блокировки IP адреса.

Но этот плагин не решит проблему повышения нагрузки на сервер.

 

Плагин Limit Login Attempts

Скачать ]]>http://wordpress.org/plugins/limit-login-attempts/]]>

Он ограничит число попыток. Но, как понимаете, запросы идут с разных ip одновременно, поэтому атака состоится.

 

Защита от подбора паролей с помощью файла .htaccess

 

Для вордпресс вставьте в начале файла:

< files wp-login.php >

 order deny,allow

 deny from all

 allow from мой_айпи

 < /files >

Где вместо мой_айпи вставьте свой статичный IP. Если он динамичный, то нужно будет сначала подключаться к интернету, затем узнавать свой IP, затем переписывать его в  .htaccess. Иначе сами не попадете на сайт.

Для джумлы:

< files index.php >

 order deny,allow

 deny from all

 allow from мой_айпи

 < /files >

 

Защита от перебора паролей для любых сайтов при помощи HTTP-авторизации

 

Этот способ является наиболее эффективным и надежным в вопросе снижения нагрузки на CPU сервера хостинга. Мне хостер сразу прислал подробную инструкцию, как это делается.

Приведу здесь эти рекомендации, не у всех же есть такой отзывчивый ]]>хостер]]>!

1. Создать файл .htpasswd в корне сайта.

2. Идем на сайт ]]>http://www.htaccesstools.com/htpasswd-generator/]]>

Где будет сгенерировано содержимое файла .htpasswd

3. Вводим логин и пароль любые. Это не данные для входа на ваш сайт.

Генерируем для файла htpasswd

4. Жмем генерировать и вставляем все в наш пустой файл .htpasswd. Пароль там будет в зашифрованном виде.

5. Затем для WordPress в файл .htaccess в корне сайта добавить следующие строки:

<Files wp-login.php>

AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

</Files>

где "полный_путь_до_корня_сайта" - это абсолютный путь от корня файловой системы. Его можете узнать у хостера или проследить в своей панели самостоятельно.

6. Теперь при входе на сайт вам будет предлагаться окошко авторизации, куда нужно ввести ваши придуманные логин, пароль. И только после удачного входа в этом окошке, вы попадете на привычную страницу входа админки вордпресс и там введете свои данные для wp.

Кстати, так запаролировать можно и отдельные директории сайта.

 

А вот и результат не заставил долго ждать! На скрине виден резкий скачок CPU вниз после установки двойной аутентификации.

Нагрузка на cpu снизилась

Что доказывает на практическом примере эффективность http авторизации.

Навигатор по интернету

Узнать простую, но эффективную систему для наращивания трафика. Плюс эта книга с правами перепродажи. 

Узнать подробнее!

Создание сайта

Сделать веб-сайт по приемлемым ценамЗаказать создание сайта под ключ. Цена: недорого.





Если вам понравилась статья, вы можете ]]>подписаться на RSS]]> или E-mail рассылку. Для получения обновлений по электронной почте, введите ваш e-mail адрес в эту форму:

Введите Ваш email:

Подпишись с ]]>FeedBurner]]>

Другие сервисы почтовых рассылок