Поднимать веб-сервер с нуля и оптимизировать его под конкретный набор ПО мне приходится не слишком часто. Тем интереснее узнавать, что ПО такое-то обновилось, проект такой-то отделился и теперь существует совершенно самостоятельно. Но я не о том хотел сказать.

Пара слов о текущем проекте. Сайт «За рулем — Воронеж» в первом приближении, прошу любить и тестировать.

От меня там настройка серверного ПО, адаптация и разгон движка, серверная и клиентская оптимизация. Дизайн сделан на основе шаблона, свободно распространяемого по лицензии Creative Commons. Полагаю, что с первого заработанного миллиона владелец сайта вполне сможет выделить процентов 5 на редизайн. ;-)

Скучные технические подробности

Читать запись полностью »

Вопрос с апгрейдом нашего крошки-сервера, в принципе, решен, но если кто-то все же хочет присоседиться на шустрый и непадучий хостинг, вручную оптимизированный для WordPress, — обращайтесь. Один-два соседа(соседки) не помешают.

Неспешно ищутся трое «соседей» на сервер, оптимизированный для WordPress!!!

Мы с коллегами планируем слегка проапгрейдить виртуальный выделенный сервер, где держим наши блоги на WordPress. При этом увеличится мощность процессора и дисковое пространство.

Мы тут между собой посоветовались, и я решил: нам не помешает еще двое-трое компаньонов, готовых платить в месяц рублей по 100 (бешеные деньги!) за свой сайт (причем, сайт очень шустрый и довольно устойчивый). Короче, и вам польза, и нам меньше платить за хостинг.

Плюсы:

• сервер скрупулезно оптимизирован под WordPress и html;
• среднетиповая страница блога генерируется за 0,06-0,3 секунды;
• скорость работы новой версии 2.8.4 при небольшой доработке движка — на том же уровне;
• быстрый канал (по крайней мере, при доступе из России);
• простейший антиDDoS, реализованный на уровне веб-сервера;
• серверное ПО сохраняет устойчивость даже под заметными нагрузками и переполненной памяти (хрен знает, почему, но факт);
• стойкость к нагрузкам при включенном WP-SuperCache исчисляется десятками тысяч просмотров страниц в сутки;
• прежнюю, менее стойкую конфигурацию тестировали на 6000 просмотров страниц (не считая ботов) — не было ни малейших тормозов ни на одном сайте;
• до гигабайта под картинки;
• доступ по ftp и ssh;
• доступ к базе через phpMyAdmin;
• до пяти сотен доменных имен;
• автоматический бэкап блогов серверным роботом-затейником (дает больше возможностей, чем куцые плагины бэкапа для WordPress);
• бесплатная помощь в тюнинге WordPress и клиентской оптимизации;
• за отдельное «спасибо» возможно кэширование объектов и страниц на RAM-диске для невъебенной производительности;
• создам бесплатный тестовый аккаунт, дам «пощупать».

Минусы тоже есть, их немного, буквально пара (подробнее — при личном обращении).

Кстати, на нашем сервере хостится сам великий и ужасный Semiurg, входящий в ТОП-400 русскоязычных блогов по версии «Яндекса».

В общем, присоединяйтесь, мы не кусаемся.

Последние пару дней на всех интернет-углах много кричат о массовых взломах WordPress. Некоторые даже впадают в истерику, услышав об опасности. Я даже встречал таких, которые решили бросить WordPress и перейти на другой движок. Вся эта история уже успела обрасти слухами и рецептами типа «намазать йодом, обернуть бинтом и избегать всяких половых контактов».

Что тут можно сказать? Истерика она и в Африке истерика. Мы попытались собрать наиболее важные вопросы в связи с ситуацией и спокойно ответить на них.

Вордпрессеры, пожалуйста, поделитесь ссылкой на этот пост со всеми, кому это может быть полезно.

Замечания по существу и поправки принимаются.

Вопрос: Везде говорят об об опасной уязвимости WordPress. Каких версий это касается?

Ответ: Это каcается всех версий по 2.8.3 включительно в связи с одной активно обсуждаемой уязвимостью и версий от 2.2.3 до 2.8.2 в связи со второй (более опасной).

Вопрос: Ужас какой! Так их две?!!

Ответ: На самом деле их намного больше, да и эти две «знающие люди» используют никак не меньше года. Никто в результате пока не умер, так что паниковать не следует. Наоборот можно даже порадоваться: раз WordPress массово «ломают», значит, он очень популярен и широко распространен.

Первая уязвимость, о которой сейчас шумят, позволяет, обратившись с определенным параметром к скрипту wp-login.php, сбросить административный пароль. Ничего особо страшного не происходит, поскольку новый пароль высылается не злоумышленнику, а на почтовый ящик администратора. Хотя ничего приятного в этом тоже нет.

Вторая «дыра» опаснее. Злоумышленник (через сетевого червя) регистрируется на сайте как обычный пользователь, затем, эксплуатируя уязвимость, повышает свои полномочия до административных и начинает безобразничать. Все это делается не просто так: злоумышленники получают доступ к старым записям блога и публикуют в них вредоносный контент, как правило, скрытый.

Вопрос: Как узнать, взломан мой блог или нет?

Читать запись полностью »

Мне на WordPress для полного счастья не хватало, чтобы на «морде» сайта были наиболее часто используемые админ-ссылки. Но не только те ссылки, о которых позаботились создатели соответствующего виджета, но вообще любые. Например, линки на создание нового поста, или на просмотр комментариев, или на очистку кэша плагина WP Super Cache.

Разумеется, эти ссылки должны быть видны только администратору и не видны пользователям и посетителям.

На самом деле реализовать это можно тупым, как валенок, способом.

Читать далее...

Я уже писал, как нас, вордпрессеров, достают спамерские комментарии.

Конечно, никто не мешает поставить капчу, но я, поскольку и сам их терпеть не могу, обхожусь фильтром Aksimet. Хорошая штука, прекрасно выполняет свои функции но не освобождает от необходимости периодически просматривать отловленные комментарии (мало ли попал легитимный комментарий).

Но на днях обратил внимание, что очень и очень многие комментарии, несмотря на разные реквизиты отправителей (электронный адрес, имя, адрес сайта), приходят с одних и тех же IP.  Что странно, ведь я бы на месте спамеров пользовался прокси или хотя бы динамическими адресами… Но тем не менее.

В общем, составил списочек и занес следующие строчки непосредственно в конфигурационный файл nginx.

deny  81.170.208.83;
deny  195.88.33.144;
deny  89.149.244.89;
deny  212.95.60.227;
deny  89.175.81.38;
deny  203.147.0.44;
deny  114.127.246.36;

Те, у кого нет доступа к серверным конфигурационным файлам, могут вписать то же самое в файл .htaccess, находящийся в корне вашего сайта, только там другой формат:

deny from  81.170.208.83
deny from  195.88.33.144
и так далее.

Помогает ли? Не знаю, но уже  несколько дней нет ни единого спам-комментария. То есть, я уверен, они будут, но сейчас наблюдаем затишье.

Оригинал этой записи опубликован на vladds.ru.

Все побежали — и я побежал.

(«Джентельмены удачи»)

Поставил на тестовом сайте обновленный WordPress 2.8.2. Много о нем читал, так что ничего нового формально не узнал, однако лучше один раз увидеть.

1. При установке и апгрейде старой базы тестового сайта выкушал всю имеющуюся на сервере память. То есть, ее свободной было немного (меньше 100 кило), но  шутка в том, что ранее на нее никто не покушался, даже при очень сильных нагрузках и появлении на сервере новых сайтов.

К счастью, нынешняя конфигурация сервера дает возможность полноценно работать всем сайтам и серверному софту даже при нулевом объеме свободной памяти (хотя я не проверял, долго ли). Радикальное решение отказаться от «Апача» в пользу nginx было правильным.

2. Раньше я уже пробовал установить/настроить 2.8.2, но ограничения в 25 мегабайт на скрипт явно не хватало для нормальной работы. По слухам, 32-х некоторым тоже не хватало. Сейчас у меня стоит 35.

3. Админка стала чуть удобнее, хотя внешний вид остался почти неизменным. Страница настройки виджетов более продуманная, встроенный редактор тем, кажется, перестал глючить в Chrome. Насчет страницы плагинов я ничего хорошего, правда, пока не могу сказать — прежняя мне нравилась больше.

Поговаривают, что админка работает в целом шустрее, но я особой разницы не вижу: во-первых, сервер у меня оптимизирован под WordPress, а во-вторых, я использую Google Gears, который хранит локально около 250-ти файлов, необходимых для работы админки. Upd. В новой версии —  166.

Upd2. Посравнивал скорость, загружая разные страницы админки. На моем сервере старая версия с большой базой и Gears визуально работает быстрее новой с пустой базой и Gears.

В общем, я бы не советовал апгрейдиться тем, кто доволен версией 2.7.1, а главное — категорически не советовал бы делать это тем, кто пользуется виртуальным хостингом: за новый уровень нагрузок вас провайдер по головке не погладит.

Хотя юзабилити, по идее, стоит того, чтобы ради него отказаться от плохого хостинга. Не будем забывать и о том, что обнаруженные в старых версиях уязвимости никто закрывать уже не будет.

http://vladds.ru/2009/08/09/wordpress-282-gde-ty-bylaya-legkost/.

Ради эксперимента обновил WordPress до версии 2.8. По традиции, в кактусовой версии.

Вкратце: никакой необходимости в обновлении нет. Новая хренотень с виджетами, насколько я знаю, должна поддерживаться и на уровне тем. Но мои темы этого не поддерживают и менять я их не собираюсь (да, собственно, я и виджеты недолюбливаю: без них легче во всех смыслах).

Утверждают, что админка стала легче работать — это очень даже возможно. Но мне показалось, что после апгрейда на сервере сразу же осталось меньше свободной памяти и к прежнему уровню за прошедшие дни оно так и не вернулось.  Хотя утверждать, что дело именно в новой версии я не буду, но и обновлять остальные сайты тоже не буду. Тем более, что у меня сервер неплохо «заточен» под WordPress и админки и без того просто летают, а потому разницы между «до» и «после» я не заметил.

Между тем, случайно узнал, что с момента переезда на новый сервер перестал работать отложенный постинг (что в 2.8, что в более ранних версиях). Выглядит это так: штуковина, в принципе, работает, ведет обратный отсчет… А в нужное время ни хрена не публикует и пишет в соответствующем поле в админке «Ну не шмогла я, не шмогла» (Missed Schedule).

Сначала поморщился: ну вот, опять копаться в конфигурации сервера, а там все так неплохо вроде бы… А потом почитал, что пишут в Интернетах, и оказалось, что это известный баг, причем, если у вас два сайта на одной площадке, то на одном сайте все может работать  нормально, а на другом может глючить.  Как выяснилось, публикация отложенных записей в WordPress сделана немного через жопу (подробности, по-английски). К счастью, есть плагин для обхода этого маразма: 5upport Wordpress Plugin.

LJ-Crossposter, который я использовал раньше, тоже был связан с тем же глючным куском кода, что препятствовало его нормальной работе с вышеуказанным плагином. Так что ему на замену был поставлен JournalPress, прошу любить и жаловать.

Этот пост был опубликован с использованием отложенного постинга.

UPD. После обновления на «окончательный» вариант кактусового 2.8 пришлось откатиться на 2.7.1. Может быть, что-то где-то недообновилось или недокачалось, однако даже админка не работала и отображалась только частично. Нет времени и желания разбираться, но, возможно, следовало залезть в настройки сервера и увеличить лимит памяти для скриптов — а оно мне надо?

UPD2. Ага. Вот тут в комментариях тоже пишут, что 2.8 памяти стал кушать больше. Зато, якобы, быстрее. Извините: я лучше серверную и клиентскую часть оптимизирую.  Вернее, уже.

UPD3. Пишут, что скоро выйдет 2.8.1, менее прожорливый до памяти.

http://vladds.ru/2009/06/25/wordpress-missed-schedule-i-dr/.

Тестируем плагин кросспостинга в «Живой журнал».

Вероятность корректной работы плагина, по оценкам независимых аналитиков, составляет 99,9 процента.

Оригинал этой записи опубликован в блоге Владислава Михеева.