分類彙整:Wordpress
為什麼你的網站該使用Cloudflare?
如果你的網站有專門的team來負責維運, 那這篇文章也許對你幫助不大, 但是台灣多數網站往往都沒有專職的人在管理, 更別提對於資安漏洞快速因應了. 最近有個鮮明的例子, 前幾天出現了一個針對Apache 1.3/2.0/2.2的0day expliots, 可以透過簡單的方式去DoS你的機器, 癱瘓你的網頁服務, 但無奈多數的網站管理者可能沒有辦法及時作出處理, 甚至根本沒辦法第一時間得知這個問題. 於是使用Cloudflare的優勢就出現了, Cloudflare的ops team第一時間就針對漏洞做出回應, 由於所有的request都會透過Cloudflare再到你的機器, 所以Cloudflare在第一層就幫你處理掉這個問題, 你的網站無需作出任何的處理 (注), 就得到了保護, 是個省時省力的方法. 結論: 有空試試看Cloudflare吧! 注: 這不表示妳在得知消息後不需要更新你的apache, Cloudflare只是先幫你處理掉惡意request, 漏洞還是得靠你自己上patch.
各大WordPress Plugin常用的縮圖套件出現0day
很多套件常使用的TimThumb縮圖套件被發現0day, 可以讓惡意攻擊者植入可執行的PHP code, 影響重大, 請儘速更新到最新的版本. 以下提供快速判斷你的WordPress是否有使用到這個套件的方法: ssh進去你的伺服器 變更目錄到你的WordPress根目錄 (例如: /var/www/wp ) 使用下列指令: find . -name "*.php" -exec grep -H ‘TimThumb script created by Ben’ {} \; 將所有找到的php檔案都更換成最新的版本即可. 再次呼籲, 有用WordPress的朋友們記得檢查一下~!
使用Cloudflare的迷思
之前寫了一篇關於cloudflare的文章, 收到了一些朋網友的信件詢問, 很多人都誤以為Cloudflare是網站的萬靈丹, 不但可以加速網站的loading速度, 更可以大幅節省流量. 這些觀點其實都沒有太大的錯誤, 但是卻很容易忽略到隱藏在背後的危機.
使用大陸網站提供的WordPress套件請注意
這篇的宗旨不是在挑論套件的安全性, 這邊要提的是效率的問題, 這幾天在幫忙協助tune某個網站的效能, 本來都tune的差不多了, 卻發現在enable某個大陸分析文章關聯性的plugin後, 整個網站的loading驟增, 後來去trace code後, 發現套件本身其實撰寫上沒有任何問題, 效能的瓶頸在網路連線的速度. 該plugin在每個頁面被開啓的時候, 會嘗試連回大陸的伺服器去取得相關資訊, 由於網站host在美國, 對大陸的latency本來就比較高, 加上如果該廠商的網路品質似乎不太穩定, 就陷入了可怕的循環: user開啓網頁 -> plugin連回大陸 -> 下一個的request又來, 因為前個request還沒解決, 只好fork新的process來處理 -> 重複回第一步 解決方法就是關掉該plugin, 網站的loading也就回覆正常了, 因此有了這篇文章, 紀錄一下這個經驗
正式啓用CloudFlare + 簡單介紹
去年底出現了一個有趣的網路應用業者CloudFlare, 幾個月內採用的網站劇增, 其實這個網站的概念跟多年前Giga推出的WebAMP相同, 都是提供reverse proxy提供網站加速服務, 但CloudFlare更進一步的為網站擁有者解決了部屬jpg/js/css這類static file到CDN上的問題, 透過部屬在全球各大洲的cache server (詳細列表在此) , 提供高效率的服務. 我從網路上面找到兩張使用前以及使用後的示意圖, 使用前的狀況是:
Picasa2WordPress v0.1
[English] *中文說明在本頁下方 Picasa is a handy and cross-platform photo management program developed by Google. Identically, WordPress is a well-known open-source blog system. Both of them are used by many users in the world. If there is a method that could make … 繼續閱讀
