Bloggen her er skiftet fra Gigahost til Unoeuro

Jeg har skiftet server fra gigahost til unoeuro på bloggen her i dag.

Grunden? Unoeuro er gratis et år, pga deres 12års fødselsdag, så jeg tænkte at jeg ligeså godt kunne.

Jeg bruger Tools.pingdom til at måle hastigheden, til sverige. Og siden er sat op med WP Fastest cache samt Cloudflare.

Er Unoeuro hurtigere eller langsommere ?

Se selv, jeg har testet 3 sider før og efter. Det skal også siges at der nogen gange er meget stor forskel på forskellige servere inden for en host, det kan være jeg har være heldig eller uheldig.

Forsiden:

På gigahost:

bagnegaard gigahost

På unoeuro:
bagnegaard unoeuro

Forskellen er meget lille, og de besøgende mærker det i hvert fald ikke. Jeg ved ikke hvorfor Requests og page size er gået op og ned, det er sikkert fordi Unoeuro og gigahost understøtter forskellige cache ting, som er blevet aktiveret fordi jeg i forvejen havde plugins der kunne klare funktionerne.

Alle projekter siden:

På gigahost:

bagnegaard projecter gigahost

På Unoeuro:

bagnegaard projekter unoeuro

Igen er forskellen meget meget lille. Og loading tids forskellen er så lille at du ikke kan regne med at det er rigtigt, det kan ligeså godt være midlertidigt at Pingdom’s server var en smule langsommere.

Hurtig kode indlægget:

En af mine langsomeste sider er også den længste, sjovt nok 🙂

På gigahost:

bagnegaard kode gigahost

På unoeuro:

bagnegaard kode unoeuro

Forskellen er igen meget lille.

Konklusion:

Lad vær med at skifte fra et shared hosting sted til et andet, i håbet om at din side bliver meget hurtigere. Det hele handler om hurtig kode eller god cache.

Forskellen på disse 2 er meget lille, du skal hellere vælge host efter hvem der er gratis et år, eller hvem der har bedst support 🙂 Ellers så vælg en vildt hurtig host.

I følge unoeuro er min test forkert

De mener den kun tester min HTML kode og cloudflare, det er også rigtigt, jeg mener at testen er lavet så den viser hvad kunden ser, og at det ikke betyder meget for mig om den ene eller anden host er hurtigere, det har mere at gøre med hvordan brugeren oplever hastigheden.

Så jeg har lavet en test mere.

TTFB test

Denne gang har jeg lagt Gigahost siden på test.bagnegaard.dk og unoeuro siden på bagnegaard.dk.

TTFB betyder time to fist byte, denne hastighed er hvor langt tid serveren er om at sende den første del af siden, en byte, som er meget lidt. Testen viser, hvor meget tid der går med at slå serveren op, hvor meget tid serveren bruger på at sende dig det rigtige sted hen, hvor meget tid serveren bruger på at lave den side du skal have, også til sidst en lille del download.

Jeg bruger en service til det jeg ikke kender, den hedder bytecheck.com. Serveren de bruger er nok en Digital Ocean server som står i USA, det er i hvert fald hvad jeg har slået op.

Først Gigahost:

ttfb unoeuro

Så Unoeuro:

ttfb gigahost

Resultaterne skifter imellem 0,40-0,25 for begge, altså er der praktisk talt ingen forskel.

For at få servicen bytecheck.com til at virke hos unoeuro skal du sætte dette ind i din .htaccess fil, hvis du ikke har en .htaccess fil så opret en, alle FTP programmer kan oprette filer også skal den bare navn gives: .htaccess (husk det første .):

<IfModule security_module>
SecFilterEngine Off
</IfModule>

9 gode råd til sikkerhed på wordpress

Sikkerhed på wordpress sider er noget besværligt noget, ærligtalt, wordpress er gigantisk så alt hack er rettet imod wordpress, wordpress folkene gør en masse for at holde hackerne ude, men da wordpress er open source og har 3. parts plugins er der meget lidt de kan gøre.

Her er 9 gode råd som gør dig 99,999% sikker, også finder hackeren en anden side at lege med.

Der er nogen forskellige ting man kan gøre, overordnet, du kan gøre det sværere for wordpress hackeren at bryde ind, du kan gøre det sværere at finde et modul at hacke og du kan gøre det sværere når først hackeren er inde. Jeg viser alle tingene her.

Kodeord til wordpress

Det er vigtigt at have et godt kodeord, det kan ikke siges mere nøjagtigt. 99% af alle wordpress hacks sker fordi kodeordet er dårligt. Hvis du kan huske dit kodeord, så skal det laves om, hvis dit kodeord er under 15 tegn skal det laves om, hvis dit kodeord indenholde et navn, adresse, telefonnummer noget andet personligt skal det laves om.

  • Kodeord er noget din browser husker for dig
  • De er mindst 15 tegn
  • De har ikke nogen sammenhængene tegn, som giver mening
  • De har ikke årstal eller nogen ting du kan huske.
  • Et godt kodeord? fx: “[email protected](2U”

Opdater wordpress og alle plugins

Det er vigtigt fordi der engang imellem er nogen store fejl i WordPress eller i plugins. Dette er mindre vigtigt end mange gør det til, generelt er det mindre vigtigt at opdatere end mange fortæller, med mindre du har et særligt plugin som lige har et hul, fx revslider til wordpress.

Men det er let at opdatere en wordpress side, så hvorfor ikke gøre det.

Admin bruger

Engang kom alle wordpress sider med en admin bruger, det kan vi ligeså godt udnytte.

Pga. admin brugeren så går de fleste wordpress hackere efter admin brugeren.
KaldenavnHvis du har en admin bruger og bruger den, så ændre navnet på den til noget som man ikke ville gætte hvis man læser din side, efter det skal du ændre “Kaldenavn” og sætte “Vis navn offentligt som” til at være dit kaldenavn. På den måde ses din bruger-navn ikke offentligt. Dette skal du også hvis din bruger og dit kaldenavn er det samme.

admin brugerSå opretter du en ny bruger ved navn admin, giv den en fiktiv email adresse, sæt “Rolle” til at være “Abonnent” og giv brugeren en kodeord på mere end 200 tilfældige tegn.

På denne måde giver du wordpress hackeren rigtigt meget at lave, og hvis han(m/k) kommer ind, så kan sker der ikke noget da brugeren kun har rettigheder til at læse indlæg.

Kode tekst editor i backenden

wp-configI dit administrator panel kan du rette kode for dit tema og for dine plugins.
Det er under “editor”, men det behøver du ikke, det skal du gøre via ftp i fremtiden.
99% af alle wordpress hackere bruger dette til at ligge din side ned, så lad os deaktiver denne funktion. Du skal ind på din FTP og i hoved mappen ligger en fil der hedder: “wp-config.php” det er her dine database oplysninger ligger.
Her tilføjer du linjen i koden:

define( 'DISALLOW_FILE_EDIT', true );

Den skal bare stå som mit. Se billedet.

Bloker login forsøg

Når en hacker forsøger at hacke dig kan det være hvor han gætter din kode eller hvor han sætter en computer til at gætte din kode – i begge tilfælde er det irriterende for ham kun at måtte gætte 3 gange før han bliver blokeret i 30min eller før han skal skrive en captcha kode.

Det er der heldigvis plugins til, og der er også gratis plugins til det. Jeg bruger: WP Limit Login Attempts.

Backup

Backup er vigtigt, for mig er backup af teksten vigtigst, derfor laver jeg stort set kun backup af databasen, men der er mange som gerne vil have en fuldstændig backup af alle filer som er let at ligge op igen, som om intet var sket.

Backup skal testes, så når det er sat op, så skal du se om backupen virker. Det gør den som regel ikke hvis du har rigtigt brug for den 😉

Jeg ved godt alle de store hosting selskaber skriver de har backup, men jeg har mange gange været udsat for at deres backup ikke virker når det kommer til stykket.
Også er 2x backup er bedre end 1x backup.

Backup skal være eksternt, altså det skal ligge et andet sted end din side. Backup skal være automatisk, fordi der er ingen af os som husker det altid, også er computere så evigt gode til at gøre ting automatisk.

Et par muligheder.

Jeg bruger: WP-DB-Backup til at tage backup af min database. Den kan gøre det automatisk også kan den sende databasen til en email. Husk at slå komprimering til, også skal du også være opmærksom på at en mail max kan fylde 20mb(ca) så din db må ikke fylde mere end det.

Jeg bruger WordPress Backup to Dropbox til at tage backup af hele siden, den gør det automatisk og ugentligt. Den kan også tage backup af din database hvis den fylder mere end de ca. 20MB.

Firewall

En wordpress firewall beskytter imod wordpress hackere som fx leder efter et plugin du måske har installeret også blokere firewall’en hackeren efter han forsøger at få fat i et plugin med et hul i.

fx et meget populært hul er i revslider, her ville hackeren forsøge at skrive kode til: dinside.dk/plugins/revslider/temp/update_extract/… dette gør dine brugere ikke så firewall’en ville fange det og blokere den IP hackeren kommer frem, i 30min.

Jeg bruger WordPress Firewall 2 – men du kender måske et bedre?

Sørg for at slå emails fra, din side bliver tit udsat for denne type angreb og det er irriterende at få mails her gang. WordPress’s “live tilpas tema” funktioner bliver også blokeret af dette plugin.

Cloudflare

Jeg elsker Cloudflare, og det hjælper helt sikkert også. Det er ikke meget, i de test jeg har set beskytter Cloudflare stort set ikke imod normalt angreb som fx mysql injection – men hvis du betaler for det får du en app-firewall, her er der et preset til wordpress sider, det må da hjælpe. Du kan også med deres gratis verison sætte den til at stoppe alle kinesere, russere og ukrainere fra at se din side – eller i hvert fald lade dem skrive en captcha kode før de kan se den.

DDOS hacking?

Der er ikke så meget at gøre ved ddos angreb men se mere her.

Til sidst

Dette gør ikke din side 100% sikker, men med disse råd kan du uden at betale 1 kr til konsulenter gøre din side 99,999% sikker – hvis en hacker stadig vil have fat i dig efter dette, så er han (m/k) meget ihærdig og det er de tit ikke. 

HTTP/2 hurtigere side load igen igen

Hastighed er noget vi alle kan lide! Og der sker jo hele tiden noget.

Fx er HTTP/2 noget vi alle burde se på.

Vi bruger normalt HTTP 1.1 og det er fint, det betyder at når en besøgende går ind på din side så henter han siden fra dig, alt os sige at siden fylder 1MB og er på 50 filer/billeder/scrips osv.

Disse 50 filer bliver downloadet 8 af gangen, fordi det er hvad HTTP 1.1 kan, 8 af gangen ikke mere og ikke mindre, det kan hackes ligesom alt andet, fx med CDN.
HTTP/2 har ikke denne begrænsning, her henter brugeren bare siden så hurtigt det kan gå. Der er sikkert en begrænsning men jeg har ikke fundet noget konkret på det.

HTTP/2 er det nye, SPDY og html/1.1 er det gamle, jeg har ingen idé om hvad forskellen på SPDY og html/1.1 er, og har heller ikke fundet nogen troværdige der skriver om det.

Hvor meget hurtigere er det så?

Ifølge siden:  loadimpact.com så er Mackabler.dk ca. 30% hurtigere end HTTP 1.1, du kan selv teste din side.

loadimpact

Des flere filer du har og des mere din side fylder des hurtigere gør HTTP/2 din side.

Hvordan får du HTTP/2 ?

Jeg er ikke sikker, jeg ved heller ikke hvordan man tjekker om man har eller ej, på pingdom tools kan du tydeligt se på http/1.1 sider at de loader 8 filer af gangen, så det er det eneste jeg har at gå efter.

Jeg fik det med i Cloudflare, verdens bedste gratis DNS service. Det er med helt gratis, du skal ikke engang slå det til, og hvis dine brugere ikke har en browser som kan http2 så slår den selv tilbage til http 1.1 eller SPDY.

Der er en anden lille hemmelighed

Http2 afhænger rigtigt meget af Google, Apple og Microsoft fordi de laver dine browsere, så selv om Http/2 burde virke på alle browsere og alle sider så gør det det ikke.
HTTP/2 kræver SSL, ikke fordi det er bygget ind i HTTP/2, men bare fordi ingen af browser-folkene, Google Microsoft og Apple, har lavet det til at virke uden SSL.

Så for at få Http/2 skal du have Cloudflare og SSL, https://ditsite.dk, tilfældigvis er SSL også bygget ind i Cloudflare 🙂

Lidt ekstra info

Jeg ved meget lidt om dette, så spørg din Sysadmin eller webmand, jeg ved heller ikke om det er serveren som skal understøtte det, fx FastCGI, apache eller nginx, om det er PHP der understøtter det,  fx PHP5.6, PHP7, selv om det ikke giver mening, eller om det er DNS som skal understøtte det, selvom det heller ikke giver mening.

Jeg har tidligere skrevet om CDN, det betyder at din side bliver hentet flere steder fra samtidig, med dette HTTP2 noget, er det mere sjældent man behøver CDN.

Sådan forholder du dig i et DDOS angreb

Du kan læse om hvad et DDOS angreb er her: Wiki DDOS

744px-Stachledraht_DDos_Attack.svgLige hurtigt er et DDOS angreb at din server bliver besøgt flere gange end den kan håndtere, det betyder at en eller flere dele i netværk/server/kabler bliver lukket ned så din side ikke virker.
Måden man forsvare sig imod et DDOS er at man filtre de besøgende og filtre dem fra som ikke er rigtige, men dette kræver stadig at netværk/server/kablerne er store nok til at håndtere trafikken, også er vi tilbage til det første problem. Derfor er det stort set umuligt at forsvare sig imod et DDOS, med mindre det er meget småt.

Man kan ikke rigtigt forsvare sig imod et DDOS, med mindre man har planlagt rigtigt og bruger mange tusinder kr på hosting.

Vi blev i sidste weekend udsat for et DDOS, det var stort, så stort at hele hostens server lukkede ned og alle sider som var på samme server var lukket samtidig.
Man kan ikke rigtigt måle DDOS størrelser fordi man kun kan måle op til maks for ens servere, også holder den op med at måle, vores første angreb var på 150 000 forbindelser i sekundet og det andet var på flere milioner. Anden gang lå vi på en server med bedre beskyttelse.

Her er en liste over hvad man skal gøre hvis man bliver udsat for et DDOS:

  1. Forhold dig roligt
  2. LAD VÆR MED AT BETALE!
  3. LAD VÆR MED AT SVARE DEM!
  4. Lad vær med at fortælle din host at du er under angreb.
  5. Brug Cloudflare

1. Det koster penge at være ned, og det er noget man må tage med, men der er desværre ikke andre muligheder.

2. Hvis du betaler, kommer du til at betale for evigt, det er stort set gratis for hackerne at lave et DDOS og hvis du har bevist du har råd, så har du også råd om en uge eller en måned.

3. Jeg svarede, og jeg tror det havde været mindre sjovt for dem, hvis jeg havde holdt min mund.

4. Det her er vigtigt, fordi det var den fejl jeg lavede, hvis du fortæller du er under angreb så bliver du højest sandsynligt smidt ud, også står du og skal skifte server samtidig med at du skal klare alt det andet.
Webhosten skal nok finde ud af det selv.

5. Cloudflare hjalp ikke os, men det hjælper imod 80% af alle angreb. Opsætningen er super enkel, bare sørg for at du ikke udgiver dine ip adresser der inde og at alt køre igennem Cloudflare. Du kan se en Opsætningsguide til Cloudflare her, du får også Gratis SSL med Cloudflare.

Her er min historie med DDOS.

  • Lørdag morgen gik siden ned, kort for inden havde vi modtaget emails fra en russer som fortalte os at vi var under DDOS angreb, Cloudflare ville ikke hjælpe og vi skulle betale 15 BTC (25.000kr) for at det stoppede.
  • Jeg svarede: at vi ingen penge havde.
  • Jeg aktiveret cloudflare
  • Jeg fik en mail om at Cloudflare ikke ville hjælpe, det var også rigtigt.
  • jeg skrev til vores webhost, han havde ingen idé, han fortalte mig at han først kunne hjælpe mandag, da den PC han skulle bruge var på arbejdet.
  • DDOS’et hold et pause på 15min lørdag, her omdirigeret de trafikken så den ramte hosten direkte, så alle hostens websider gik ned.
  • Så tog webhosten sig samme og arbejdede på en løsning hele natten.
  • Webhosten foreslog vi kom over på en ny server søndag, men først mandag, denne server skulle være DDOS sikret, igennem en af danmarks største hosts.
  • Søndag aften stoppede DDOS’et, noget videre.
  • Mandag kom vi over på den nye host, de blev lagt ned imens vi uploadede siden til den nye server. Dette fik hosten til at tro at vores email var hacket, og det var grunden til at den nye ip blev lagt ned før vi var online. Jeg tvivler, da emailen indenholder FTP, mysql oplysninger, paypal login, epay login, sikkert også netbank login osv, og dette kan være meget mere lukrativt end DDOS-ransom note.
  • Vi var sammenlagt nede i 10min på den nye server, vi flyttede tilbage til vores trofaste, men lidt langsomme, Gigahost løsning som vi bruger i dag. Den koster under en 10 del men er også 1/2 så hurtig.
  • Og vi har ikke været nede siden.
  • Vi er ikke velkommen hos den host vi ellers stadig betaler for.

 

Vi fik et tilbud efter 24 timers nede tid. DDOS manden gav mig 50% rabat, og et tilbud om at sikre vores server imod DDOS for kun $50/md 🙂 Han begrundede rabatten med at kan godt kunne lide mig, og at jeg havde svaret 🙂

Nu har vi været oppe på den lille host i en uge, alt er godt, og vi har ikke oplevet nogen nedgang. Det hele har kostet os under 20 000kr men en masse besvær.
Og gode råd om hosts ? Jo større jo bedre 😉 Selv om vores host viste alt om prestashop, så viste de nøjagtigt intet om DDOS.
Vi havde skiftet host uanset hvad, fordi forløbet simpelhen var latterligt uprofessionelt, men det havde været rart at ligge på den hurtige server indtil vi fandt en ny.

Opsætning af CloudFlare

Jeg har tidligere skrevet om hvorfor man skal vælge CloudFlare, det kan du læse der.

Her er en guide til hvordan man sætter det op og hvordan man får SSL til at virke, jeg bruger mit domæne Bagnefoto.dk, fordi det ikke endnu er på SSL eller Cloudflare.

Det er vigtigt at vide at du ikke skifter din hosting ud, så lad endelig vær med at droppe den.

Guiden til at sætte et domæne op, med SSL og Cloudflare:

1. Opret en konto hos Cloudflare:

cloudflare

2. Tilføj dit site til Cloudflare

Dette gøre ved at trykke “add site” fra Dashboardet når du lige er logget ind. Hvorefter du trykker “Begin Scan”.

scanning-med-cloudflare

3. Så skal du tjekke dine DNS indstillinger

Cloudflare gennemgår de indstillinger den kan finde, så side delen virker helt sikkert med det samme, men hvad angår emails og andre ting du selv har tilføjet kan det være de ikke kommer med, sammenligne den med de indstillinger du har på din nuværende DNS udbyder. (Jeg har gjort dette med 20 domæner nu, og har aldrig skulle ændre noget).

scanning-færdig-med-cloudflare

4. Vælg den plan og få navne server indstillinger

Vælg den gratis plan med det samme, du kan altid opgradere på 1min senere, og hvis gratis er godt nok, så kan du lige så godt nøjes med det.

Bagefter får du navne server indstillinger, dem skal du skrive ind i DK-hostmaster, hvis du har et .dk domæne, og hvis du har et andet skal du skrive dem ind i domæne håndteringen det sted du købte dit domæne.

navneservere-cloudflare

5. Skift navne server

Jeg går ud fra de fleste her har et dk domæne, så jeg viser hvordan man gør hos Dk-hostmaster.

Hos DK-hostmaster skal du logge ind med din bruger og kodeord.

På hoved menuen skal du ind på: Redeleger domænenavn

Her skriver du dit domæne ind også det første felt fra Cloudflare, som i mit tilfælde var ‘abby.ns.cloudflare.com’.

Derefter trykker du videre, og bekræfter.
Dk-hostmaster tager tit langt tid om at virke, så det kan godt være at du skal holde en times pause også forsøge igen.
Efter du har bekræftet kan der også let gå 3-4 timer før det bliver vist rigtigt.
For at være sikker på at du får cloudflare versionen, så brug en ny browser eller forsøg i inkognito mode samt forsøg med “rigtig refresh”.
cmd+r er normal refresh, mens rigtig refresh er cmd+shift+r.

dk-hostmaster

6. Så virker Cloudflare

Hvis cloudflare siger der ikke er nogen fejl, så virker alt nu.

cloudflare-virker
7. Nu skal vi have SSL på domænet

Det virker allerede, med standard indstillingerne. Men lige for at tjekke, du skal ind i dashboadet hvor du kan se alle dine domæner, også trykke på det domæne du vil have SSL på. Her skal SSL stå til “Flexible” som neden for:

cloudflare-backend

8. WordPress plugins

Nu skal du ind i din WordPress backend og installere et par plugins.

A. Du skal bruge et til at rette en redirect loop som WordPress laver, det hedder: CloudFlare Flexible SSL hvis det ikke virker så brug: WordPress HTTPS (SSL)

B. Test om dit domæne virker med SSL? Sæt https:// foran dit domæne og se om den laver en fejl. Hvis den laver en Cloudflare fejl, så har jeg oplevet at det var fordi SSL stod til “Full” og ikke “Flexible”. Det er Ok at den lave en gul fejl, det klare vi senere.

C. Så skal du bruge et plugin til at sikre dig at alle bliver sendt videre til SSL i stedet for den normale kedelige http:// -version:

Jeg bruger WP Force SSL men på et domæne hvor dette ikke virker bruger jeg: Force SSL.

D. Du skal nu ind i “indstillinger” og “Generelle indstillinger”, hvor du finder et felt til din domæne navn, her skal du ændre feltet til https://xxx.dk i stedet for http://xxx.dk. Dette skal du kun gøre hvis domænet faktisk virker med SSL (test B), ellers virker dit domæne ikke mere, og du skal ind i databasen for at ændre dette tilbage.

Dette behøver du faktisk ikke, og det gør det svært at rette SSL fejl, så lad vær.

wp-ssl-indstillinger

9. Nu kommer SSL problemerne

Særligt Chrome har et kæmpe problem med SSL problemer, de, som de eneste, kræver at man henter alt igennem SSL, før du får en grøn lås.

Men det er bare at komme igang.

SSL-problemer

10. Sådan løser du SSL problemerne

Det er meget enkelt, du skal ind i Chrome, ind på din side også skal du ind i udvikler værktøjet. Du kan finde det under “vis”, “udvikler” også “udviklerværktøjer” i menuen eller bruge genvejen: alt+cmd+i.

Under fanen “Console” kan du se de fleste af de fejl din side laver, fx SSL fejl.

På billedet nede for, opstillet som det tydeligt er, kan du se en enkelt SSL fejl, Chrome vil have at billedet “857847_1015180676527101…” ikke bliver hentet med https men bare normalt http, så alt du skal gøre at at rette linket til billedet til enten:
https://bagnegaard.dk/wp-content/uploads/2015/02/857847_1….jpg
Eller
/wp-content/uploads/2015/02/857847_1….jpg

Også bliver alting grønt igen.

Du skal gøre dette på alle dine sider, hele vejen igennem dit website, og det kan godt tage tid, det kan nok betale sig at lave en lille script til MySQL databasen som kan gøre det for dig, hvis du har mange indlæg.

Det er meget normalt at en side har 5-10 SSL fejl, men det er bare at gå igang.

ssl-fejl

11. Også virker alt.

Så virker det