Mi experiencia con Ifastnet

waylayer · 22 Nov 2016

Hace muchos años vengo contratando los servicios de hosting de ifastnet principalmente por el precio que tienen y sus beneficios.

Suelo usarlo para web muy pequeñas (hechas en wordpress y poco visitadas) pero aun así contrato el plan más caro de los compartidos (ULTIMATE PREMIUM $6.99/month) para esos pequeños proyectos.

El problema (y muy grande) vino cuando uno de esas webs pequeñas se volvió popular (ni tanto) recibiendo un promedio de 90 visitas al mismo tiempo (verificado con analitycs) y con unas 55mil pageview diarias, el problema se resume en recursos, con solo esa cantidad de visitas (a mi parecer y en comparación con otros testimonios de otros hosting de amigos) el host se caía mostrando mensaje de resource limit y también de database error connection, al principío (hace uno o dos años que todavía no llegaba ni a 50 al mismo tiempo) se caía de igual forma, pero una vez o 2 al día, pero ahora se cae cada 5 o 10 min, en ocasiones cada 2 min. ocasionando que mis visitantes se incomoden mucho.

Al consultar con el soporte (en mi caso si son rápidos para responder pero todo en inglés) según ellos es porque tengo muchos plugins.

Sí, tengo muchos plugins, vitales para una web como por ejemplo wordfence y ninjafirewall, pero ellos sugieren que los desactive o elimine para que no me salgan más errores o se caiga la página.

No puedo hacer eso, ya que el log del ninjafirewall me muestra que diariamente tengo intentos de hackeo de todas partes del mundo, hackers que intentan ingresar a mi wp-config constantemente y otros intentos de hackeo, además de que (por un tiempo) logré que los mensajes de error se calmaran instalando un plugin para detener a los bots maliciosos, ahora mismo ya no tengo problemas con los bots, pero sí con los hackers y por lo mismo no puedo desactivar los plugins de seguridad. entonces les dije que me cambiaría de hosting al terminar el contrato.

A esta respuesta mía, ellos simplemente atinaron a ignorarme, y desearme suerte.

Para mi (que uso por más de 7 años su servicio desde que eran securesignup) es algo verdaderamente desalentador, ya que tengo (aparte de este) otros 3 hostings ultimate contratados en la misma cuenta.

Los de soporte (y creo que ustedes también) me recomendarán usar un vps, que me sale hasta más barato, pero no me es posible en este momento, no tengo mucho conocimiento sobre la seguridad en un vps por lo que estoy seguro que estaría muy desprotegido.

Estoy pensando cambiarme a banahosting por recomendación de un amigo, según él tiene más de mil visitas al mismo tiempo y la web sigue online en un plan de BANA-CORPORATE DELUXE $9.95PER MONTH

Espero su feedback.

absa · 22 Nov 2016

Por ese precio puedes adquirir un vps economico, lo administras tu y raro que se te caiga. Buena suerte!! :encouragement:

kj2 · 22 Nov 2016

Te lo digo como alguien que administra servidores propios y optimizo mis theme/plugins etc.:

No metas muchos plugins y punto. Más allá de gastar menor recursos, ayudará a que la web cargue rápido y eso ya sabes en que se convierte luego.

Si te da problemas los intentos de hacking, hay varias manera de evitarlos, por ejemplo, cambiar el sistema de logueo normal por uno distinto, por ejemplo que solo acepte google login o simplemente con jetpack que actualmente ya hace el trabajo de detectar y parar esos ataques de bruteforce al panel de admin.

La solución no siempre es tirar de plugins, a veces es tan sencillo como poner una regla extra para poder entrar al panel de admin.

Tengo siempre problemas con la gente que se mete themes con un millón de opciones he incluso con cronjobs que hacen que servidores grandes pasen de 25 a 100% de CPU en cosa de segundos, con la misma cantidad de visitas y con caché activado... La solución no es comprar otro server o cambiarlo, es usar solo lo necesario y ahorrar en lo posible recursos, que al final son dinero también.

Y como te dijo absa, con ese dinero bien podrías tener tu propio servidor (uno sin cpanel no administrado), montártelo desde 0 y así controlar tu mismo el uso de tu sitio.

kj

waylayer · 22 Nov 2016

absa dijo:
Por ese precio puedes adquirir un vps economico, lo administras tu y raro que se te caiga. Buena suerte!! :encouragement:

Gracias por tu respuesta, sí, estoy considerando eso (aunque ya tengo un vps windows pero que es de otro proyecto), pero al mismo tiempo tengo miedo por la parte de la seguridad de la web si uso un vps, después de todo ya tengo un sin número de atacantes sin siquiera hacer algo que los provoque, es más, antes de conocer y usar wordfence había tiempos en que en mi header se inyectaba un código malicioso en php, el cual eliminaba, cambiaba todos los pass de todo y luego de un mes y tanto o menos, volvian a colocar un código muy similar en el mismo lugar.

Luego de wordfence y ninjafirewall, eso nunca volvió a suceder.

Por lo mismo, con un vps sin mucha seguridad (por mi culpa y no saber mucho de vps linux) estoiy seguro que me atacarán sin piedad-

kj2 · 22 Nov 2016

waylayer dijo:
Por lo mismo, con un vps sin mucha seguridad (por mi culpa y no saber mucho de vps linux) estoiy seguro que me atacarán sin piedad-

Con que protejas bien el acceso al ssh, al ftp, etc., no tendrás problemas, o más bien, tendrás solo los que tu CMS tenga (aunque puedes igual eliminar los permisos de escritura y/o proteger bien el acceso al panel de admin).

Actualmente tengo un server al que solo le abro los puertos (ftp, ssh, el puerto del panel, etc.) cuando se van a utilizar, ya que el dueño de las webs allí alojadas tuvo un par de ataques y quería que el server tuviera la mayor seguridad posible, pero sin usar muchos recursos.

kj

waylayer · 22 Nov 2016

kj2 dijo:
Te lo digo como alguien que administra servidores propios y optimizo mis theme/plugins etc.:

No metas muchos plugins y punto. Más allá de gastar menor recursos, ayudará a que la web cargue rápido y eso ya sabes en que se convierte luego.

Si te da problemas los intentos de hacking, hay varias manera de evitarlos, por ejemplo, cambiar el sistema de logueo normal por uno distinto, por ejemplo que solo acepte google login o simplemente con jetpack que actualmente ya hace el trabajo de detectar y parar esos ataques de bruteforce al panel de admin.

La solución no siempre es tirar de plugins, a veces es tan sencillo como poner una regla extra para poder entrar al panel de admin, etc.

Tengo siempre problemas con la gente que se mete themes con un millón de opciones he incluso con cronjobs que hacen que servidores grandes pasen de 25 a 100% de CPU en cosa de segundos, con la misma cantidad de visitas y con caché activado... La solución no es comprar otro server o cambiarlo, es usar solo lo necesario y ahorrar en lo posible recursos, que al final son dinero también.

Y como te dijo absa, con ese dinero bien podrías tener tu propio servidor (uno sin cpanel no administrado), montártelo desde 0 y así controlar tu mismo el uso de tu sitio.

kj

seguías vivo :v?

bueno, el problema no es por fuerza bruta en el login, de eso se encarga el recaptcha y wordfence al bloquear al usuario e ip que se intenta loguear mal aunque solo se equivoque una vez :V

de verdad sí tengo bastantes plugins, pero todos me parecen tan necesarios :'v

sobre lo del vps ya lo dije :v me jode la seguridad de un vps, no sé casi nada de linux y lo que necesite instalarle para darle seguridad, y no sé si youtube sea de entera confianza... pero según sus comentarios podría intentarlo

lista de mis plugins :'v

https://puu.sh/sr26C/2398a968e5.png

no me hagan bullying!

kj2 · 22 Nov 2016

Para el lo de los ataques, ya te dije que hay varias maneras, el mismo wordpress da algunas: https://codex.wordpress.org/Brute_Force_Attacks

Sobre los plugins, tampoco son una barbaridad (he visto más xD), pero si quitaría el wordfense (puedes activarlo de ves en cuando para dar un scan).

Lo que si veo que seguramente sea lo que te come más recursos este este plugin: https://tah.wordpress.org/plugins/updraftplus/

Por muy bonito que suene que te hagan un backup diario, los plugins de ese tipo (lo digo por experiencia propia), comen recursos y por mucho que los pongas a trabajar en horas de bajo uso van a hacer subir el uso de recursos de tu servidor. Prueba desactivarlo y mira si se sigue cayendo o no tu web.

Si quieres hacer backups diarios de tus sitios, si mal no recuerdo, cpanel trae esa opción y no gasta tantos recursos (si lo traen los paneles gratuitos, cpanel debería traerlo igual).

PD: ¿Como tienes configurado el cache?

kj

waylayer · 22 Nov 2016

kj2 dijo:
Para el lo de los ataques, ya te dije que hay varias maneras, el mismo wordpress da algunas: https://codex.wordpress.org/Brute_Force_Attacks

Sobre los plugins, tampoco son una barbaridad (he visto más xD), pero si quitaría el wordfense (puedes activarlo de ves en cuando para dar un scan).

Lo que si veo que seguramente sea lo que te come más recursos este este plugin: https://tah.wordpress.org/plugins/updraftplus/

Por muy bonito que suene que te hagan un backup diario, los plugins de ese tipo (lo digo por experiencia propia), comen recursos y por mucho que los pongas a trabajar en horas de bajo uso van a hacer subir el uso de recursos de tu servidor. Prueba desactivarlo y mira si se sigue cayendo o no tu web.

Si quieres hacer backups diarios de tus sitios, si mal no recuerdo, cpanel trae esa opción y no gasta tantos recursos (si lo traen los paneles gratuitos, cpanel debería traerlo igual).

PD: ¿Como tienes configurado el cache?

kj

XD si mal no recuerdo, ese de backups ni me acordaba que lo tenía instalado, es más ni siquiera está configurado para hacer backups diarios, apenas los hago manualmente cuando estoy apurado y no quiero entrar al cpanel.

el wordfence no me dan ganas de desactivarlo ya que diario me manda mensajes diciéndome todos los intentos de hackeos que hay, además de que maneja mi lista propia de ips bloqueadas <3 las fui armando en base al log de ninjafirewall e ipabuse.

un poco de los critical del log de ninjafirewall:

Insertar CODE, HTML o PHP:

20/Nov/16 12:16:28  #2347056  critical     1  155.133.82.230   GET /index.php - Directory traversal - [GET:data = ../../../../wp-config.php]

20/Nov/16 14:00:26  #5689920  critical   313  193.152.200.207  GET /index.php - PHP-CGI exploit (CVE-2012-1823) - [SERVER:QUERY_STRING = -asdsadasd]


21/Nov/16 20:32:15  #4436619  critical     -  140.237.58.183   POST /wp-admin/admin-ajax.php - Blocked file upload attempt - [upfilees.php (33 bytes)]
21/Nov/16 20:32:50  #3426387  critical     -  140.237.58.183   POST /index.php - Blocked file upload attempt - [upfilees.php.suspected (33 bytes)]
21/Nov/16 20:33:13  #8025657  critical     -  140.237.58.183   POST /index.php - Blocked file upload attempt - [upfilees.php (33 bytes)]

y similares.

kj2 · 22 Nov 2016

Pues ya está, no desactives nada, pero mejor usar un VPS, así tu mismo acabarás viendo de donde ahorrar tarde o temprano xD.

kj

waylayer · 22 Nov 2016

kj2 dijo:
Pues ya está, no desactives nada, pero mejor usar un VPS, así tu mismo acabarás viendo de donde ahorrar tarde o temprano xD.

kj

qué crueldad :'v

bueno, acabo de matar al super caché y pruebo suerte con total caché.

además de que he matado algunos plugins y he encontrado algunas incidencias como un css y un js en la carpeta upload que nunca había visto pero que no deja verlos por navegador.

también estoy viendo lo de pasar las imágenes y algo más a un servidor estático.

puede que resulte.

----

Si no uso un vps es para evitar la fatiga :'v

Mi experiencia con Ifastnet

waylayer

absa

kj2

waylayer

kj2

waylayer

kj2

waylayer

kj2

waylayer

Temas similares