Duże obciążenie serwera hostingowego przez Wordpress

0

Witam

Ostatnio na hostingu przekraczam limity użycia procesora na serwerze i napisałem do obsługi żeby podali mi jaki proces obciąża i odpisali mi że:

/ftp/wordpress/index.php Czas uzycia procesora: 31165s Ilosc uruchomien: 7521

Sprawdzałem error logi ale nie ma tam za dużo błędów, za to w access logu znalazłem IP które łączyło się aż 2500 razy

151.80.97.40 - - [28/Dec/201607:17 +0100] "GET / HTTP/1.0" 200 50851 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0"

Zablokowałem ten adres w pliku htaccess.

Zaktualizowałem wszystkie wtyczki, wyłączyłem niepotrzebne, odinstalowałem nieużywane szablony. Co mogę jeszcze zrobić? Czy mogę jakoś namierzyć czemu wordpress tak obciąża serwer? Mam wtyczkę WP Secuirty i sprawdzałem logi nieudanych logowań ale tam są z różnych IP i nie ma tego dziennie strasznie dużo.

0

Plik /ftp/wordpress/index.php mógł zostać uruchomiony tyle razy, ponieważ jest to plik który "inicjuje" całego WordPressa, więc to jest jak najbardziej normalne.

Po wyszukaniu adresu IP podanego przez Ciebie znalazłem, że ktoś zgłosił brute force attack na strony WP właśnie z tego IP - https://www.abuseipdb.com/check/151.80.97.40

0

Dzięki za odpowiedź. Czy zablokowanie w htaccess wystarczy? Niby normalne ale czas użycia procesora jest strasznie duży a odwiedzających stronę nie jest tak dużo.

0

Napisałeś, że używasz WP Security. Nie znam się na WP i nie wiem, który dokładnie to plugin, ale google podpowiada, że ten: https://pl.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

Z opisu wynika, że w nim można blokować adresy IP, a nawet skonfigurować żeby plugin sam blokował adresy w różnych przypadkach. Pogrzeb w pluginie, który masz zainstalowany.

0

ja mam stałe, więc ustawiam logowanie tylko z mojego IP w htaccess

używam pluginu https://pl.wordpress.org/plugins/better-wp-security/
tam ustawiasz ilość prób logowania np. 3 próby na godzinę potem ban (można wykluczyć swoje IP) dodatkowo można od razu banować określone loginy np. admin, user, kupa itp.
zwykle to wystarcza na większość ataków bruteforce

0

Nie znam sie na WP, ale moim zdaniem lepiej jest zaserwować captche po kilku próbach logowania niż blokować ip.

1 użytkowników online, w tym zalogowanych: 0, gości: 1