בנית אתר

[s976]

לגבי האבטחה.
זה נכון שעל וורדפרס עבדו אלפי אנשים מוכשרים, שיפרו ועדכנו ועשו עבודה מעולה. אבל אחרי הכל, לאתר שבנוי בצורה עצמאית, יש מעלה בתחום האבטחה שאי אפשר להתחרות אתה - אף אחד לא אמור לדעת איך הוא בנוי. מה שאין כן בוורדפרס, שכל אחד יכול לדעת בדיוק איך היא בנויה. ואם מתקינים את וורדפרס כמו שהיא, ולא טורחים להתקין תוסף אבטחה טוב - אז בכלל אין מה לדבר. כל אחד יודע שבשביל להתחבר אל פאנל הניהול, קוראים לקובץ wp-login.php. ושהרבה פעמים שם המנהל הוא admin (ועוד שאפשר לנסות להתחבר מיליון פעמים זה אחר זה, והמערכת חושבת שאתה מנהל תמים שלא כ"כ זוכר את הסיסמה שלו). וכן יודעים כולם שקובץ הגדרות נקרא wp_config.php, וכולם יודעים איפה הוא נמצא. וכן כולם יודעים שמות של כל התיקיות החשובות. ושמות של הטבלאות במסד התנונים. ומה לגבי התוספים החביבים, שלפעמים נכתבו על ידי מקצוענים, ולפעמים על ידי אנשים לא כ"כ מקצועים, שלא יודעים בטיב האבטחה.
משל למה הדבר דומה, לאדם שיש לו מאה מיליון דולר במזומן, וכולם יודעים שזה נמצא אצלו בבית בחדר ידוע בכספת - גם אם מסביב לביתו יסתובבו טובי השומרים עם נשק וכלבים, ויעשה כספת חזקה ביותר, עדיין, חברו, שגם לו יש מאה מיליון דולר וכמעט לא השקיע באבטחה, נתון בסיכון נמוך הרבה יותר, וזאת משום שאף אחד לא יודע מי הוא, איפה הוא גר, האם הכסף נמצא בחשבון בנק או אצלו בבית או אולי או חפר בור לא עמוק ביער והטמין את זה שם - לך תמצא את זה.

 

[mat]

עכשיו שאני חושב על זה יותר. אתם משווים php ל nodejs בגלל שאתם לא מכירים איך המנגנון עובד.

איך מתכנתים בphp כותבים קובץ עם סיומת php עם הקוד הרצוי ושמים באחד התקיות שבאתר. ואז אפשר דרך הדפדפן לבקש אותו באופן יחסי לתקית שורש של השרת.
וכל פעם שמבקשים אותו הphp רץ ומבוצע ובסיום שלו אתה מקבל את הפלט.

בnoedjs זה לא ככה זה שאתה כותב תוכנה ממש עם מחלקה של http ואתה עושה שרת שמאזין לבקשות. וכל פעם שיש בקשה זה מקפיץ אירוע בתוכנה ואז אתה יכול להחזיר תשובה. כלומר זה לא שנגשים לקובץ הjs הספציפי. לדוגמה http://domin.com/index.js . זה לא עובד ככה. פשוט כל בקשה שלא תהיה מקפיצה אירוע. ואז לפי הurl שמקבלים בנתונים אפשר להחזיר תשובה.

ההבדל הזה גורם לnodejs להיות בטוח יותר במקרה של תוספים חיצונים שהם לא מאובטחים מספיק טוב. בגלל שאי אפשר לגשת לקובץ הנגוע הספציפי של התוסף. בצורה ישירה. ולכן זה מפחית את הסיכון.

 

[דינקיס]

אני יודע שnode זה קוד פתוח. אני מכיר שם הרבה מהקוד .
אני בעד וורדפרס על אתר עם תקציב נמוך. אבל בכלל לא בעד וורדפרס על אתר עם תקציב גבוהה.
קחו למשל את jdn שכתוב בוורדפרס הוא קרס בבחירות בבית שמש. וגם סתם ככה הוא לא הכי מהיר שבעולם. וגם האתר של רדיו קול חי. ועוד מלא אתרים שאתה רואה אותם קורסים ואיטים בגלל וורדפרס.

רק הערה קטנה: בתור מי שפיתח את שני האתרים הללו, אני יכול לכתוב לך חד משמעית שהם לא נפלו ביום הבחירות בגלל וורדפרס - אלא נטו בגלל שרתים. מטבע הדברים, אתרים עם מסת גולשים מטורפת און ליין, צריכים לדעת לתכנת ולהתעסק בקונפיגורציית שרתים שלהם והם מצריכים תקציב נורמלי לזה. זה הכל.

אנחנו מתחזקים מאות אתרי וורדפרס. רוב האתרים עובדים כמו שצריך עם מינימום תחזוקה שוטפת. ברור שיש בעיות מידי פעם באתרים שונים, אבל זה לא שונה מכל מערכת או שפה אחרת.

לגבי כל השאר, כבר כתבו לפני את כל היתרונות והחסרונות, את כל המשלים והדוגמאות. בשורה התחתונה, לדעתי האישית בלבד: היתרונות של וורדפרס עולים על החסרונות שלה.

 

[mat]

אתה אומר שזה בעיות בהגדרות. כלומר השרת שלהם יכל לעמוד בעומס רק שההגדרות לא היו טובות?

סתם ככה מעניין אותי המספרים שמאחורי זה. כאילו באיזה שרת מדובר. כמה גולשים זה נקרא עומס מטורף. לX שרת.

תיכנס עכשיו לjdn. תראה דבר מעניין. כל דף חדש שאתה נכנס אליו. לוקח המון זמן עד שהוא נטען.
אבל אם תיכנס פעם נוספת תוך רגע הוא יעלה. מה זה אומר. שיש מנגנון קאש. שעובד כנראה לפי סשן.

זה אומר שכל יצירה של דף חדש לוקחת המון זמן. וזה נטו בגלל וורדפרס כי הוא אחראי על היצירה של הדף.
יכול להיות שמבחינה עיסקית כדאי להשקיע בשרתים יותר חזקים מאשר להשקיע בתיכנות.

 

[דינקיס]

מעדיף לא להכנס לפרטים ספציפיים לגבי האתרים עצמם, אבל רק היה חשוב לי להבהיר שאין שום קשר בין וורדפרס לבין מהירות האתר.

כמובן שיש המון היבטים שהיתרונות של וורדפרס גורמים לחסרונות, כמו למשל הקלות של התקנת תוספים לכל פיפס שרק חלמת, מאוד מכבידה על האתר והמון פעמים גורמת לבעיות. וד"ל.

אגב, אני לא חסיד אדוק. ואני לא חושב שאפשר לעשות עם וורדפרס ה-כ-ל. אבל בהחלט אפשר לעשות איתה המון. הרבה מעבר למה שאתם חושבים.

 

[Nahum]

עכשיו שאני חושב על זה יותר. אתם משווים php ל nodejs בגלל שאתם לא מכירים איך המנגנון עובד.

איך מתכנתים בphp כותבים קובץ עם סיומת php עם הקוד הרצוי ושמים באחד התקיות שבאתר. ואז אפשר דרך הדפדפן לבקש אותו באופן יחסי לתקית שורש של השרת.
וכל פעם שמבקשים אותו הphp רץ ומבוצע ובסיום שלו אתה מקבל את הפלט.

???
לא שמעת על Routing בphp?
כל פריימוורק מצוי משתמש בזה...

 

[Shia]

לגבי האבטחה.
זה נכון שעל וורדפרס עבדו אלפי אנשים מוכשרים, שיפרו ועדכנו ועשו עבודה מעולה. אבל אחרי הכל, לאתר שבנוי בצורה עצמאית, יש מעלה בתחום האבטחה שאי אפשר להתחרות אתה - אף אחד לא אמור לדעת איך הוא בנוי. מה שאין כן בוורדפרס, שכל אחד יכול לדעת בדיוק איך היא בנויה. ואם מתקינים את וורדפרס כמו שהיא, ולא טורחים להתקין תוסף אבטחה טוב - אז בכלל אין מה לדבר. כל אחד יודע שבשביל להתחבר אל פאנל הניהול, קוראים לקובץ wp-login.php. ושהרבה פעמים שם המנהל הוא admin (ועוד שאפשר לנסות להתחבר מיליון פעמים זה אחר זה, והמערכת חושבת שאתה מנהל תמים שלא כ"כ זוכר את הסיסמה שלו). וכן יודעים כולם שקובץ הגדרות נקרא wp_config.php, וכולם יודעים איפה הוא נמצא. וכן כולם יודעים שמות של כל התיקיות החשובות. ושמות של הטבלאות במסד התנונים. ומה לגבי התוספים החביבים, שלפעמים נכתבו על ידי מקצוענים, ולפעמים על ידי אנשים לא כ"כ מקצועים, שלא יודעים בטיב האבטחה.
משל למה הדבר דומה, לאדם שיש לו מאה מיליון דולר במזומן, וכולם יודעים שזה נמצא אצלו בבית בחדר ידוע בכספת - גם אם מסביב לביתו יסתובבו טובי השומרים עם נשק וכלבים, ויעשה כספת חזקה ביותר, עדיין, חברו, שגם לו יש מאה מיליון דולר וכמעט לא השקיע באבטחה, נתון בסיכון נמוך הרבה יותר, וזאת משום שאף אחד לא יודע מי הוא, איפה הוא גר, האם הכסף נמצא בחשבון בנק או אצלו בבית או אולי או חפר בור לא עמוק ביער והטמין את זה שם - לך תמצא את זה.

שמעון, למרות שאהבתי את המשל עם המאה מליון דולר, צר לי לשמוט את הקרקע מתחת לרוב הטענות שיש לך על האבטחה של וורדפרס.

קודם אתייחס לכמה נקודות שאתה התייחסת אליהן:
wp-content - אפשר לשנות בנקל למשהו אחר.
wp-login.php - אפשר גם כן לשנות למשהו אחר.
מנהל admin - רק שוטה ישתמש בשם המנהל admin.
וכל מתחיל יודע גם שחובה להגביל את מספר נסיונות הכניסה בעזרת תוסף מתאים.
שמות של הטבלאות - לא לחינם וורדפרס מאפשר לבחור prefix.
wp_config.php - הוא קובץ שאין הרשאות קריאה או כתיבה אליו, אז אם השרת שלך תקין, הוא לא אמור להוות סיכון אבטחה, אבל בכל אופן, ניתן גם להסתיר את wp_config לגמרי

אם פעם יצא לך להתקין את אחד התוספים כמו wordpress better security או wordfence, אני לא צריך להגיד לך כמה אספקטים של אבטחה ניתן לקבל שם - החל מלוגין בשילוב מספר הטלפון בנוסף לסיסמה, עבור דרך חסימת מבקרים על בסיס מיקום גיאוגרפי, עבור דרך תיקון קבצי האתר במידה והם נפגעו על ידי פורץ, וכלה בתוספי גיבוי אפקטיביים ונוחים...

וכאן אני חוזר למה שאמרתי בפוסט הקודם שלי: איש מקצוע מיומן, שמבין דבר או שניים באבטחה, ומאכסן את האתר על גבי שירות איכסון איכותי ומותאם וורדפרס, יכול תוך שעתיים להקשיח את אבטחת האתר לרמה מאובטחת בהחלט, הרבה מעבר למה שמתכנת של מערכת סגורה, מוכשר ככל שיהיה, יוכל להגיע אליו במסגרת אותו זמן ואותו תקציב.

 

[mat]

???
לא שמעת על Routing בphp?
כל פריימוורק מצוי משתמש בזה...

אני יודע שאפשר לגרד את אוזן ימין עם יד שמאל.

אני דיברתי על התוספים של וורדפרס. ועל העיקרון.

נכון שאפשר ואפשר.
אבל למה לעבוד קשה שאפשר בקלות לעשות משהו מקצועי מהיר ומאובטח. בצורה הרבה יותר טובה. בשפה הרבה יותר נוחה. עם מחלקות מסודרת בלי סוף.

 

[שמח לעזור]

רק הערה קטנה: בתור מי שפיתח את שני האתרים הללו, אני יכול לכתוב לך חד משמעית שהם לא נפלו ביום הבחירות בגלל וורדפרס - אלא נטו בגלל שרתים. מטבע הדברים, אתרים עם מסת גולשים מטורפת און ליין, צריכים לדעת לתכנת ולהתעסק בקונפיגורציית שרתים שלהם והם מצריכים תקציב נורמלי לזה. זה הכל.

זה כמו שאמר נהג שפגע שזה לא בגלל המהירות בה נסע אלא בגלל שלא הספיק לעצור.

זה בדיוק הטענה. בוורדפרס אתה מגיע הרבה יותר מהר למצב הזה שצריך שרתים חזקים בתקציב מתאים לעומת מערכות שהם יותר low level שם צריך הרבה פחות.


אך באמת לתכנות ברמה נמוכה יש חסרונות של סוג המפתחים כשרונם ותקציבם.

 

[Nahum]

אני יודע שאפשר לגרד את אוזן ימין עם יד שמאל.

אני דיברתי על התוספים של וורדפרס. ועל העיקרון.

נכון שאפשר ואפשר.
אבל למה לעבוד קשה שאפשר בקלות לעשות משהו מקצועי מהיר ומאובטח. בצורה הרבה יותר טובה. בשפה הרבה יותר נוחה. עם מחלקות מסודרת בלי סוף.

מתשובתך השתמע שאתה מדבר על php בכללות. אם ברור לך שיש Routing בphp, ושהוא לא יותר מסובך מבnodeJS, אין פה בכלל ויכוח.

בלי קשר, אני חייב לציין שפתחת לי את התיאבון לגבי nodeJS...

 

[דינקיס]

זה כמו שאמר נהג שפגע שזה לא בגלל המהירות בה נסע אלא בגלל שלא הספיק לעצור.

זה בדיוק הטענה. בוורדפרס אתה מגיע הרבה יותר מהר למצב הזה שצריך שרתים חזקים בתקציב מתאים לעומת מערכות שהם יותר low level שם צריך הרבה פחות.

אין לי מושג מה אתה מתכוין כשאתה כותב מערכות low level - וגם אני לא יודע מה המושגים שלך באחסון אתרים של עשרות אלפי גולשים און ליין שצורכים ים של נתונים וסטרימינג.

בקיצור, כל מה שאני רק רציתי להבהיר, שאין שום קשר בין הדוגמאות שהביאו לדיון על WP.

 

[שמח לעזור]

בקיצור, כל מה שאני רק רציתי להבהיר, שאין שום קשר בין הדוגמאות שהביאו לדיון על WP.

ואני אומר לך שאתה טועה.

WP לוקחת X משאבים. השרתים שלכם נפלו בגלל Y גלישות.
ובכן, יש קשר ישיר בין X לY.

אתה מכיר את האתר Stackoverflow? כמה גולשים יש להם נראה לך? יש להם שרתי על? לא ממש. אבל יש להם בין היתר שימוש בnodejs.

(אם אתם משתמשים בשרת שיתופי, ואם כן זה הזוי, ייתכן שיש לכם הגבלות לא הגיוניות וממילא אכן אין ראיה).

 

[mat]

מתשובתך השתמע שאתה מדבר על php בכללות. אם ברור לך שיש Routing בphp, ושהוא לא יותר מסובך מבnodeJS, אין פה בכלל ויכוח.

בלי קשר, אני חייב לציין שפתחת לי את התיאבון לגבי nodeJS...

אני מדבר על wp בפרטות. אני אומר שwp זה דבר טוב. בדברים פשוטים אתרי תדמית וכדומה. אבל דברים רצניים אני לדעתי זה לא טוב בגלל שזה איטי. וגם אני חושב שזה פחות מאובטח.

על php בכללות אני חושב שכמובן עדיף לפתח עם פריימוורק. אבל לא שווה לעשות את זה כי php נופל בביצועים וביכולות לעומת nodejs. ורק בגלל הסיבה שבphp בכל בקשה יכולים להיטען עשרות דפים. שוב ושוב. ובnodejs יש את הפעם הראשונה שהשרת נטען אחרי זה. זה רץ בזמן אמת.

וגם אני למשל שכבר עברתי מphp לnode היום אני יודע js ברמה ממש גבוהה וזה עוזר לי מאד בצד לקוח. זה עוזר להתמקד בשפה אחת ולדעת אותה היטב. וjs זה השפה הכי מדהימה שאני מכיר.

 

[Shia]

אתה מכיר את האתר Stackoverflow? כמה גולשים יש להם נראה לך? יש להם שרתי על? לא ממש.

לגבי האתר Stackoverflow.
כמה גולשים יש להם באמת, לדעתך?
כמה בקשות HTTP יש להם בפרק זמן ממוצע של 24 שעות לדעתך?
כמה GB נפח מידע נשלח ומתקבל מהשרתים שלהם בפרק זמן כזה?
כמה שאילתות SQL יש להם ב24 שעות?

לגבי השרתים שלהם:
מה לדעתך המפרט הטכני שלהם?
כמה שרתים יש להם לדעתך?
מה נפח מסדי הנתונים שלהם לדעתך?
כמה GB זיכרון יש לשרתים שלהם לדעתך?
מה רוחב הפס שיש לרשת שלהם?
מה נפח הדיסק שיש להם?

אשמח לשמוע מה אתה חושב...

 

[mat]

לא צריך לחשוב יש נתונים.

http://highscalability.com/blog/201...tecture-update-now-at-95-million-page-vi.html

http://meta.stackoverflow.com/quest...-are-used-to-build-the-stack-exchange-network

 

[שמח לעזור]

http://blog.serverfault.com/2011/02/11/stack-exchanges-architecture-in-bullet-points/

 

[שמח לעזור]

אגב, אני מוכרח לומר שלא מצאתי כל סימוכין לטענתי שהם משתמשים בnodejs, זה אבל זה נטוע חזק בזכרוני, אולי בטעות עם אתר אחר בסדר גודל זה.

 

[Shia]

אני לא מצאתי סימוכין לזה שאתה אומר שאין להם שרתי על.
http://nickcraver.com/blog/2013/11/22/what-it-takes-to-run-stack-overflow/
אולי זה לא מה שנקרא אצלך שרתי על אבל לי זה נראה כמו תשתית מפלצתית.

וזה מה שלא הבנתי בהודעה שלך... ניסית להגיד שכביכול לא צריך שרתים חזקים אם האתר בנוי טוב?

 

[mat]

אני לא מצאתי סימוכין לזה שאתה אומר שאין להם שרתי על.
http://nickcraver.com/blog/2013/11/22/what-it-takes-to-run-stack-overflow/
אולי זה לא מה שנקרא אצלך שרתי על אבל לי זה נראה כמו תשתית מפלצתית.

וזה מה שלא הבנתי בהודעה שלך... ניסית להגיד שכביכול לא צריך שרתים חזקים אם האתר בנוי טוב?

תסתכל בסוף הלינק שהבאת.

יש את המשפט הבא.

The cost of inefficient code can be higher than you think.

עלות של קוד לא יעיל יכולה להיות יותר ממה שאתה חושב.

על זה אני אומר ש wp זה קוד לא יעיל.

 

[Nahum]

באינפוגרפיקה הזו ניתן לראות בבירור שLinkedin עברו לnodeJS וחסכו שרתים.
אולי זה האתר אליו התכוון שמח לעזור.

https://www.engineyard.com/images/infographics/node.jpeg