Ik ben de laatste tijd me meer en meer aan het verdiepen in managed WP-hosting. Ik ben op zoek naar ervaringen van mensen die hun WP-sites zelf hosten. Ik lijst hier zelf even op op welke manier ik mijn VPS'en (specifiek voor WP) beveilig en gebruik. Mogelijk zitten hier gaten in, en ik zou graag horen van mensen met (meer) ervaring of ze nog extra tools kennen/gebruiken die handig zijn. Al mijn VPS'en staan bij DigitalOcean. Ik host gemiddeld 3 WP-sites (kleine sites) per VPS. De databases (mysql/mariadb en redis voor object caching) staan op de VPS zelf. Ik ben wel van plan om dit eventueel te verplaatsen naar een dedicated database server.

Na een tijdje te hebben gespeeld met Nginx als webserver, ben ik overgeschakeld op OpenLiteSpeed. Voorheen maakte ik gebruik van Nginx fastcgi caching voor het cachen van webpagina's, nu gebruik ik de volle kracht van de LScache plugin (benchmarks: https://www.litespeedtech.com/benchmarks/wordpress). Zijn er hier nog mensen die gebruik maken van (Open)LiteSpeed en tips hebben om de instellingen verder te tweaken ten voordele van WP?

Daarnaast gebruik ik nu ook mariadb ipv mysql, dit zou ook performanter en sneller zijn, alhoewel ik hier niet veel van merk (mysql was bij mijn websites ook al zeer snel, en het gaat om vrij kleine websites/databases).

Qua PHP-versie gebruik ik nu PHP 8.1 aangezien ik icm OLS problemen ondervond met PHP 8.2.

Op welke manier beveiligen jullie VPS'en? Ik gebruik Ubuntu 22.04 (LTS) als besturingssyteem, ik host bij DigitalOcean en heb allereerst een zeer strikte firewall policy (enkel 22, 80, 443). Fail2ban is geďnstalleerd, en ook van maldet (malware detectie voor linux) gebruik ik regelmatig. Zijn er nog extra zaken die ik over het hoofd zie? Ik log enkel in via SSH-keys.

Momenteel wordt elke database iedere dag gebackupped naar amazon S3 middels een shell-bestandje (mysql_dump) en dan doorgestuurd via AWS-CLI. Dit is ingesteld met een cronjob.

Alle websites die ik host zitten achter Cloudflare.

Zijn er soms dingen die ik over het hoofd zie of beter kan doen?

Ik ben geen eigenaar van een eigen server maar een programmeur(10+ jaren ervaring) dat op allerlei verschillende servers heeft gewerkt en dus eigenlijk al heel veel heeft gezien. Zelf heb ik maar een goedkope shared hosting en dat werkt al perfect voor mij. Page speed 100/100 geen probleem en voldoende beveiligd. Dus ik hoop dat je mijn reactie waardeerd.

Als ik dit zo lees denk ik dat je een bank bent met al die beveiligingen en weet ik het allemaal. Je geeft niet aan waarom alles zo heel erg belangrijk is en wat je exacte doel is. Gaat het om beveiliging van persoonlijke data of alleen maar om page speed of iets anders?

Wat mij altijd opvalt is dat mensen met gevoelige data inderdaad een eigen server gebruiken, puur om meer controle te hebben en voor iets meer veiligheid. En zonder probleem sturen ze mij een persoonlijke admin login;-)

PHP8, gebruik zelf 8.2, volgens de benchmarken zijn veel sneller maar als je er een goede cache op zet is deze op de meeste pagina's bijna te verwaarlozen. Een cache is het laatste dat je gebruikt. Eerst de website op orde brengen en snel maken want anders is je cache alleen maar een domme kracht.

Veiligheid komt in gevaar als je te veel plugins gebruikt, dat maakt ook de website langzaam. Vooral populaire plugins en theme zijn minder veilig, alleen al door hun populariteit. Vandaar WordPress natuurijk ook vaker het doelwit is van een hack. Ik zeg altijd custom code omdat het veiliger is en veel sneller, als het goed is geprogrammeerd.

De snelheid van een website ligt meer aan hoe het gebouwd is dan de server of wat dan ook dat men gebruikt. Dat is extra en in veel gevallen niet nodig. Ik zie bijvoorbeeld regelmatig websites met soms meer dan 50 plugins en een heftig thema. Ze merken dat de webite langzaam is en gaan dan nog meer plugins installeren om page speed te verbeteren. Ik heb ze gezien met meerder cache plugins en meerdere page peed optimalisatie plugins. En dan gaan ze kijken voor snellere hosting, servers en CDN. En uiteindelijk komen ze mij vragen of ik hun page speed kan optimaliseren maar ze hebben geen budget meer. En dan worden ze boos als ik zeg dat het een zooitje is;-)
Als ik de website vanaf het begin had gebouwd hadden ze geld overgehouden, een veel snellere website gehad waar bezoekers met plezier komen rond snuffelen. Ze hebben dan minder kosten op korte en lange termijn maar ook veel minder problemen en veel makkelijker om te onderhouden.

Ik heb een simpele regel voor WordPress. "Het slechte van WordPress is dat je zo makkelijk plugins kan installeren"

Ik ben trouwens niet te spreken over cloudflare en amazon, zorg altijd voor een back-up lokaal.
Voor veiligheid zou je eens contact op kunnen nemen met Mathieu Schol hier op sitedeal.

Hopelijk heb jij en anderen hier iets aan.

Bedankt voor je reactie Cornelis.

Ik hecht gewoon veel belang aan een goed beveiligde server. Als ik een service aanbied aan iemand voor het hosten van een website maakt het me eigenlijk weinig uit wat/waarover die website gaat, die moet gewoon 100% beveiligd zijn. Als iemand mij een maandelijks bedrag betaalt wil ik dat die persoon er ook van kan uitgaan dat zijn website(s) fatsoenlijk gehost en beveiligd worden. Ik kan geen absolute garantie geven, maar ik wil ook niet te weinig doen. Fail2ban, maldet, ... vind ik eigenlijk het absolute minimum voor een server. Het gaat in sommige gevallen idd over persoonlijke gegevens. Ook pagespeed hecht ik belang aan, ja. En dat heeft idd veel te maken met de website zelf, maar verouderde servertechnologie is ook niet optimaal.

Waarom ben je niet te spreken over cloudflare en amazon? Ik heb namelijk met beide redelijk goede ervaringen. AWS is super goedkoop, natuurlijk moet je enige kennis van het platform zelf hebben, maar alles zit (in mijn ogen) redelijk logisch in elkaar.

Dus het gaat om hosting, dat was mij niet duidelijk. Ik dacht dat het om je eigen websites zou gaan. Dan heb je natuurlijk geen invloed op hoe websites gebouwd worden dan moet je dus uit gaan van het slechtste geval zoals ik al aangaf. Daar is geen server tegen op gewassen natuurlijk. Dat is dus niet jouw probleem maar je probeerd gewoon het beste te bieden.

Mijn mening is dat niet technologie ook altijd met problemen komt maar dat is mijn mening. Als je de hele tijd voorop wilt lopen met de nieuwste technologieën dan kan jij uiteindelijk geen betaalbare hosting meer aanbieden.
Als je bijvoorbeeld iedere keer een nieuwe telefoon koopt omdat er een nieuw model is dan hoef je niet veel te bellen om veel geld uit te geven bijvoorbeeld;-)

Veiligheid is zeker een belangrijk punt. In jouw geval als hoster erg belangrijk want jij kan je gebruikers niet verplichten bepaalde slechte geschreven plugins te gebruiken bijvoorbeeld.

Cloudflare. Ik heb gezien dat als ik clouldflare eruit flikker dat page speed verbetert. Veiligheid weet ikniet maar een externe server gebruiken is voor mij toch iets dat slecht is voor je website, veiligheid en page speed.
Amazon is heel persoonlijk eigenlijk. Over snelheid en veiligheid durf ik niets te zeggen.

Heb jij trouwens al contac opgenomen met Mathieu Schol voor je WP veiligheid. Alleen vragen kan geen kwaad toch?

Monitor je de server op dit moment? Je zou tools kunnen gebruiken als netdata, grafana en prometheus.
Mocht er een keer iets mis gaan o.i.d. kan je kijken waardoor dat komt en kan je ook meldingen instellen zodat je op de hoogte bent.
Wat wellicht ook interessant is om naar te kijken is Docker en Kubernetes. Hiermee krijgt elke website een eigen container. Mocht je meerdere websites hebben kunnen ze niet per ongeluk bij elkaars bestanden komen gezien het in hun eigen container draait.
Daarnaast is het ook handig om de zoveel tijd je backups te checken of ze goed gemaakt zijn en niet corrupt zijn.

Je zou ook kunnen kijken naar een load balancer en high availability. Hiermee kan je het verkeer regelen zonder dat een server overvol raakt. Ook kan je hiermee regelen dat mocht een server down gaan de websites wel bereikbaar zijn doordat al het verkeer wordt doorgestuurd naar de andere server. Om dit in te stellen komt wel iets meer bij kijken dan een enkele server instellen.

monitoring gebeurt op dit moment via het (beperkte) dashboard van DO zelf, maar ben wel van plan om een monitoring tool te installeren.

Docker ben ik bekend mee en heb hier ook al een aantal (niet-WP) systemen mee lopen (oa een analytics tool).

Load balancer (DO zelf of HAProxy) gebruik ik enkel als ik (nodejs) applicaties over verschillende servers verspreid. Het gaat hier over kleine websites (10-100 bezoekers per dag). Als ik voor al die websites een 2e/3e... copy moet hebben, dat is het niet waard.

Eventueel wel aan het denken om bunny CDN te gaan gebruiken. Eens uitzoeken of de combinatie CDN + litespeed cache een grote meerwaarde geeft, of dat enkel litespeed cache voldoende is.