DDoS-защита арбитражного сайта: чек-лист без лишней магии
Первый слой — CDN перед origin. Cloudflare, Bunny или аналог должны принимать весь публичный трафик, а не только статику. Закрой прямой доступ к VPS: origin-IP не светим в DNS, а на сервере разрешаем вход только с IP CDN. Иначе атакующий просто обходит защиту.
Второй слой — лимиты на уровне edge и сервера. Для Cloudflare включи WAF, rate limiting на логин, формы и поиск, а ещё challenge для подозрительных ASN, стран и пустых user-agent. На Nginx/Apache ставь лимит соединений и запросов, чтобы бот-сетка не съела CPU и RAM раньше кеша.
Третий слой — сайт должен переживать всплеск без PHP на каждом запросе. Статика, page cache, отдельный health-check URL без тяжёлых плагинов, отключённый XML-RPC, минимальный набор форм и комментариев. Чем меньше динамики, тем меньше точек для дешёвого flood-атаки. Для WordPress это особенно критично: тяжелые плагины DDoS не остановят, но урон усилят.
Четвёртый слой — план реакции. Должны быть заранее готовы: правило на блок страны/ASN, временное усиление challenge, выключение дорогих эндпоинтов, переключение DNS на запасной origin и список контактов хостинга. Логи сохраняй отдельно, иначе после атаки не поймёшь, где был вход.
Если у сайта нет CDN, кеша и лимитов — DDoS лечится не «мощностью», а архитектурой. Сделай так, чтобы 90% мусора отваливалось на edge, а сервер видел только очищенный трафик.
Первый слой — CDN перед origin. Cloudflare, Bunny или аналог должны принимать весь публичный трафик, а не только статику. Закрой прямой доступ к VPS: origin-IP не светим в DNS, а на сервере разрешаем вход только с IP CDN. Иначе атакующий просто обходит защиту.
Второй слой — лимиты на уровне edge и сервера. Для Cloudflare включи WAF, rate limiting на логин, формы и поиск, а ещё challenge для подозрительных ASN, стран и пустых user-agent. На Nginx/Apache ставь лимит соединений и запросов, чтобы бот-сетка не съела CPU и RAM раньше кеша.
Третий слой — сайт должен переживать всплеск без PHP на каждом запросе. Статика, page cache, отдельный health-check URL без тяжёлых плагинов, отключённый XML-RPC, минимальный набор форм и комментариев. Чем меньше динамики, тем меньше точек для дешёвого flood-атаки. Для WordPress это особенно критично: тяжелые плагины DDoS не остановят, но урон усилят.
Четвёртый слой — план реакции. Должны быть заранее готовы: правило на блок страны/ASN, временное усиление challenge, выключение дорогих эндпоинтов, переключение DNS на запасной origin и список контактов хостинга. Логи сохраняй отдельно, иначе после атаки не поймёшь, где был вход.
Если у сайта нет CDN, кеша и лимитов — DDoS лечится не «мощностью», а архитектурой. Сделай так, чтобы 90% мусора отваливалось на edge, а сервер видел только очищенный трафик.
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
В Codex внедрят GPT-5.6 Ultra
OpenAI добавит в Codex эксклюзивную версию GPT-5.6 Sol Ultra — не ту, что выйдет в паблик, а отдельную, усиленную модель.
Два ключевых режима: расширенные рассуждения (модель думает дольше) и мульти-агентная работа с параллельными субагентами. Релиз ожидается 7–9 июля 2026.
Но есть один нюанс, который OpenAI пока не раскрывает 👀 Подробности — в …
➡️ Читайте на сайте: https://aff.top/blog/v-codex-vnedriat-gpt-5-6-ultra
🧠 Ещё больше инсайтов → в канале AFF.top
OpenAI добавит в Codex эксклюзивную версию GPT-5.6 Sol Ultra — не ту, что выйдет в паблик, а отдельную, усиленную модель.
Два ключевых режима: расширенные рассуждения (модель думает дольше) и мульти-агентная работа с параллельными субагентами. Релиз ожидается 7–9 июля 2026.
Но есть один нюанс, который OpenAI пока не раскрывает 👀 Подробности — в …
➡️ Читайте на сайте: https://aff.top/blog/v-codex-vnedriat-gpt-5-6-ultra
🧠 Ещё больше инсайтов → в канале AFF.top