Capire quali server sono più adatti per un CMS

[LuckySevenRoX]

salve, mi sto avvicinando piano piano al mondo dei cms..
Ho provato a installare e configurare alcuni cms tra i più famosi (come wordpress e joomla) tanto per arricchire le mie conoscenze.. ho avuto qualche difficoltà in più con magento e simili perchè necessitano comunque di server un pò più "tosti"..

dopo questa piccola premessa vi espongo il mio problema: oltre alla configurazione e all'installazione, come faccio a diventare "esperto" nell'implementazione di questi CMS? nel senso, come faccio a capire quale server mi conviene utilizzare (soprattutto per gli e-commerce) o viceversa quale cms è più adatto ad un certo tipo di server? su internet trovo o esempi troppo specifici oppure niente..

oltre a questo quali altri punti devo focalizzare per bene? (anche per gli e-commerce)

sono un programmatore PHP e ho sempre lavorato creando applicazioni ad hoc, ormai però i CMS più famosi hanno preso il sopravvento e spesso mi richiedono di lavorare su questi.. per questo vorrei garantire le migliori prestazioni.

Ovviamente ho già dato uno sguardo alle documentazioni ufficiali dove disponibili.

grazie

[GagliardiD]

Ciao,

il tipo di CMS non è l'unico parametro con cui scegliere il server ottimale, bisogna valutare anche quanti e quali contenuti verranno inseriti e la mole del traffico che il sito potenzialmente genererà.

Per quanto riguarda l'ecommerce la scelta è ancora più delicata perchè sia il seo che la user experience giocano un ruolo ancora più fondamentale per raggiungere l'effettiva conversione, ed avere un negozio lento penalizza i risultati finali di entrambi gli aspetti.

Magento, come avrai potuto notare, almeno a livello open source è il cms più completo e strutturato ed è adatto anche a grandi progetti, senza necessariamente utilizzare la versione enterprise, ma ha come contro il fatto di essere molto lento se non supportato da un server adeguatamente configurato.

Per esperienza ti posso dire che in Italia, fino ad ora, non ho trovato offerte di livello, ed affidarsi a server dedicati, piuttosto che a servizi cloud (ad es. Amazon ec2) permette di migliorare sensibilmente la situazione ma, se non si ha l'opportuna esperienza sistemistica, non si ottengono comunque tempi di caricamento della pagina eccellenti.

Per questo motivo mi sono mosso per proporre un servizio di alto livello, ottimizzato con Magento come punto di riferimento, ma in grado di garantire, di conseguenza, ottimi benefici anche agli altri cms, ad un costo relativamente basso.

Se sei interessato puoi dare un occhio qui , purtroppo non c'è ancora stato il tempo per realizzare un sito più completo e ricco di informazioni, ma puoi contattarmi senza problemi per tutte le domande in merito.

[zedr]

Ciao!

Al di la delle prestazioni, mettere un sito di e-commerce su uno spazio di shared hosting e' poco professionale, sopratutto dal punto di vista della sicurezza dei dati sensibili (anagrafica dei clienti, numeri di carte di credito, etc).

L'ideale e' partire con un VPS di piccole dimensioni ed espanderlo man mano che i clienti e le esigenze aumentano. Su uno o piu server virtuali andresti ad installare il tuo stack.

Chiaramente devi avere competenze sistemistiche per poterlo gestire, oppure affidarti ad un servizio che comprenda la manutenzione e gestione sistemistica della macchine.

In Italia vi sono numerosi provider che lavorano molto bene in questo ambito.

[GagliardiD]

Il concetto che un vps sia più sicuro di un hosting condiviso a mio avviso è opinabile, se gli ambienti di un servizio condiviso sono ben configurati ed isolati problemi non ce ne sono, al tempo stesso anche un vps dev'essere ben configurato per evitare di essere facilmente "bucabile".

Per quanto riguarda il discorso delle carte di credito, per poterle salvare sul proprio server occorre essere pci compliant, sia a livello applicativo che sistemistico. Detto questo, essendo un intervento piuttosto oneroso (ad es. Magento Enterprise è pci compliant mentre la community no), sono davvero pochi gli ecommerce che salvano i dati della carta di credito, di solito indirizzano a gateway esterni, alcuni in maniera silent, altri con un effettivo redirect, anche i nomi più conosciuti cercano di evitare questo tipo di complicazione quasi inutile.

[zedr]

Originariamente inviato da GagliardiD
Il concetto che un vps sia più sicuro di un hosting condiviso a mio avviso è opinabile, se gli ambienti di un servizio condiviso sono ben configurati ed isolati problemi non ce ne sono, al tempo stesso anche un vps dev'essere ben configurato per evitare di essere facilmente "bucabile".

Dipende dalla tecnologia di virtualizzazione. Soluzioni di paravirtualizzazione o virtualizzazione completa di classe enterprise (VMware ESX/ESXi o Xen) offrono un isolamento completo della macchina virtuale, con un grado di protezione paragonabile ad una macchina fisica.

Per quanto riguarda l'hosting condiviso, se avessi una monetina per ogni volta che ho sentito parlare o letto della compromissione della sicurezza di un intero ambiente di shared hosting a causa di una vulnerabilità su un singolo virtual host, potrei comprarmi un intero datacenter (o quasi).

Banalmente, un sistemista dell'ISP con privilegi di root, in grado di accedere alla macchina per aggiungere o rimuovere virtual-host, ha un accesso illimitato ai tuoi dati. In un ambiente virtualizzato con hypervisor, le credenziali di accesso possono essere tenute segrete all'ISP, e con la crittazione del filesystem il livello di sicurezza dei dati e' ancora maggiore.

Di fatto, in un ambiente virtualizzato le risorse vengono gestite dall'Hypervisor, che può garantirle se il contratto lo prevede, mentre le macchine virtuali possono comunicare solo tramite virtual switch in una vlan. Il grado di sicurezza e' di svariati ordini di grandezza superiori rispetto al classico shared hosting.

Oltre alla questione della sicurezza, una singola macchina virtuale, con risorse ridotte in partenza, ha un costo complessivo di gran lunga minore a una macchina fisica.

[GagliardiD]

A meno che tu non ti affidi a sistemisti diversi per ogni macchina virtuale, il problema è identico dandogli l'accesso di root alle varie macchine.

Vero è che se ti bucano un hosting condiviso (ad esempio riescono ad entrare come root) possono fare più danni che su una vps, ma questo non significa che sia più semplice bucare una vps rispetto che un hosting condiviso.

Quello che voglio dire, meglio un condiviso ben protetto che un vps all'acqua di rose. Se ben protetti entrambi il vps è potenzialmente meno pericoloso, non tanto per il singolo sito hostato, ma perchè se viene bucato quello, rimane bucato solo quello.

[zedr]

Originariamente inviato da GagliardiD
A meno che tu non ti affidi a sistemisti diversi per ogni macchina virtuale, il problema è identico dandogli l'accesso di root alle varie macchine.

In tal caso le macchine le gestisco io o un mio collaboratore, monitorando ogni intervento.

In un ambiente di hosting condiviso non detengo mai le credenziali di root. Dispongo solamente di un accesso non-privilegiato raggiungibile tramite FTP o WebDAV. L'ISP detiene le credenziali di root, in genere accessibili all'ultimo dei suoi sistemisti junior. Va bene per un blog o un sito istituzionale, ma non mi sognerei mai di affidare a un sistema del genere dati sensibili. Non ho alcuna garanzia o controllo.

Piuttosto scelgo un dedicato o un server virtuale. In quest'ultimo caso le credenziali di root le tengo io. Se l'ISP decide di riavviarmi la macchina e usare un live cd per montare le partizioni dei miei dati ed esaminarle, molto probabilmente ne accorgerei e partirebbe subito la denuncia. Con un filesystem criptato, anche questo pericolo viene meno.

Non c'e' proprio alcun paragone.

Originariamente inviato da GagliardiD
Vero è che se ti bucano un hosting condiviso (ad esempio riescono ad entrare come root) possono fare più danni che su una vps, ma questo non significa che sia più semplice bucare una vps rispetto che un hosting condiviso.

Quello che voglio dire, meglio un condiviso ben protetto che un vps all'acqua di rose. Se ben protetti entrambi il vps è potenzialmente meno pericoloso, non tanto per il singolo sito hostato, ma perchè se viene bucato quello, rimane bucato solo quello.

Mi riferisco alla sicurezza contro le tecniche di intrusione che sfruttano vulnerabilità sullo stack applicativo. E' piu' facile violare la sicurezza di un sito passando per un altro virtual host con una versione vulnerabile di Joomla o Wordpress (per citare i soliti noti), piuttosto che scoprire un zero-day che compromette la sicurezza di un hypervisor.

[GagliardiD]

ah ok, mi sa che stiamo dicendo la stessa cosa, ma in maniera diversa...

anch'io non mi fido assolutamente degli hosting condivisi, io stavo parlando di hostare più siti su server fisici (o virtuali) che gestisco IO con i MIEI sistemisti, invece che dedicare un server ad ogni cliente

per quanto riguarda le eventuali falle dei cms, come ti dicevo, se configurato opportunamente lo stack lamp ed i permessi dei files possono essere limitate

[LuckySevenRoX]

Grazie a tutti per le risposte, comunque vorrei sapere come posso "trovare" le informazioni tecniche di cui avete parlato, ovvero vorrei avvicinarmi alle conoscenze di un sistemista (generalmente sono un programmatore, quindi vorrei farlo per avere anche un'altro tipo di infarinatura a livello tecnico). Esiste qualche guida che riassume un pò di tutto? Altrimenti quali argomenti mi consigliate di guardare?