Hosting aplikacji webowych

Krzysztof Kempiński
Jul 20 · 17 min read
Image for post
Image for post

W ramach podcastu “Porozmawiajmy o IT” miałem okazję porozmawiać z Łukaszem Gawiorem o hostingu aplikacji webowych.

Posłuchaj naszej rozmowy w wersji audio 🎧 👇

Cześć! Mój dzisiejszy gość to CMO w dhosting.pl, pasjonat branży hostingowej, z którą jest związany od ponad 13 lat. Swoje doświadczenie zdobywał, realizując kilkanaście projektów dla firm hostingowych z Polski. Między innymi: nazwa.pl zenbox.pl i zagranicy oraz tworząc własne.

Od 2016 roku związany z dhosting.pl, gdzie odpowiada za rozwój biznesu ze szczególnym naciskiem na marketing i sprzedaż. Moim i Waszym gościem jest Łukasz Gawior. Cześć, Łukasz! Bardzo miło mi gościć cię w podcaście.

Cześć Krzyśku i witam wszystkich słuchaczy!

Rozpoczniemy sobie tradycyjnym rozluźniający pytaniem: czy słuchasz podcastów, jeśli tak, to jakich najczęściej?

Okej, a przyznam szczerze nie słucham wielu. Zasadniczo, jeżeli słucham to raczej są one związane z historią, nie chciałbym rzucać jakichś konkretnych. Są to podcasty zagraniczne. Natomiast słucham ich raczej w formie jak coś muszę robić takiego, typowego prywatnie — na mieszkaniu, choćby sprzątając to lubię sobie to puścić.

To zacznijmy od takiego dosyć ogólnego pytania. Na tę chwilę można powiedzmy wyróżnić 3 takie podstawowe metody hostowania aplikacji webowych. Bo właśnie o hostingu aplikacji webowych będziemy dzisiaj rozmawiać.

Jest to dedykowany hosting współdzielony hosting powiedzmy i dajmy na to ogólnie rozumiana chmura, aczkolwiek jest też dosyć szerokie zagadnienie. Jakie zalety i wady każdego z tych rozwiązań mógłbyś wymienić?

Żeby przejść tak naprawdę do głównych typów hostingu po aplikacje webowe, myślę, że trzeba przede wszystkim się zastanowić kim jesteśmy i co chcemy tak naprawdę utrzymywać. Bo w dużej części to zależy od wiedzy, kompetencji danego człowieka czy też firmy, bo jeżeli potrafimy sobie skonfigurować dane serwera poprzez SSH i uruchomić na nich wszystko, skonfigurować, zabezpieczyć także, żeby było wszystko wydajne na końcu no to potrzebujemy wiedzy i wielu użytkowników, jak z nimi rozmawiamy, właśnie preferuje serwery, które dają po prostu dostęp do konsoli, skorupy.

A dalej — perspektywy tak naprawdę, jakie stoją przed naszym projektem, jak jakaś strona na WordPressie, którą możemy wyskalować, bo to jest PHP i MySQL czy też po prostu ta technologia może się zmienić, czy też potrzebujemy konfiguracji lub za chwilę możemy ją potrzebować. Kwestia finansów, bo hosting kosztuje od kilku do kilkuset złotych miesięcznie, jeśli wybieramy serwer dedykowany i też naszego czasu. Bo jeżeli nawet mamy kompetencje do tego, żeby to odpowiednio skonfigurować, to niekoniecznie możemy mieć na to czas albo niekoniecznie chcemy poświęcać ten czas w danej chwili na to. Lub też nie chcemy tym samodzielnie zarządzać, no bo to nie jest raczej coś, co możemy raz uruchomić i tak naprawdę o tym zapomnieć, ale często się zdarza, że musimy interweniować na tym serwerze i musimy być często w gotowości, żeby zareagować, bo nikt tego za nas nie zrobi.

Jeżeli odpowiadamy sobie na takie pytania, to tak naprawdę powoli kierujemy się w kierunku rozwiązań, które możemy wybrać. Są trzy główne serwery dedykowane, są GSy, hosting współdzielony i chmura, ale tak naprawdę jest to trochę szersze pojęcie. Dlatego, że mamy shared hosting, czyli usługę współdzieloną, gdzie jako klient otrzymujemy w pełni skonfigurowane środowisko, usługodawca oferuje nam już takie funkcjonalności jak auto instalatory czy typu , które możemy sobie zainstalować w ciągu w sumie 60 sekund z poziomu panelu zarządzania. Tutaj jednak wciąż zarządza tym w całości, odpowiada za kopie bezpieczeństwa, support jest w stanie nam coś podpowiedzieć co poprawić w CSSie, żeby strona się lepiej wyświetlała. To jest więc kierowane bardziej dla tych niedoświadczonych lub nieposiadających kompetencji lub czasu. Jest to też zdecydowanie najtańsza usługa, a w Polsce już mamy pakiety od 100 zł górę, jeśli chodzi o mniejsze firmy hostingowe. Natomiast wiadomo, w jakimś homie, nazwie, ten hosting będzie kosztował trochę więcej przy odnowieniu. Mamy DPS root, czyli takie kompletnie niezarządzane typy dostawcy i musimy samodzielnie tam wszystko skonfigurować. Mamy również kopie bezpieczeństwa, musimy o to zadbać samodzielnie.

Natomiast po prostu, jest to fajna usługa dla osób, które chcą samodzielnie wszystko skonfigurować, być może też spermentować i mieć wszystko skrojone na miarę, to oczywiście jest to popularny wybór. Są też DPS-y zarządzane, czyli manage, które często oferują jeszcze licencję na panel zarządzania, cPanel, DirectAdmin . W Polsce dosyć popularna usługa. Dostawca oferuje nam wciąż dostęp do roota, takiego serwera. Natomiast on pilnuje tego, żeby ten serwer działał, on reaguje na jakieś problemy. Także aktualizuje środowisko, jeżeli wchodzi nowa wersja PHP-a czy jakieś są luki, no to po prostu dostawca jest odpowiedzialny za to, żeby to wszystko działało sprawnie.

Jest sporo firm w Polsce, które wprowadzają taką usługę, oferują. Mamy serwery dedykowane właśnie, które w bardzo popularny w Polsce .pl oferuje także atmany i kilka innych firm, natomiast serwery dedykowane cechują się tym, że po prostu dostajemy cały serwer dla siebie, jest to usługa zdecydowanie droższa niż serwery VPS czy shared hosting. Pod względem zarządzania oczywiście bardzo podobnie serwery root. Także występuje tutaj odmiana, gdzie są one oferowane z jakąś administracją.

Mamy właśnie te mityczne chmury obliczeniowe, które są pojęciem gigantycznym i bardzo szerokim. Nawiasem mówiąc, pamiętam czasy, jak pracowałem w agencji interaktywnej kilkanaście lat temu i przyszła do nas firma, która chciała uruchomić kampanię telewizyjną i potrzebowała zapewnić infrastrukturę pod stronę internetową. Musieliśmy zamówić pod tę aplikację dwa serwery dedykowane, gdzie konieczność wtedy była zamówić te serwery z góry na rok. Kosztowało to wtedy ogromne sumy, a kampania trwała 2 tygodnie i potem ten root znacznie zmalał i nie było to kompletnie potrzebne, ale takie było otoczenie rynkowe i takie były tylko możliwości.

Bardzo ciekawy jest fakt, moment wybicia się chmur obliczeniowych, które właśnie odpowiadały de facto na takie potrzeby różnych projektów, które potrzebowały bardzo szybko dostępu do jakiejś mocy obliczeniowej.

Chmura obliczeniowa de facto jest obecnie najbardziej popularną usługą wśród dużych, dużych podmiotów. Jest ona coraz bardziej popularna w USA i świeci tam triumfy. Tak naprawdę są to w dużej części serwery VPS, które można uruchomić wszędzie, natomiast są one dostępne natychmiast, rozliczane godzinowo, więc my jesteśmy w stanie dostosować i wielkość, i rodzaj infrastruktury do swoich potrzeb. Ale wokół chmur obliczeniowych wyrosły całe ekosystemy różnych usług, które są skrojone na miarę, żeby iść na Amazon web services i zobaczyć jak szerokie jest to w tej chwili spektrum usług, które odpowiadają wszystkim potrzebom, jakie może tylko posiadać firma. Bardzo ciekawym trendem jest tam również to, że bardzo dynamicznie rozwijają się market face’y wokół takich chmur obliczeniowych, można zakupić jakieś licencje na dodatkowe oprogramowanie, które będzie po prostu bilingowane przez daną chmurę obliczeniową.

Chmura obliczeniowa de facto jest obecnie najbardziej popularną usługą wśród dużych, dużych podmiotów. Jest ona coraz bardziej popularna w USA i świeci tam triumfy. Tak naprawdę są to w dużej części serwery VPS, które można uruchomić wszędzie, natomiast są one dostępne natychmiast, rozliczane godzinowo, więc my jesteśmy w stanie dostosować i wielkość, i rodzaj infrastruktury do swoich potrzeb.

W Polsce usługa moim zdaniem jeszcze — w Polsce mamy naszego lokalnego dostawcę OktaWave. U nas przez kilka ostatnich lat nie widać większego progresu w rozwoju tej firmy, ale na świecie jest wspomniany Amazon Web Services, jest Google, Microsoft, wyrastają wokół tego nowe projekty — Digitalocean choćby.

Moim zdaniem jest to jakaś perspektywa, aby w Polsce również chmura była coraz bardziej popularna. Pokazują to choćby zapowiadane obecnie inwestycje Microsoftu i Google’a chmury w Polsce w ciągu najbliższych lat.

Ciężko mi obecnie się odnieść jak szybko stanie się powszechną usługą w Polsce tak jak w Stanach. Mamy troszeczkę doświadczeń, hosting.com w USA i będąc tam na różnych konferencjach widzimy, że nastolatkowie dosłownie wiedzą dokładnie czym jest chmura obliczeniowa, jak ona działa i są w stanie wymieniać poszczególne firmy. Dlatego że system edukacji tam działa odmiennie. Oni w szkole się uczą jak konfigurować AWSa i oni mają bardzo dobrą świadomość, w jaki sposób działają poszczególne typy usług hostingowych i mają kompetencje do tego, żeby z nimi funkcjonować.

Fajnie, żeby też wspomnieć o innych projektach, kategoriach usług hostingowych, które gdzie powstają na boku. W Polsce nie są jeszcze popularne, ale myślę, że to jest kwestia czasu. Są to takie typowe hostingi specjalistyczne — czyli hostingi WordPressu WP Engine, które zarządza całkowicie środowiskiem i jest to środowisko na którejś z chmur. Obecnie chyba głównie uruchamiają to w Google Cloud Platform.

Natomiast w pełni zarządzają swoim WordPressem, posiadają rozwiązania, które automatycznie aktualizują WordPress. Posiadają własną infrastrukturę do tego, z której pobierane są aktualizacje WordPress, więc jest to naprawdę bardzo zaawansowane rozwiązanie i też drogie dla osób, które chcą zapomnieć o środowisku WordPressowym, po prostu z niego korzystać. Są rozwiązania typu Flywheel, które są dedykowane dla freelancerów, którzy mają swoich klientów. Czyli mają uproszczone kwestie związane z zarządzaniem klientami, bilingowaniem ich. To jest takie połączenie hostingu aplikacyjnego z hostingiem resellerskim czyli po prostu jesteś w stanie oferować na bazie takiej usługi hosting dalej, w whitelabel często . Jest to też ciekawe!

A na fali chmur już stricte wyrosły też takie rozwiązania jak na przykład Crowd Twist, które oferuje w gigantycznym cudzysłowie „nakładkę” na jakąś chmurę obliczeniową, gdzie z poziomu Cloudwaysa otrzymujemy panel podobny jak dostajemy przy shared hostingu, czyli jesteśmy w stanie bardzo prosto dodać stronę internetową, ktoś pilnuje nam środowiska. Środowisko jest instalowane na Amazonie, na Digital Ocean czy też kilku innych rozwiązaniach.

Natomiast z perspektywy takiego zwykłego użytkownika jest to coś fajnego. Jakie rozwiązania wybrać? Jest to złożone. Jeżeli jest to zwykły WordPress, czyli najpopularniejsza platforma w Polsce — 70% klientów, którzy posiadają usługi hostingowe to są małe, średnie przedsiębiorstwa, więc zazwyczaj nie chcą budować kompetencji wokół administracji, więc wykorzystują jakieś rozwiązania à la shared hosting.

Tak jak wspomniałem, rozwiązania są stosunkowo tanie, kilkaset złotych rocznie. Tutaj dochodzi problem związany z zasobami. Bardzo często. Dlatego, że jeżeli jesteśmy jako provider, uruchamia się jakiś shared hosting, to musimy jakieś ograniczenia wprowadzać na użytkowników, żeby ta usługa była w stanie działać stabilnie. Jeżeli ma działać stabilnie no to jest szereg limitów, które się wprowadza i w Polsce przyjęta nazwa to są parametry bezpieczeństwa.

I w którymś momencie te parametry bezpieczeństwa którąś stronę ograniczają. No i normalny typ rozwoju użytkownika były do tej pory taki, że przechodził lub był zmuszany do przejścia na serwer VPS, gdzie, jeżeli nie jest to zarządzany serwer VPS, to w przypadku roota ktoś musi nagle szukać administratora, kupuje on panele typu DirectAdmin żeby być w stanie podobnie zarządzać tą usługą, muszą się na chwilkę roll up backup i sama cena jakby tak podsumowując na bazie naszych badań, które robiliśmy na klientach, wychodziło, że od 2500 do 3000 zł klienci na VPSach wydawali dawniej na hosting przechodząc do nas.

Dysproporcja kosztu dla zwykłego użytkownika, który korzystał. Jakiegoś hostingu, shared hostingu, gdzie płacił 300 zł netto nagle do 3000 ta kwota wyrastała, to było coś strasznego. Dlatego wymyślono już troszeczkę różne rozwiązania typu — u nas w dhostingu można dodać klasyczny web hosting i ten hosting nie posiada takich limitów bezpieczeństwa. I pozwala tak naprawdę skalować to rozwiązanie, jeżeli mamy więcej użytkowników lub też po prostu mamy kiepsko napisaną stronę, ale nie opłaca nam się jej modyfikować.

Są hostingi rozliczane też na odwiedziny. To też jest jakaś alternatywa dla osób, które potrzebują więcej zasobów.

Właśnie a propos skalowania chciałbym cię zapytać trochę o infrastrukturę. Dosyć dużo powiedziałeś już o różnicach, o tym jakie są wady, zalety danych rozwiązań, jakie potencjalne wyzwania takie rozwiązanie może rodzić — natomiast zastanawia mnie kwestia infrastruktury. Czy w firmie takiej jak wasza, która zajmuje się hostingiem w ogóle opłaca się inwestować w swój sprzęt i czy nadal praktykowana jest kolokacja, gdzie ktoś wstawia swój fizyczny serwer gdzieś do serwerowni i korzysta z całej infrastruktury firmy hostingowej?

Mam ten komfort mówienia o tym, że pracowałem w kilku firmach, które praktykowały różne modele. Serwerów dedykowanych i które były na chmurach, które posiadają własny sprzęt. Z perspektywy czasu najłatwiej byłoby oczywiście odpowiedzieć: „to zależy”. Jeśli miałbym mówić o firmach, które respektuję, to rekomendowałbym — jeśli posiada się finanse do tego, żeby móc za to zapłacić, to długofalowo patrząc własna infrastruktura w przypadku firmy hostingowej jest lepszym rozwiązaniem. Dlaczego?

W przypadku serwerów dedykowanych firma hostingowa będzie się opierała na serwerach dedykowanych, to jest zależne od dwóch, głównych kwestiach od dostawcy serwerów dedykowanych.

Pierwszą kwestią jest kwestia infrastruktury sieciowej. Przekleństwem branży hostingowej są częste DDoS-y na strony klientów i jeżeli nie jesteśmy w stanie całkowicie samodzielnie zarządzać tą infrastrukturą sieciową, to mamy problem w odpieraniu tych ataków i generalnie rozwiązywanie problemów natury sieciowej. Użytkownik nam zgłasza, że ma problemy z połączeniami do serwera ATP, ponieważ zrywa mi połączenie. Jeżeli mamy tutaj możliwość weryfikacji czegoś na poziomie sieci, to jesteśmy w stanie dodatkowy punkt ewentualnie wykluczyć w przypadku zgłoszenia problemu do klienta, a często może się zdarzyć tak, że właśnie jednak problem jest na sieci. Ale jeżeli nie posiadamy do tego dostępu to jesteśmy uzależnieni od dostawcy.

Przechodziłem różne przypadki z dostawcami serwerów dedykowanych i wiem jak potężny problem może to być, kiedy użytkownik, albo 5, 10 użytkowników nagle w sobotę wieczorem nam zgłasza, że mają jakieś problemy ze swoimi stronami, a my nie do końca jesteśmy w stanie na poziomie naszych dostępów odpowiedzieć co się dzieje. To jest jakby według mnie bardzo duży mankament firm, które oferują usługi na serwerach dedykowanych. Druga kwestia jest związana z finansami, bo to też po prostu bardziej ekonomicznym z perspektywy firmy hostingowej jest po prostu budowa własnych struktur.

Jasne.

Długofalowo patrząc wydaje mi się, że jest to po prostu optymalne i ta firma jest w stanie te środki alokować w trochę inne miejsca, w administratorów. Jeszcze takim jednym argumentem za własną infrastrukturą jest to, że bardzo często u nas praktykowane jest to, żeby podjechać do serwerowni i coś zweryfikować lub po prostu coś wymienić. I my sami jesteśmy w stanie szybko zareagować na jakieś problemy sprzętowe. Tutaj ponownie jesteśmy uzależnienie od serwerowni, jeżeli posiadamy serwer dedykowany, czy oni to wymienią czy mają na pewno na stanie jakąś część zapasową?

Jeszcze takim jednym argumentem za własną infrastrukturą jest to, że bardzo często u nas praktykowane jest to, żeby podjechać do serwerowni i coś zweryfikować lub po prostu coś wymienić. I my sami jesteśmy w stanie szybko zareagować na jakieś problemy sprzętowe. Tutaj ponownie jesteśmy uzależnienie od serwerowni, jeżeli posiadamy serwer dedykowany, czy oni to wymienią czy mają na pewno na stanie jakąś część zapasową?

Pełne zaufanie firmy, która dostarcza serwery dedykowane w mojej perspektywie jest po prostu ryzykowne i jest fajne do momentu, kiedy nie potrzebujemy zapewniać naprawdę wysokiego SLA dla naszych użytkowników.

Jeżeli potrzebujemy, no to jest to dosyć ryzykowne. Jako ciekawostkę dodam to, ze wśród moich znajomych z branży hostingowej kilku rozważało przejście na chmury obliczeniowe i po prostu aktualnie, ekonomicznie się to nie opłaca. Wychodzi to znacznie drożej, natomiast ponownie to zależy najwyraźniej, dlatego że w USA wygląda to już inaczej. Choćby największa firma hostingowa na świecie — GoDaddy jest albo w trakcie, albo już przeniosła całkowicie się na Amazona. Jest jakiś trend, który warto obserwować. Być może jeśli jakieś poziomy cen się zmienią lub też po prostu będą one bardziej dostosowane do wielkości firm z Polski albo nawet naszej, to why not? Jest to jakaś droga i pewnie jakaś perspektywa na przyszłość.

Jasne. A co byś doradził takiej firmie czy osobie, która stoi przed wyborem hosting współdzielony kontra VPS? Na czym polegają różnice i dla kogo jest każde z tych rozwiązań?

Ponownie niestety zależy, natomiast mówiąc na przykładach. Jeżeli tworzyłbym stronę firmową, to nie zastanawiałbym się i zdecydowanie poszedłbym w stronę hostingu współdzielonego, dlatego że chcę tę stronę po prostu uruchomić i płacić stosunkowo mało. Tak naprawdę nie chciałbym więcej wiedzieć.

Jeżeli tworzymy projekt, który jest już jakoś zaawansowany na zasadzie takiej, że posiada indywidualnie pisane skrypty, mamy jakieś rozszerzenia, które niekoniecznie są dostępne z poziomu hostingu współdzielonego, dostęp do różnych funkcji na poziomie PHP-a, no to tutaj musimy iść już w stronę VPS-a. Są rozwiązania, które wprost rekomendują wybór VPS-ów minimalnie, jeśli chodzi o hostingi. Na przykład Magento 2, gdzie producent wprost mówi, że to musi być VPS, bo hostingi współdzielone nie są w stanie temu po prostu sprostać.

Wszystko zależy od aplikacji. Jeżeli mamy po prostu zwykłą stronę, która jest na popularnym CMS-ie, moim zdaniem hosting współdzielony, tutaj też oczywiście mam na myśli bardziej masowy hosting, dlatego że te rozwiązania tak jak wspomniałem są już różne, a wciąż można charakteryzować je tym, że po prostu oferują pełne zarządzanie, dostęp do panelu, opiekę nad kopiami bezpieczeństwa i tak dalej.

Sam hosting współdzielony, warto nadmienić, że to jest dosyć szerokie pojęcie, dlatego że otrzymujemy infrastrukturę mailową, bazodanową, serwera UW, ktoś tu pilnuje kopii bezpieczeństwa. Jest to w miarę kompleksowe rozwiązanie dla osób, które chcą po prostu zapomnieć Bardziej bym to klasyfikował jako taki VPS, może root versus VPS zarządzany.

Jasne.

Root jest dla osób, które są świadome, mają odpowiednie kompetencje do tego, żeby skonfigurować, natomiast zdecydowana większość osób po prostu tych kompetencji nie ma. Wśród naszych klientów są też często ludzie, którzy po prostu są administratorami, ale nie chcą się w to bawić.

No tak, okej! Dzięki za te porady. Zapytam cię właśnie teraz o osoby, które zajmują się takim hostingiem czy w ogóle powiedzmy działają w branży hostingowej. Jakie role i specjalizacje można byłoby wymienić?

To zależy od poziomu wielkości firmy na tym porównaniu. Na początku takim klasycznym przykładem na start w firmie hostingowej w Polsce jest pan właściciel, który jest panem administratorem, panem od wsparcia technicznego i marketingiem zarazem. To jest takie typowe w przekroju firm hostingowych w Polsce, tych największych i mniejszych, które tak naprawdę zazwyczaj rodzą się z tego, że jest jakiś administrator, który zaczyna tworzyć hosting i w miarę upływu czasu jest coraz większe, coraz większe. Zatrudnia pierwszą osobę do supportu, do pomocy. Zazwyczaj ta osoba też jest jakimś administratorem i z biegiem lat tak naprawdę te zespoły się zwiększają.

Tak jak wspomniałem. Firma hostingowa ma dosyć szerokie kompetencje. W firmach, które są już duże oczywiście są DevOpsi, są administratorzy tacy typowi od Linuksa , są sieciowcy. Dalej — w zależności od tego, czy firma hostingowa bazuje na jakimś gotowym rozwiązaniu jak panel czy też po prostu posiada tak naprawdę całkowicie własne rozwiązania, jak na przykład nasza.

Potrzebujemy mieć szereg nie tylko administratorów, ale cały zespół deweloperski, który tak naprawdę odpowiada za to, żeby utrzymywać nasze narzędzia wewnętrzne, dostosowywać je do skali, którą mamy aktualnie, tak jak pewnie w wielu różnych firmach to, co mamy w tej chwili i to działa niekoniecznie będzie działać jak wejdzie na kolejne 10 000 użytkowników.

Z biegiem czasu to się zmienia. U nas jest zespół deweloperski, jest zespół administratorów. Jest też zespół wsparcia klienta i to nie jest też dostrzegalne z perspektywy klientów, rynku jak to w praktyce wygląda.

Support w firmie hostingowej jak nasza na przykład jest zbudowany z kilku linii i specjalizacji. Jest pierwsza linia, która ma dosyć zaawansowane pojęcie jak na klientów, natomiast jest to dość podstawowy poziom zaawansowania, gdzie użytkownicy wiedzą, rozumieją jako nasi pracownicy oczywiście.

Jak działają strony internetowe, mają jakieś podstawy procesów, HTML-a, dokładnie znają sposób i cykle życia domen i inne. Natomiast nie posiadają wiedzy z zakresów CMS-ów, więc nasi użytkownicy, jak i ogólnie w branży hostingowej dosyć zmienili swoje oczekiwania. Dawniej wyglądało to tak, że użytkownik przychodził ze stroną internetową, ponieważ ktoś mu ją stworzył. Aktualnie często użytkownicy przychodzą zainstalować stronę internetową, bo hosting to udostępnia, więc zmieniło się postrzeganie firmy hostingowej, która nie jest już po prostu infrastrukturą, a jest dostawcą tej końcowej potrzeby, jaką jest strona internetowa. Jeżeli więc poszło to w tym kierunku, no to klienci mają też oczekiwania właśnie z zakresu wsparcia tych CMS-ów. Mają pytania dosyć zaawansowane na temat WordPressów, konfiguracji, bezpieczeństwa i też oczywiście innych CMS-ów.

A myślisz, że taki dział supportu to jest coś, co lepiej jest budować wewnętrznie? Te kompetencje zatrzymując wewnątrz firmy, czy ma sens wydzierżawienie tego na zewnątrz, korzystanie z usług osobnej firmy, która taki support może świadczyć 24/7?

Myślę, że jeżeli ktoś się decyduje na zewnętrzny support, to przede wszystkim kieruje się kwestiami optymalizacji finansów. Byłoby to tańsze na początku. Natomiast nie sądzę, że to jest dobre rozwiązanie — sam akurat we własnym projekcie outsourcowałem wsparcie klienta i porównując to z housowym, miało dużo wad. To przede wszystkim zależy na kogo trafimy, natomiast jeżeli ten support miałby pokrywać 24/7, no to de facto musi być za tym supportem w praktyce wiele, wiele osób, które są w gotowości do pracy. Muszą być dostępni o różnych godzinach, sobota nie sobota, niedziela nie niedziela, muszą zareagować na ticket klienta. Żeby to było możliwe wystawiam bardzo fajną fakturę. Jest to więc bardzo, bardzo droga usługa, jeśli chodzi o outsourcowanie supportu i często po prostu zależy do kompetencji i zaufania do danej firmy.

Z mojej perspektywy nie wyobrażam sobie tego, dlatego że długofalowo chcemy, żeby nasza firma miała jakieś swoje jądro, kulturę organizacyjną. Żeby ci ludzie w coś wierzyli i przekazywali to swoim klientom. Uważam więc, że tylko i wyłącznie jesteśmy jako firma w stanie stworzyć tę kulturę organizacyjną wtedy, kiedy mamy to wszystko u siebie i sami odpowiadamy za to, w jaki sposób komunikujemy się z klientami.

Jasne! Ma to sens! Zmienię na chwilę temat na wątek, który kilka razy się przewinął. Wspomniałeś parę razy o bezpieczeństwie. Chciałem cię zapytać jaka jest skala takiego wyzwania, z czym firma hostingowa się mierzy właśnie w obszarze bezpieczeństwa i jak zapobiega się atakom?

W naszym przypadku — w rozumieniu branży hostingowej, hostingu masowego — są to przede wszystkim na ataki DDoS, na stronę klientów, ale też bezpośrednio na nas i zawirusowania stron internetowych czy też włamania na strony internetowe.

Jeśli chodzi o DDoS-y to przede wszystkim potrzebna jest kwestia związana z infrastrukturą sieciową i odpowiednie reagowanie na to. Czyli odpowiedni monitoring, być może komercyjne rozwiązania, które będą w stanie nas obronić przed takimi atakami. My te rozwiązania na przykład micujemy w dhostingu, dlatego że mieliśmy oczywiście różne wyzwania z tymi atakami i obecnie mamy to już na takim poziomie, że jeżeli jakikolwiek atak się pojawia, to infrastruktura automatycznie to wykrywa i automatycznie włącza się ochrona anty-DDoS. Nie mamy z tym już problemów, w ogóle. Natomiast wiele firm nie jest w stanie temu sprostać, dlatego, że to jest bardzo droga usługa, takiego komercyjnego ochraniania przed DDoS-ami. Tutaj ciekawostka, pewnie wielu, wielu słuchaczy grało kiedyś w Counter Strike’a i były takie fora nazywane serwerowniami. Te fora były niesamowicie często atakowane przez jakichś użytkowników — notorycznie są ataki na takie fora. Tak samo wszystko związane z TeamSpeakiem, po prostu notorycznie atakowane i pamiętam czasy jak tych wirusów było kilka tygodniowo. Na same takie fora ci użytkownicy, którzy generowali te ataki, nie odpuszczali przenigdy i trzeba było naprawdę bardzo dużo inwestować w ochranianie takiego serwisu przed tymi atakami. Tak naprawdę tutaj poruszyłem skalę, ale jest to bardzo różnie.

Czasami jest to jeden poważny atak DDoS tygodniowo, czasami jest to kilka. Czasem spotyka się bardzo dziwne ciągi przyczynowo-skutkowe, na przykład wypuszczamy jakąś nowość i wtedy zaczynają się DDoS-y. Ale tutaj, wiadomo — tylko insynuacje można snuć, ale naprawdę jest to zazwyczaj dosyć zbieżne. Jeśli chodzi o zawirusowania stron internetowych i generalnie włamania, to niestety jest to największe przekleństwo w branży hostingu masowego. Dlatego, że jak wiemy, taki typowy klient to osoba, która zamówiła kiedyś stronę internetową od jakiejś agencji albo być może zrobiła ją samodzielnie i nie jest świadoma tego jak to dokładnie działa.

Jeżeli teraz mamy w firmie hostingowej rozwiązanie, logujemy się i tam mamy autoinstalator aplikacji, klikamy WordPressa i on jest gotowy. Następnie logujemy się do już obecnie pustego narzędzia, gdzie dodajemy artykuły, wpisy, nowe strony. Instalujemy banalnie szablon. To wydaje się proste i kompletne. Natomiast jak wiemy, trzeba o to dbać. Należy przede wszystkim aktualizować wtyczki, aktualizować samego WordPRessa. Użytkownicy o tym po prostu zazwyczaj nie wiedza lub też nie chcą się tego tykać i ignorują to. To powoduje, że bardzo częstą praktyką jest to, że spotykamy się z zawirusowaniem strony. Albo to oznacza spamowanie z poziomu strony albo jakiś phishing. Przez phishing rozumiem to, że zazwyczaj do katalogu któregoś na serwerze dorzucana jest jakaś strona logowania do banku albo innego Amazona i po prostu przychodzą, na szczęście, raporty, które nas informują o tym, że takie włamanie miało miejsce, że jest taka strona phishingowa choćby poprzez abuse i my reagujemy po prostu usuwając to z FTK użytkownika albo często też odwirusowujemy całe strony, jeśli są zainfekowane pliki. Bardzo często to też występuje, że po prostu do plików jest dorzucany złośliwy kod i tak naprawdę strona użytkownika jest niezdatna do użytkowania.

Rzadziej się zdarza taka praktyka jak 10 lat temu, że byli zazwyczaj jacyś propagatorzy tureckich flag jak często się spotykało na serwisach, już jest raczej inny kierunek i raczej to podąża właśnie w stronę phishingu zazwyczaj. Jest to bardzo częsta praktyka.

Tutaj my wprowadzamy jakieś ochrony przed logowaniami się na przykład do WP admina z poziomu krajów. Użytkownik może sam zablokować logowania spoza Polski. Pracujemy też nad rozbudową własnego web application firewall, który jest w stanie blokować takie próby logowania i generalnie różne ataki na strony użytkowników.

W naszym przypadku po wdrożeniu czegoś takiego mamy kilkudziesięciu procentowy spadek różnych ataków na stronę klientów, więc jest to coś bardzo fajnego i warto, żeby firmy hostingowe w tym kierunku szły. Dlatego, że to na nas zazwyczaj spada to, w jaki sposób klient jest wyedukowany na temat tego bezpieczeństwa. Też należy pamiętać o tym, że jeżeli użytkownik posiada stronę internetową, dla przykładu — jest jakiś Mietek mechanik, który w tym momencie naprawia jakieś Audi, bo klocki trzeba wymienić, nagle jakiś hosting mu pisze, że ma włamanie to on nie wie o co chodzi po prostu i zazwyczaj wini ten hosting, bo to jest jedyny punkt styku z tą stroną internetową. Płaci raz na rok i kurczę, co wy mi tutaj zrobiliście! Przecież ja nic nie zmieniałem na mojej stronie!

Jest to więc coś bardzo powszechnego i niestety to właśnie na firmę hostingową spada odpowiedzialność często za to, żeby taką stronę uratować albo po prostu prewencyjnie zabezpieczać.

Oczywiście niestety nie jesteśmy w stanie zaktualizować zawsze strony, ale w tym kierunku to podąża.

👉 Czytaj dalej na: https://porozmawiajmyoit.pl/poit-073-hosting-aplikacji-webowych/

kkempin’s dev blog

Dev and life blog.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch

Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore

Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store