Как бороться с нагрузкой при зажатии F5 на wp-login?

Question

[TraiDeR]

Здравствуйте! Имеется VPS за 5$ от DigitalOcean, на нем работает несколько сайтов с общей посещаемостью около около 3к хостов с сутки. Установлен nginx + php-fpm. Настроен fastcgi cache. При просмотре контента сайтов, нагрузка на процессор незначительная.

Если зажать F5 на странице с контентом, сервер особо ничего не почувствует, так как страница будет отдана из кэша, однако если зайти на страницу wp-login.php и зажать f5 там, нагрузка на процессор возрастёт до 100% и в htop появится сразу несколько процессор php-fpm.

Навыков в настройке серверов у меня, к сожалению, недостаточно, могу что-то сделать по гайду, но не более. Вопрос вот в чем, можно ли что-нибудь сделать, чтобы пользователь при обращении к странице wp-login.php не мог положить мой сервер зажатием клавиши f5? Читал на тостере похожий вопрос, там рекомендовали установить WP-FFPC, но не знаю поможет ли он мне в этом вопросе? Подскажите пожалуйста, может есть какие-то решения, примеры конфигов и т.п.

UPD: Конфиги NGINX и хост одного из сайтов.
nginx.conf:

user www-data;
worker_processes 1;
pid /var/run/nginx.pid;

events {
	worker_connections 768;
	# multi_accept on;
}

http {
	client_max_body_size 20M;
	sendfile on;
	tcp_nopush on;
	tcp_nodelay on;
	keepalive_timeout 65;
	types_hash_max_size 2048;
	server_tokens off;

	#Limit Request
	limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
	limit_req_status 444;

	server_names_hash_bucket_size 64;
	# server_name_in_redirect off;

	include /etc/nginx/mime.types;
	default_type application/octet-stream;

	access_log /var/log/nginx/access.log;
	error_log /var/log/nginx/error.log;

	gzip on;
	gzip_disable "msie6";
	gzip_types text/css text/x-component application/x-javascript application/javascript text/javascript text/x-js text/richtext image/svg+xml text/plain text/xsd text/xsl text/xml image/x-icon;
	# gzip_vary on;
	gzip_proxied any;
	gzip_min_length 1100;
	gzip_comp_level 3;
	gzip_buffers 16 8k;
	gzip_http_version 1.0;
	#gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

	#Nginx Helper Wordpress
	fastcgi_cache_path /home/server/nginx-cache levels=1:2 keys_zone=WORDPRESS:10m inactive=30m; 
	fastcgi_cache_key "$scheme$request_method$host$request_uri";
	fastcgi_cache_use_stale error timeout invalid_header http_500;	
	include /etc/nginx/conf.d/*.conf;
	include /etc/nginx/sites-enabled/*;
}

Хост сайта:

server {
	listen   80; 
	server_name site.name www.site.name;
	
	root /home/server/htdocs/site.name/www;
   	
	access_log /home/server/logs/site.name/nginx.access.log;
	error_log /home/server/logs/site.name/nginx.error.log;
	index index.php index.html index.htm;

	#request
	location = /wp-login.php {
		limit_req zone=one burst=1 nodelay;
		include fastcgi_params;
		fastcgi_pass unix:/var/run/php5-fpm.sock;
		limit_req_status 444;
	}

        #Enable Browser Cache
	location ~* \.(jpg|jpeg|gif|png|ico|css|pdf|ppt|txt|bmp|rtf|js)$ {
       		access_log off; 
		expires 30d;
		#add_header Pragma public;
  		#add_header Cache-Control "public, must-revalidate, proxy-revalidate";
	}

	#Block HotLink
	location ~ \.(jpeg|png|gif|jpg)$ {
		valid_referers none blocked site.name *.site.name;
		if ($invalid_referer) {
		return 403;
		}
	}	

	error_page 404 /404.html;
	error_page 500 502 503 504 /50x.html;
	location = /50x.html {
		root /etc/nginx/error;
	}
	
        #Nginx Helper
	set $skip_cache 0;

	# POST requests and urls with a query string should always go to PHP
	if ($request_method = POST) {
		set $skip_cache 1;
	}   
	if ($query_string != "") {
		set $skip_cache 1;
	}   

	# Don't cache uris containing the following segments
	if ($request_uri ~* "(/wp-admin/|/xmlrpc.php|/wp-(app|cron|login|register|mail).php|wp-.*.php|/feed/|index.php|wp-comments-popup.php|wp-links-opml.php|wp-locations.php|sitemap(_index)?.xml|[a-z0-9_-]+-sitemap([0-9]+)?.xml)") {
		set $skip_cache 1;
	}   

	# Don't use the cache for logged in users or recent commenters
	if ($http_cookie ~* "comment_author|wordpress_[a-f0-9]+|wp-postpass|wordpress_no_cache|wordpress_logged_in") {
		set $skip_cache 1;
	}
	
	location ~ .php$ {
		try_files $uri =404; 
		include fastcgi_params;
		fastcgi_pass unix:/var/run/php5-fpm.sock;
		fastcgi_cache_bypass $skip_cache;
	        fastcgi_no_cache $skip_cache;
		fastcgi_index index.php;
		fastcgi_cache WORDPRESS;
		fastcgi_ignore_headers Cache-Control Expires Set-Cookie;
		fastcgi_cache_valid 200 301 202 404 60m;
	}
	
	location ~ /purge(/.*) {
	    fastcgi_cache_purge WORDPRESS "$scheme$request_method$host$1";
	}	
	
	#WORDPRESS conf
	location / {
	try_files $uri $uri/ /index.php?$args;
	}
	location = /favicon.ico {
		log_not_found off;
		access_log off;
	}
	location = /robots.txt {
		allow all;
		log_not_found off;
		access_log off;
	}
	location ~ /\. {
		deny all;
	}
	location ~* /(?:uploads|files)/.*\.php$ {
		deny all;
	}
	
	rewrite /wp-admin$ $scheme://$host$uri/ permanent;	
}

Answer 1

[Максим Дунин]

Судя по:

location = /wp-login.php {
    limit_req zone=one burst=1 nodelay;
    include fastcgi_params;
    fastcgi_pass unix:/var/run/php5-fpm.sock;
    limit_req_status 444;
}

в приведённом конфиге, вы уже знаете, как правильно решать эту проблему (или это был ваш предшественник?). Использование limit_req - правильный путь, но, видимо, он используется не для всех важных ресурсов. Проще всего применить limit_req для всех обращений к php, выставив достаточно большой burst:

location ~ \.php$ {
    limit_req one burst=30 nodelay;
    ...
}

При этом rate в limit_req_zone можно бы и опустить, скажем, до 5r/m, т.к. редкий настоящий пользователь способен просмотреть более 30 страниц подряд, тратя при этом менее 15 секунд на страницу. Но при этом важно убедиться, что во всех использующих эту зону limit_req'ах установлен разумный burst, а не 1.

Подробнее про limit_req можно прочитать в документации.

(Отмечу в скобках, что в вашем конфиге отсутствует "\" перед "." в "location ~ .php$", в результате в location могут попасть не относящиеся к нему запросы, т.к. просто точка в регулярном выражении - это любой символ.)

Comments

[TraiDeR]

Спасибо большое за развернутый ответ. Дело в том, что я ранее искал решение и нашел информацию о limit_req. Изучая, я прочел, что такое решение может плохо сказаться на пользователях которые сидят за NAT. Что вы думаете по этому поводу? Не получится ли так, что применив limit_req ко всем обращениям к php я осложню жизнь рядовому пользователю?

[Максим Дунин]

TraiDeR: при использовании больших значений burst - шансов как-то задеть реальных пользователей даже в случае NAT практически нет, а при rate=1r/s и подавно. Если опасаетесь негативных последствий - посчитайте по логам максимальные достигаемые значения burst, это должно дать хорошее представление о реальных цифрах, которые стоит использовать в вашем случае.

[TraiDeR]

Максим Дунин: Спасибо за помощь!

Answer 2

[sim3x]

nginx.org/en/docs/http/ngx_http_auth_basic_module.html
для location /wp-admin

Comments

[TraiDeR]

Спасибо. Вариант хороший, однако не подходит для сайта, который подразумевает регистрацию пользователей и их авторизацию на странице wp-login.php.

[sim3x]

TraiDeR: тогда проще увеличить php-fpm пул

[TraiDeR]

sim3x: Спасибо, попытаюсь поискать что-нибудь по этому вопросу.

[sim3x]

TraiDeR: поиграть с nginx.org/en/docs/http/ngx_http_limit_req_module.html уже в location

Answer 3

[ТыжСисАдмин]

там рекомендовали установить WP-FFPC

А попробовать и выяснить?

какие-то решения, примеры конфигов и т.п.

Для начала бы увидеть ваш конфиг nginx

Comments

[TraiDeR]

Спасибо за Ваш ответ. Я пытался установить, но не понял как правильно настроить конфиг, чтобы это с моими настройками. Мой конфиг nginx, добавил в вопрос.