DevOps / Administrator systemów do przeniesienia i zabezpieczenia strony WordPress

Szukamy doświadczonego inżyniera DevOps lub administratora systemu do jednorazowego projektu z możliwością dalszego wsparcia technicznego.

Mamy główną stronę komercyjną na WordPressie. Obecnie jest ona hostowana na wspólnym serwerze, ostatnio borykamy się z rosnącą liczbą zapytań botów oraz potencjalnymi atakami DDoS. Należy przenieść stronę na oddzielny serwer i zbudować podstawową, niezawodną i zabezpieczoną infrastrukturę.

Główne zadanie:

1. Przeprowadzić krótki audyt obecnej infrastruktury strony i zaproponować optymalną konfigurację serwera.
2. Wybrać i skonfigurować oddzielny VPS/VDS lub serwer dedykowany u wiarygodnego dostawcy z odpowiednią ochroną na poziomie sieci.
3. Bezpiecznie przenieść stronę WordPress, bazę danych, pliki, certyfikaty SSL, pocztę oraz niezbędne integracje bez utraty danych i z minimalnym przestojem.
4. Skonfigurować Cloudflare:
   • DNS i proxy ruchu;
   • SSL/TLS;
   • WAF / zasady ochrony;
   • ograniczenie liczby zapytań dla krytycznych stron;
   • ochrona przed botami, brute-force i atakami HTTP/DDoS;
   • oddzielny tryb szybkiego wzmocnienia ochrony podczas ataku.
5. Zamknąć bezpośredni dostęp do serwera źródłowego:
   • serwer nie powinien być dostępny bezpośrednio z internetu, aby obejść Cloudflare;
   • zezwolić na ruch HTTP/HTTPS tylko z Cloudflare lub wdrożyć inne uzasadnione bezpieczne rozwiązanie;
   • ograniczyć dostęp do SSH, skonfigurować klucze dostępu, zaporę sieciową oraz ochronę przed brute-force.
6. Skonfigurować część serwerową:
   • Nginx lub inny uzasadniony stos webowy;
   • PHP, MySQL/MariaDB, caching;
   • podstawowa optymalizacja wydajności WordPress;
   • prawidłowe uprawnienia do plików;
   • ochrona i logowanie błędów.
7. Skonfigurować automatyczne kopie zapasowe:
   • oddzielnie baza danych i pliki;
   • przechowywanie kopii zapasowych poza głównym serwerem;
   • zrozumiały proces przywracania strony w przypadku awarii.
8. Skonfigurować monitoring:
   • dostępność strony;
   • obciążenie serwera;
   • użycie dysku, pamięci i CPU;
   • powiadomienia w Telegramie lub innym uzgodnionym kanale w przypadku krytycznych problemów.
9. Przekazać dostęp, dokumentację i krótką instrukcję dla naszego specjalisty IT:
   • schemat infrastruktury;
   • gdzie jest hostowana strona;
   • dostępy i zasady ich przechowywania;
   • procedura aktualizacji, tworzenia kopii zapasowych i przywracania;
   • lista skonfigurowanych zasad Cloudflare i zapory sieciowej.

Ważne:

• Nie potrzebujemy formalnego "przeniesienia plików". Należy zbudować zabezpieczoną, zrozumiałą i łatwą do utrzymania infrastrukturę.
• Wymagane doświadczenie z serwerami Linux, Nginx, WordPress, MySQL/MariaDB, Cloudflare, WAF, zaporą sieciową, kopiami zapasowymi oraz ochroną przed botami/DDoS.
• Doświadczenie w zabezpieczaniu komercyjnych stron WordPress z zauważalnym ruchem będzie dodatkowym atutem.
• Prosimy nie proponować zbędnych drogich rozwiązań bez wyjaśnienia ich zasadności dla naszego skali.

Oczekiwany rezultat prac:

• strona stabilnie działa na oddzielnym serwerze;
• wszystki ruch zewnętrzny przechodzi przez Cloudflare;
• bezpośredni dostęp do serwera źródłowego jest zamknięty;
• skonfigurowane WAF, ograniczenie liczby zapytań, podstawowa ochrona przed botami oraz ochrona strefy administracyjnej;
• istnieją niezależne kopie zapasowe oraz sprawdzony scenariusz przywracania;
• jest monitoring i powiadomienia;
• przekazano wszystkie dostęp i dokumentację;
• przed rozpoczęciem prac uzgodniono plan migracji oraz plan wycofania w przypadku problemów.

W odpowiedzi prosimy podać:

1. Twoje doświadczenie z podobnymi projektami WordPress.
2. Przykłady skonfigurowanej infrastruktury lub krótki opis podobnego przypadku.
3. Jaką architekturę zaproponowałbyś dla jednej głównej strony WordPress i dlaczego.
4. Czy według Ciebie potrzebny jest load balancer na pierwszym etapie.
5. Orientacyjną wartość prac, czas realizacji oraz warunki dalszego wsparcia.
6. Jakie ryzyka widzisz podczas migracji i jak planujesz je zminimalizować.