Firewall het toch gewoon. Marketing stunt volgens mij.

De server headers getuigen anders van gebrek aan kunde, innovatie en performance:

Apache/2.2.9
(Debian)
PHP/5.2.6-1+lenny16
with Suhosin-Patch
mod_ssl/2.2.9
OpenSSL/0.9.8g

- Oude PHP (sources geen excuus, DotDeb kan altijd gebruikt worden)
- Oude Debianversie (Squeeze is al lang uit, Lenny is obsolete)
- vBulletin forum op Apache (nog een oude ook) in plaats van nginx
- Geen gebruik van Varnish

Met 3 tot 5 mensen tegelijk op F5 drukken kan zelfs de site zo neerhalen.

Alsof het gebruiken van Apache altijd nadelig is. En alsof het gebruik van Varnish altijd nodig is. Soms is het voordelig om het beheertechnisch makkelijk te houden. Het Keep It Simple principe moet je altijd in oog houden.

Als de website goed draait met Apache en Varnish niet nodig heeft, dan hoeft het er ook niet tussen. Varnish kan echter inderdaad wel handig zijn als er een DDOS wordt gepleegd op je website.

Daarnaast staan de hoofdsite en het forum op 2 verschillende servers.

Qua beveiliging en performance kan het waarschijnlijk inderdaad een stuk beter. Maar hoeveel organisaties en/of beheerders besteden nou daadwerkelijk de tijd en energie om het van te voren allemaal perfect voor elkaar te hebben. Ik ben wel van mening dat het wel zou moeten, omdat je als organisatie ook de verantwoordelijkheid hebt om dat te doen en omdat het veel minder geld kost dan achteraf de rotzooi op te ruimen. Maar in de praktijk komt dat veel te weinig voor. Meestal gebeurt het als het "moet".

Wat een goede zet zou zijn binnen de webhosting wereld. Een goede en veilige controlpanel die een kant en klare server voor je installeert die rekening houdt met dat soort dingen. Dus opties heeft met een varnish proxy, nginx server, web application firewall, iptables, chrooted/jailed software, database firewall, goede beveiligingsupdates, nieuwe software, updatebaar zonder kapot te gaan, etc.

Tot die tijd ga je dit soort dingen blijven krijgen, omdat het anders veel te veel beheerstijd gaat kosten. Zeker in deze financiële crisis.

"Tot die tijd ga je dit soort dingen blijven krijgen, omdat het anders veel te veel beheerstijd gaat kosten. Zeker in deze financiële crisis."

Dus vanwege de crisis moet je je website maar niet goed onderhouden, en meer financieel risico voor lief nemen (zowel voor jezelf als ondernemer, als voor de klanten aan wie je je produkten en/of diensten wilt verkopen) ? Ik zou niet graag spullen kopen van een webshop waar men zo'n mentaliteit heeft, aangezien ik mijn gegevens daar liever niet achter laat.

Je zet toch ook niet vanwege de crisis een slecht slot op je winkel, zodat inbrekers zo binnen zijn, en je laat een beveiligingssysteem toch ook niet achterwege, omdat een inbraak dan veel te laat wordt opgemerkt ?

Ik ben het ook niet met die houding eens. Ik vind dat je je verantwoordelijkheid moet nemen als bedrijf zijnde en dat soort dingen gewoon op orde moet hebben. En dus die tijd eraan moet besteden. Ik schets alleen dat de praktijk vaak anders is, vanwege kosten. Ben er alleen niet mee eens.

@Hans van Eijsden

Zoals een aantal andere Linux distributies doet Debian aan backport patching, ze houden een oude versie, maar patchen die met nieuwere patches. Dat is erg irritant voor mensen die moeten controleren of een Debian installatie wel alle security patches heeft.

Dat weet ik en dat ben ik met je eens, maar er zit "Lenny" in het versienummer. De security-support in Debian Lenny (5.0) is gestopt op 6 februari 2012.
Daar komt bij dat de backport-patching niet de performance- en featureverbeteringen van nieuwere versies brengt, maar alleen de security patches.