春节休息期间明月有接了几个服务器代运维的业务,期间就发现不少新手站长们还在用 17ce、站长工具等等这些网站测速工具来评判站点访问速度的,感觉很有必要给大家聊聊这个事儿,因为这毕竟也是一个涉及服务器安全的一个重要环节了。
其实,有关网站测速工具,早年间明月也有过专门文章推荐过(可参考【推荐两个实用的站长必备的网站测速工具!】一文),不过那都是六七年前的事儿了,最近两年明月几乎都没有用过,无论是自己的博客站点还是客户代运维服务器上的站点都没有,因为明月衡量站点速度一般都是通过浏览器“开发者工具”的 Waiting (TTFB)指标来判定的,在【优化 WordPress 网站速度需要关注的重要指标:Waiting (TTFB)】一文里有专门的介绍的。因为 Waiting (TTFB)指标可以精确的获取到页面、页面元素甚至每个请求链接的速度,更加的科学和准确,毕竟你啥站点都是要经过浏览器来访问的嘛!浏览器才有最终的话语权来评判站点载入速度的,不是吗?
通过浏览器的“开发者工具”——网络里就可以在“计时”里看到实时载入速度了,并且非常的详细
至于为啥说让大家少用点儿网站测速工具的一个主要原因就是目前的这些在线网站测速工具唯一能带来的效果就是——招蜂引蝶。会给你的站点带来很大的安全隐患,最重要的是测试结果并不具备多大的参考性,就像用 17ce.com 测试明月的博客 www.imydl.com 结果几乎都是全国飘红,而您实际访问的速度体验并不慢!
这样的测速结果和实际访问体验的差距就能说明测速工具的效果几乎是没有的
造成这样的原因其实很简单,那就是我的服务器安全防御规则里拦截这类测速工具的请求,因为多次在日志分析里发现这类网站测速工具每次测速几乎相当于一次小规模的低频 CC 攻击了,如果频繁的有针对性的多测速几次不亚于一次小量的 DDoS 攻击了都,因为这类网站测速工具的原理其实就是借助大量遍布各地的免费 IP 节点同时请求站点后反馈回来的数据汇聚而成的,理论上是没有啥问题的,有问题的就出在大量遍布各地的免费 IP 节点上了,免费的 IP 节点质量、安全性是肯定没有保障的,“免费才是最贵”道理大家应该都清楚。这些大量遍布各地的免费 IP 节点里有几个被控制的肉鸡的话,就是在变相的收集站点信息了,甚至无成本的获得新上线站点信息,然后可以拿来恶意扫描找出漏洞进行后门、木马入侵、 DDos/CC 技术测试等等手段,这就是很多新手站长们比较疑惑的为啥新站上线没几天就会被攻击、入侵、扫描啥的一个原因了,至少明月代运维客户里不少就是因为这个给自己站点“招蜂引蝶”不少不必要的、长期的麻烦。
所以,明月建议站长们尽量少用网站测速工具,那怕少用网站测速工具测试自己站点呢!明明你每天必用的浏览器就能科学、安全的完成网站测速。为啥非要去给第三方上赶着汇报你的站点呢?理论上目前几个主流的浏览器,如:Firefox、Google Chrome、Edge 都可以借助“开发人员工具”来实现获取 Waiting (TTFB)指标测试出站点载入速度的,具体可以参考众多浏览器开发者工具教程了解学习即可,并且保证会有“意外惊喜”收获的。
至于恶意扫描、暴力破解、非人类请求、低频 CC 攻击、入侵、后门木马植入等等对站点、服务器的影响,有些站长会说几乎看不到影响,明月要提醒的是放任不管的话,早晚有一天你会为此交智商税的,最明显的就是等你好不容易积累了一批忠实访客的时候就会发现服务器会频繁出现拥堵、负载飙升、流量告急,更严重甚至会让你的站点打开速度严重下降,土豪一点儿站长这时候一般都是直接花钱升级服务器配置来应对,殊不知你花的钱,忠实的访客并不是受益者,换来的都是更猛烈、更频繁的恶意请求和攻击了。
总之,一句话就是会大大的增加你的维护成本,直到你撑不下去的时候。上述这些都是明月在代运维服务器的时候经常碰到和经历的,并非凭空臆想捏造出来的,甚至可能就在你的服务器上正在发生着呢!