Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Wordfence 2016

983 Aufrufe

Veröffentlicht am

Co se tento rok změnilo v bezpečnostním pluginu Wordfence a jak to nastavit.

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

Wordfence 2016

  1. 1. @smitka Lynt services s.r.o. Infrastruktura Webová řešení Marketing Wordfence 2016 „co se změnilo a jak to nastavit“ Vláďa Smitka https://lynt.cz
  2. 2. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Nejviditelnější změny • Nová funkce „Firewall“ pro filtrování podezřelých dotazů. • Vylepšené scanování souborů webu. • Odstranění cachovacích funkcí. Velmi důležité nastavení Užitečné nastavení Značení v prezentaci: Nastavení ke zvážení* *Může mít vedlejší efekty – nižší výkon, blokace běžných akcí, generování mnoha mailů…
  3. 3. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Po instalaci Yes – nastaví se automatické aktualizace pluginu Use My Email Address – na email vašeho uživatelského jména se budou zasílat notifikace při problémech Web Application Firewall – nastavíme později (Dismiss) *vše lze nastavit později
  4. 4. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní nastavení Povolí možnost omezovat provoz, detailně se nastaví níže, bez zaškrtnutí to nebude fungovat Povolí možnost blokovat chybná přihlášení a další věci týkající se přihlašování, detailně se nastaví níže, bez zaškrtnutí to nebude fungovat Bude sbírat a ukazovat real-time statistiky o provozu „Live Traffic“ – kdo kam přistupuje, kdo se pokusil přihlásit, kdo se dostal na stránku s chybou 404… Zaškrtnutí může trochu zpomalit web (logování generuje poměrně hodně zápisů do databáze)
  5. 5. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní nastavení Bude provádět pravidelné bezpečnostní scany souborů webu na přítomnost malware a testy dostupných aktualizací Umožňuje vybrat způsob určení reálné IP adresy návštěvníka – první volba je často dostatečná, pokud však používáte nějakou předřazenou cache (např. Cloudflare), můžete zvolit potřebnou volbu. Že potřeba toto nastavení upravit poznáte např. z Live Traffic, když u všech návštěvníků ukazuje stejnou IP adresu. Povolí automatické updaty Wordfence
  6. 6. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Mailové notifikace Bude upozorňovat i na dostupné updaty Pošle upozornění jen, když se admin přihlásí z nového místa Pro weby s menším počtem uživatelů je dobré vědět, že se přihlásili i další uživatelé – např. šéfredaktor, který má také poměrně vysoká práva
  7. 7. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Týdenní report Bude posílat jednou týdně (denně/měsíčně) report o tom, co se ve všem WP děje: • nejčastěji blokované IP, země, uživatelské jména • změněné soubory • dostupné aktualizace Složky vyjmuté s hlídání změn, typicky: cache, logy, zálohy
  8. 8. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Skenování Pokud používáte HTTPS (snad ano), tak otestuje náchylnost serveru ke zranitelnosti HeartBleed – tento test si můžete udělat sami na https://filippo.io/Heartbleed/ Test dočasných souborů, které vznikají například při ruční úpravě souborů na serveru, zda neobsahují citlivé informace Test souborů karantény různých antivirových nástrojů na serveru
  9. 9. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Omezování provozu Nastavení s minimem negativních dopadů pro běžné weby. Po otestování (podle Live Traffic) lze nastavit přísněji.
  10. 10. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Přihlašování Okamžitě zablokuje uživatele, když se pokusí přihlásit se pod neexistujícím uživatelem = zkouší odhadnout uživatelská jména (při překlepu však zablokuje i regulérní uživatele) Nástraha – blokace pokud někdo zkusí uživatele admin (váš uživatel by se admin neměl jmenovat), aplikuje se pokud nechcete blokovat všechny neexistující uživatele Blokace vyčítání uživatelských jmen pomocí ?author=1, z /wp-json/wp/v2/users a z /wp- json/oembed/1.0/embed u existujících článků
  11. 11. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Další nastavení Vložení vlastní IP pro prevenci proti nechtěnému zablokování, zjištění např. na http://ip.lynt.cz Skrytí verze WP, existují však pokročilé metody, které verzi zjistí bez možnosti se proti tomu rozumně chránit Blokace mnoha jednoduchých robotů, může však zablokovat i regulérní uživatele, pokud používají různé anonymizační nástroje Porovná odkazy v komentářích proti Google Safe Browsing Využití aktuálního seznamu útočících adres Blokace spouštění PHP ve složce uploads, ve výjimečných případech může kolidovat s některými pluginy
  12. 12. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Live Traffic
  13. 13. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Web Application Firewall (WAF) • Blokuje útoky podle známých vektorů – vzorků útoků. • O jejich aktualizaci se stará team Wordfence. • Po aktivaci je v učícím módu (standardně 7 dní) – v tomto módu je dobré vyzkoušet všechny funkcionality webu – komentáře, widgety, vytvoření obsahu, funkce pluginů • Pokud by nějaká běžná funkcionalita mohla způsobit blokaci, bude vytvořena výjimka • Během učícího módu není web chráněn pomocí WAF
  14. 14. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WAF aktivace – Basic mód Stav WAF Mód ochrany Povolené vektory
  15. 15. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WAF – Extended mód V Basic módu chrání WAF pouze dotazy, které jdou přes jádro WP. Extended mód chrání všechny PHP soubory. Je třeba úprava php.ini - mnoho hostingů to neumožňuje, některé to umožňují v .htaccess, jiné v administraci Přidává se direktiva auto_prepend_file, která před všechny PHP soubory vloží kód s filtrem.
  16. 16. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Souhrn: Basic/Extended? • Oba používají stejné signatury – blokují stejné útoky • Basic chrání jen požadavky procházející přes jádro WP • Extended chrání všechny PHP soubory: • např. soubory PHPmyAdmin, pokud ho máte ve složce s WP • Některé pluginy komunikují kvůli rychlosti napřímo se skripty mimo jádro WP • Některé „univerzální“ pluginy pro více CMS komunikují přímo (často platební brány) • Důvodem přímé komunikace může být i jednoduše špatně napsaný plugin • Přímou komunikaci lze poznat z access logu webserveru, uvidíte zde uskutečněné požadavky přímo na soubory .php • Chyba může vzniknout i přímým voláním souborů pluginu, pokud s tím tvůrce nepočítal • Pro všechny tyto případy se hodí Extended • Basic mód funguje všude • Extended nefunguje na většině sdílených hostingů, na VPS je ale jednoduché jej zprovoznit
  17. 17. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Tipy Test funkčnosti WAF: https://vas.web/?test=<iframe> - vrátí chybu 403,pokud WAF běží Náhrada cachovacích funkcí: https://cs.wordpress.org/plugins/wp-super-cache/ https://cs.wordpress.org/plugins/w3-total-cache/ (mnohem složitější na nastavení) https://wp-rocket.me/ (komerční) Funkce navíc ve Wordfence PRO: - Blokace zemí - Okamžitý přístup k aktuálním signaturám vektorů pro WAF (free mají 30 dní zpoždění) - Hlídání problémů na webu pomocí externích služeb - Lepší antispam pro komentáře - Audit hesel - Přihlašování přes SMS
  18. 18. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Děkuji za pozornost! Další zdroje: https://blog.sucuri.net/ https://www.wordfence.com/blog/ https://www.csirt.cz/ https://www.kyberbezpecnost.cz/ Mé články: https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum Můj twitter: @smitka A nezapomínejte aktualizovat a zálohovat!

×