O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Wordfence 2016

984 visualizações

Publicada em

Co se tento rok změnilo v bezpečnostním pluginu Wordfence a jak to nastavit.

Publicada em: Internet
  • Seja o primeiro a comentar

Wordfence 2016

  1. 1. @smitka Lynt services s.r.o. Infrastruktura Webová řešení Marketing Wordfence 2016 „co se změnilo a jak to nastavit“ Vláďa Smitka https://lynt.cz
  2. 2. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Nejviditelnější změny • Nová funkce „Firewall“ pro filtrování podezřelých dotazů. • Vylepšené scanování souborů webu. • Odstranění cachovacích funkcí. Velmi důležité nastavení Užitečné nastavení Značení v prezentaci: Nastavení ke zvážení* *Může mít vedlejší efekty – nižší výkon, blokace běžných akcí, generování mnoha mailů…
  3. 3. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Po instalaci Yes – nastaví se automatické aktualizace pluginu Use My Email Address – na email vašeho uživatelského jména se budou zasílat notifikace při problémech Web Application Firewall – nastavíme později (Dismiss) *vše lze nastavit později
  4. 4. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní nastavení Povolí možnost omezovat provoz, detailně se nastaví níže, bez zaškrtnutí to nebude fungovat Povolí možnost blokovat chybná přihlášení a další věci týkající se přihlašování, detailně se nastaví níže, bez zaškrtnutí to nebude fungovat Bude sbírat a ukazovat real-time statistiky o provozu „Live Traffic“ – kdo kam přistupuje, kdo se pokusil přihlásit, kdo se dostal na stránku s chybou 404… Zaškrtnutí může trochu zpomalit web (logování generuje poměrně hodně zápisů do databáze)
  5. 5. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní nastavení Bude provádět pravidelné bezpečnostní scany souborů webu na přítomnost malware a testy dostupných aktualizací Umožňuje vybrat způsob určení reálné IP adresy návštěvníka – první volba je často dostatečná, pokud však používáte nějakou předřazenou cache (např. Cloudflare), můžete zvolit potřebnou volbu. Že potřeba toto nastavení upravit poznáte např. z Live Traffic, když u všech návštěvníků ukazuje stejnou IP adresu. Povolí automatické updaty Wordfence
  6. 6. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Mailové notifikace Bude upozorňovat i na dostupné updaty Pošle upozornění jen, když se admin přihlásí z nového místa Pro weby s menším počtem uživatelů je dobré vědět, že se přihlásili i další uživatelé – např. šéfredaktor, který má také poměrně vysoká práva
  7. 7. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Týdenní report Bude posílat jednou týdně (denně/měsíčně) report o tom, co se ve všem WP děje: • nejčastěji blokované IP, země, uživatelské jména • změněné soubory • dostupné aktualizace Složky vyjmuté s hlídání změn, typicky: cache, logy, zálohy
  8. 8. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Skenování Pokud používáte HTTPS (snad ano), tak otestuje náchylnost serveru ke zranitelnosti HeartBleed – tento test si můžete udělat sami na https://filippo.io/Heartbleed/ Test dočasných souborů, které vznikají například při ruční úpravě souborů na serveru, zda neobsahují citlivé informace Test souborů karantény různých antivirových nástrojů na serveru
  9. 9. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Omezování provozu Nastavení s minimem negativních dopadů pro běžné weby. Po otestování (podle Live Traffic) lze nastavit přísněji.
  10. 10. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Přihlašování Okamžitě zablokuje uživatele, když se pokusí přihlásit se pod neexistujícím uživatelem = zkouší odhadnout uživatelská jména (při překlepu však zablokuje i regulérní uživatele) Nástraha – blokace pokud někdo zkusí uživatele admin (váš uživatel by se admin neměl jmenovat), aplikuje se pokud nechcete blokovat všechny neexistující uživatele Blokace vyčítání uživatelských jmen pomocí ?author=1, z /wp-json/wp/v2/users a z /wp- json/oembed/1.0/embed u existujících článků
  11. 11. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Další nastavení Vložení vlastní IP pro prevenci proti nechtěnému zablokování, zjištění např. na http://ip.lynt.cz Skrytí verze WP, existují však pokročilé metody, které verzi zjistí bez možnosti se proti tomu rozumně chránit Blokace mnoha jednoduchých robotů, může však zablokovat i regulérní uživatele, pokud používají různé anonymizační nástroje Porovná odkazy v komentářích proti Google Safe Browsing Využití aktuálního seznamu útočících adres Blokace spouštění PHP ve složce uploads, ve výjimečných případech může kolidovat s některými pluginy
  12. 12. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Live Traffic
  13. 13. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Web Application Firewall (WAF) • Blokuje útoky podle známých vektorů – vzorků útoků. • O jejich aktualizaci se stará team Wordfence. • Po aktivaci je v učícím módu (standardně 7 dní) – v tomto módu je dobré vyzkoušet všechny funkcionality webu – komentáře, widgety, vytvoření obsahu, funkce pluginů • Pokud by nějaká běžná funkcionalita mohla způsobit blokaci, bude vytvořena výjimka • Během učícího módu není web chráněn pomocí WAF
  14. 14. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WAF aktivace – Basic mód Stav WAF Mód ochrany Povolené vektory
  15. 15. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WAF – Extended mód V Basic módu chrání WAF pouze dotazy, které jdou přes jádro WP. Extended mód chrání všechny PHP soubory. Je třeba úprava php.ini - mnoho hostingů to neumožňuje, některé to umožňují v .htaccess, jiné v administraci Přidává se direktiva auto_prepend_file, která před všechny PHP soubory vloží kód s filtrem.
  16. 16. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Souhrn: Basic/Extended? • Oba používají stejné signatury – blokují stejné útoky • Basic chrání jen požadavky procházející přes jádro WP • Extended chrání všechny PHP soubory: • např. soubory PHPmyAdmin, pokud ho máte ve složce s WP • Některé pluginy komunikují kvůli rychlosti napřímo se skripty mimo jádro WP • Některé „univerzální“ pluginy pro více CMS komunikují přímo (často platební brány) • Důvodem přímé komunikace může být i jednoduše špatně napsaný plugin • Přímou komunikaci lze poznat z access logu webserveru, uvidíte zde uskutečněné požadavky přímo na soubory .php • Chyba může vzniknout i přímým voláním souborů pluginu, pokud s tím tvůrce nepočítal • Pro všechny tyto případy se hodí Extended • Basic mód funguje všude • Extended nefunguje na většině sdílených hostingů, na VPS je ale jednoduché jej zprovoznit
  17. 17. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Tipy Test funkčnosti WAF: https://vas.web/?test=<iframe> - vrátí chybu 403,pokud WAF běží Náhrada cachovacích funkcí: https://cs.wordpress.org/plugins/wp-super-cache/ https://cs.wordpress.org/plugins/w3-total-cache/ (mnohem složitější na nastavení) https://wp-rocket.me/ (komerční) Funkce navíc ve Wordfence PRO: - Blokace zemí - Okamžitý přístup k aktuálním signaturám vektorů pro WAF (free mají 30 dní zpoždění) - Hlídání problémů na webu pomocí externích služeb - Lepší antispam pro komentáře - Audit hesel - Přihlašování přes SMS
  18. 18. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Děkuji za pozornost! Další zdroje: https://blog.sucuri.net/ https://www.wordfence.com/blog/ https://www.csirt.cz/ https://www.kyberbezpecnost.cz/ Mé články: https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum Můj twitter: @smitka A nezapomínejte aktualizovat a zálohovat!

×