Date post: | 21-Feb-2017 |
Category: |
Internet |
Upload: | vladimir-smitka |
View: | 321 times |
Download: | 0 times |
@smitka Lynt services s.r.o.
Infrastruktura
Webová řešení
Marketing
Wordfence 2016„co se změnilo a jak to nastavit“
Vláďa Smitkahttps://lynt.cz
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Nejviditelnější změny
• Nová funkce „Firewall“ pro filtrování podezřelých dotazů.
• Vylepšené scanování souborů webu.• Odstranění cachovacích funkcí.
Velmi důležité nastavení Užitečné nastavení
Značení v prezentaci:Nastavení ke zvážení*
*Může mít vedlejší efekty – nižší výkon, blokace běžných akcí, generování mnoha mailů…
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Po instalaci
Yes – nastaví se automatické aktualizace pluginu
Use My Email Address – na email vašeho uživatelskéhojména se budou zasílat notifikace při problémech
Web Application Firewall – nastavíme později (Dismiss)
*vše lze nastavit později
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Základní nastavení
Povolí možnost omezovat provoz, detailně se nastaví níže, bez zaškrtnutí to nebude fungovatPovolí možnost
blokovat chybná přihlášení a další věci týkající se přihlašování, detailně se
nastaví níže, bez zaškrtnutí to
nebude fungovat
Bude sbírat a ukazovat real-time statistiky o provozu „Live Traffic“ – kdo kam přistupuje, kdo se pokusil přihlásit, kdo se dostal na stránku s
chybou 404…Zaškrtnutí může trochu zpomalit web (logování generuje poměrně
hodně zápisů do databáze)
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Základní nastavení
Bude provádět pravidelné bezpečnostní scany souborů webu na přítomnost malware a testy dostupných aktualizací
Umožňuje vybrat způsob určení reálné IP adresy návštěvníka – první volba je často dostatečná, pokud však používáte nějakou předřazenou cache (např. Cloudflare), můžete zvolit potřebnou volbu. Že potřeba toto nastavení
upravit poznáte např. z Live Traffic, když u všech návštěvníků ukazuje stejnou IP adresu.
Povolí automatické updaty Wordfence
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Mailové notifikace
Bude upozorňovat i na dostupné updaty
Pošle upozornění jen, když se admin přihlásí z nového místa
Pro weby s menším počtem uživatelů je dobré vědět, že
se přihlásili i další uživatelé – např. šéfredaktor, který má také poměrně vysoká práva
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Týdenní report
Bude posílat jednou týdně (denně/měsíčně) report o tom, co se ve všem WP děje:• nejčastěji blokované IP, země, uživatelské
jména• změněné soubory• dostupné aktualizace
Složky vyjmuté s hlídání změn, typicky: cache, logy, zálohy
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
SkenováníPokud používáte HTTPS (snad ano), tak
otestuje náchylnost serveru ke zranitelnosti HeartBleed – tento test si
můžete udělat sami na https://filippo.io/Heartbleed/
Test dočasných souborů, které vznikají například při ruční úpravě souborů na
serveru, zda neobsahují citlivé informace
Test souborů karantény různých
antivirových nástrojů na
serveru
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Omezování provozu
Nastavení s minimem negativních dopadů pro běžné weby.Po otestování (podle Live Traffic) lze nastavit přísněji.
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Přihlašování
Okamžitě zablokuje uživatele, když se pokusí přihlásit se pod neexistujícím
uživatelem = zkouší odhadnout uživatelská jména (při překlepu však
zablokuje i regulérní uživatele)
Nástraha – blokace pokud někdo zkusí uživatele admin (váš uživatel by se admin neměl jmenovat), aplikuje se pokud nechcete blokovat všechny
neexistující uživatele
Blokace vyčítání uživatelských jmen pomocí ?author=1, z
/wp-json/wp/v2/users a z /wp-json/oembed/1.0/embed u
existujících článků
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Další nastavení
Vložení vlastní IP pro prevenci proti nechtěnému zablokování, zjištění např. na
http://ip.lynt.cz
Skrytí verze WP, existují však pokročilé metody, které verzi zjistí bez možnosti se proti tomu
rozumně chránitBlokace mnoha jednoduchých robotů, může však zablokovat i regulérní uživatele, pokud
používají různé anonymizační nástroje
Porovná odkazy v komentářích proti Google
Safe Browsing
Využití aktuálního seznamu útočících adres
Blokace spouštění PHP ve složce uploads,
ve výjimečných případech může kolidovat s některými pluginy
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Live Traffic
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Web Application Firewall (WAF)
• Blokuje útoky podle známých vektorů – vzorků útoků.• O jejich aktualizaci se stará team Wordfence.• Po aktivaci je v učícím módu (standardně 7 dní) – v tomto módu je dobré
vyzkoušet všechny funkcionality webu – komentáře, widgety, vytvoření obsahu, funkce pluginů• Pokud by nějaká běžná funkcionalita mohla způsobit blokaci, bude vytvořena výjimka• Během učícího módu není web chráněn pomocí WAF
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
WAF aktivace – Basic mód
Stav WAF
Mód ochrany
Povolené vektory
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
WAF – Extended mód
V Basic módu chrání WAF pouze dotazy, které jdou přes jádro WP.Extended mód chrání všechny PHP soubory.Je třeba úprava php.ini - mnoho hostingů to neumožňuje, některé to umožňují v .htaccess, jiné v administraci
Přidává se direktiva auto_prepend_file, která před všechny PHP soubory vloží kód s filtrem.
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Souhrn: Basic/Extended?
• Oba používají stejné signatury – blokují stejné útoky• Basic chrání jen požadavky procházející přes jádro WP• Extended chrání všechny PHP soubory:
• např. soubory PHPmyAdmin, pokud ho máte ve složce s WP• Některé pluginy komunikují kvůli rychlosti napřímo se skripty mimo jádro WP• Některé „univerzální“ pluginy pro více CMS komunikují přímo (často platební brány)• Důvodem přímé komunikace může být i jednoduše špatně napsaný plugin• Přímou komunikaci lze poznat z access logu webserveru,
uvidíte zde uskutečněné požadavky přímo na soubory .php• Chyba může vzniknout i přímým voláním souborů pluginu, pokud s tím tvůrce nepočítal• Pro všechny tyto případy se hodí Extended
• Basic mód funguje všude• Extended nefunguje na většině sdílených hostingů,
na VPS je ale jednoduché jej zprovoznit
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Tipy
Test funkčnosti WAF:https://vas.web/?test=<iframe> - vrátí chybu 403,pokud WAF běží
Náhrada cachovacích funkcí:https://cs.wordpress.org/plugins/wp-super-cache/https://cs.wordpress.org/plugins/w3-total-cache/ (mnohem složitější na nastavení)https://wp-rocket.me/ (komerční)
Funkce navíc ve Wordfence PRO:- Blokace zemí- Okamžitý přístup k aktuálním signaturám vektorů pro WAF (free mají 30 dní zpoždění)- Hlídání problémů na webu pomocí externích služeb- Lepší antispam pro komentáře- Audit hesel- Přihlašování přes SMS
Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Děkuji za pozornost!
Další zdroje:https://blog.sucuri.net/
https://www.wordfence.com/blog/https://www.csirt.cz/
https://www.kyberbezpecnost.cz/
Mé články:https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu
https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum
Můj twitter:@smitka
A nezapomínejte aktualizovat a zálohovat!