SlideShare a Scribd company logo

Wordfence 2016

Download as PPTX, PDF
Vladimír Smitka
Vladimír Smitka

Co se tento rok změnilo v bezpečnostním pluginu Wordfence a jak to nastavit.

Internet
1 of 18
@smitka Lynt services s.r.o. Infrastruktura Webová řešení Marketing Wordfence 2016 „co se změnilo a jak to nastavit“ Vláďa Smitka https://lynt.cz
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Nejviditelnější změny • Nová funkce „Firewall“ pro filtrování podezřelých dotazů. • Vylepšené scanování souborů webu. • Odstranění cachovacích funkcí. Velmi důležité nastavení Užitečné nastavení Značení v prezentaci: Nastavení ke zvážení* *Může mít vedlejší efekty – nižší výkon, blokace běžných akcí, generování mnoha mailů…
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Po instalaci Yes – nastaví se automatické aktualizace pluginu Use My Email Address – na email vašeho uživatelského jména se budou zasílat notifikace při problémech Web Application Firewall – nastavíme později (Dismiss) *vše lze nastavit později
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní nastavení Povolí možnost omezovat provoz, detailně se nastaví níže, bez zaškrtnutí to nebude fungovat Povolí možnost blokovat chybná přihlášení a další věci týkající se přihlašování, detailně se nastaví níže, bez zaškrtnutí to nebude fungovat Bude sbírat a ukazovat real-time statistiky o provozu „Live Traffic“ – kdo kam přistupuje, kdo se pokusil přihlásit, kdo se dostal na stránku s chybou 404… Zaškrtnutí může trochu zpomalit web (logování generuje poměrně hodně zápisů do databáze)
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní nastavení Bude provádět pravidelné bezpečnostní scany souborů webu na přítomnost malware a testy dostupných aktualizací Umožňuje vybrat způsob určení reálné IP adresy návštěvníka – první volba je často dostatečná, pokud však používáte nějakou předřazenou cache (např. Cloudflare), můžete zvolit potřebnou volbu. Že potřeba toto nastavení upravit poznáte např. z Live Traffic, když u všech návštěvníků ukazuje stejnou IP adresu. Povolí automatické updaty Wordfence
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Mailové notifikace Bude upozorňovat i na dostupné updaty Pošle upozornění jen, když se admin přihlásí z nového místa Pro weby s menším počtem uživatelů je dobré vědět, že se přihlásili i další uživatelé – např. šéfredaktor, který má také poměrně vysoká práva
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Týdenní report Bude posílat jednou týdně (denně/měsíčně) report o tom, co se ve všem WP děje: • nejčastěji blokované IP, země, uživatelské jména • změněné soubory • dostupné aktualizace Složky vyjmuté s hlídání změn, typicky: cache, logy, zálohy
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Skenování Pokud používáte HTTPS (snad ano), tak otestuje náchylnost serveru ke zranitelnosti HeartBleed – tento test si můžete udělat sami na https://filippo.io/Heartbleed/ Test dočasných souborů, které vznikají například při ruční úpravě souborů na serveru, zda neobsahují citlivé informace Test souborů karantény různých antivirových nástrojů na serveru
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Omezování provozu Nastavení s minimem negativních dopadů pro běžné weby. Po otestování (podle Live Traffic) lze nastavit přísněji.
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Přihlašování Okamžitě zablokuje uživatele, když se pokusí přihlásit se pod neexistujícím uživatelem = zkouší odhadnout uživatelská jména (při překlepu však zablokuje i regulérní uživatele) Nástraha – blokace pokud někdo zkusí uživatele admin (váš uživatel by se admin neměl jmenovat), aplikuje se pokud nechcete blokovat všechny neexistující uživatele Blokace vyčítání uživatelských jmen pomocí ?author=1, z /wp-json/wp/v2/users a z /wp- json/oembed/1.0/embed u existujících článků
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Další nastavení Vložení vlastní IP pro prevenci proti nechtěnému zablokování, zjištění např. na http://ip.lynt.cz Skrytí verze WP, existují však pokročilé metody, které verzi zjistí bez možnosti se proti tomu rozumně chránit Blokace mnoha jednoduchých robotů, může však zablokovat i regulérní uživatele, pokud používají různé anonymizační nástroje Porovná odkazy v komentářích proti Google Safe Browsing Využití aktuálního seznamu útočících adres Blokace spouštění PHP ve složce uploads, ve výjimečných případech může kolidovat s některými pluginy
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Live Traffic
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Web Application Firewall (WAF) • Blokuje útoky podle známých vektorů – vzorků útoků. • O jejich aktualizaci se stará team Wordfence. • Po aktivaci je v učícím módu (standardně 7 dní) – v tomto módu je dobré vyzkoušet všechny funkcionality webu – komentáře, widgety, vytvoření obsahu, funkce pluginů • Pokud by nějaká běžná funkcionalita mohla způsobit blokaci, bude vytvořena výjimka • Během učícího módu není web chráněn pomocí WAF
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WAF aktivace – Basic mód Stav WAF Mód ochrany Povolené vektory
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WAF – Extended mód V Basic módu chrání WAF pouze dotazy, které jdou přes jádro WP. Extended mód chrání všechny PHP soubory. Je třeba úprava php.ini - mnoho hostingů to neumožňuje, některé to umožňují v .htaccess, jiné v administraci Přidává se direktiva auto_prepend_file, která před všechny PHP soubory vloží kód s filtrem.
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Souhrn: Basic/Extended? • Oba používají stejné signatury – blokují stejné útoky • Basic chrání jen požadavky procházející přes jádro WP • Extended chrání všechny PHP soubory: • např. soubory PHPmyAdmin, pokud ho máte ve složce s WP • Některé pluginy komunikují kvůli rychlosti napřímo se skripty mimo jádro WP • Některé „univerzální“ pluginy pro více CMS komunikují přímo (často platební brány) • Důvodem přímé komunikace může být i jednoduše špatně napsaný plugin • Přímou komunikaci lze poznat z access logu webserveru, uvidíte zde uskutečněné požadavky přímo na soubory .php • Chyba může vzniknout i přímým voláním souborů pluginu, pokud s tím tvůrce nepočítal • Pro všechny tyto případy se hodí Extended • Basic mód funguje všude • Extended nefunguje na většině sdílených hostingů, na VPS je ale jednoduché jej zprovoznit
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Tipy Test funkčnosti WAF: https://vas.web/?test=<iframe> - vrátí chybu 403,pokud WAF běží Náhrada cachovacích funkcí: https://cs.wordpress.org/plugins/wp-super-cache/ https://cs.wordpress.org/plugins/w3-total-cache/ (mnohem složitější na nastavení) https://wp-rocket.me/ (komerční) Funkce navíc ve Wordfence PRO: - Blokace zemí - Okamžitý přístup k aktuálním signaturám vektorů pro WAF (free mají 30 dní zpoždění) - Hlídání problémů na webu pomocí externích služeb - Lepší antispam pro komentáře - Audit hesel - Přihlašování přes SMS
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Děkuji za pozornost! Další zdroje: https://blog.sucuri.net/ https://www.wordfence.com/blog/ https://www.csirt.cz/ https://www.kyberbezpecnost.cz/ Mé články: https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum Můj twitter: @smitka A nezapomínejte aktualizovat a zálohovat!

Recommended

Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3Vladimír Smitka
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilováníVladimír Smitka
 
Instalace WordPress
Instalace WordPressInstalace WordPress
Instalace WordPressVladimír Smitka
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 

Recommended

Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3Vladimír Smitka
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilováníVladimír Smitka
 
Instalace WordPress
Instalace WordPressInstalace WordPress
Instalace WordPressVladimír Smitka
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPressVladimír Smitka
 
WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnostiVladimír Smitka
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webVladimír Smitka
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Radek Kucera
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WPVladimír Smitka
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovVladimír Smitka
 
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 201410 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014Radek Kucera
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressVladimír Smitka
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!Vladimír Smitka
 
Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Borek Bernard
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
Hledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitHledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitDesingdev
 
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Michal Kubicek
 
Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
 
CMS - start presentatation
CMS - start presentatationCMS - start presentatation
CMS - start presentatationDAvid Frýbert
 

More Related Content

What's hot

WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnostiVladimír Smitka
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webVladimír Smitka
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Radek Kucera
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WPVladimír Smitka
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovVladimír Smitka
 
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 201410 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014Radek Kucera
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressVladimír Smitka
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!Vladimír Smitka
 
Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Borek Bernard
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
Hledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitHledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitDesingdev
 
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Michal Kubicek
 

What's hot (20)

Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPress
 
WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnosti
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný web
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webů
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPress
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DOD
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WP
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webov
 
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 201410 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPress
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!
 
Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security cz
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
 
Hledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitHledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešit
 
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
 

Similar to Wordfence 2016

Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
 
CMS - start presentatation
CMS - start presentatationCMS - start presentatation
CMS - start presentatationDAvid Frýbert
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devuVašek Purchart
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Péhápkaři
 
Deployment PHP aplikací | WebExpo 2011
Deployment PHP aplikací | WebExpo 2011Deployment PHP aplikací | WebExpo 2011
Deployment PHP aplikací | WebExpo 2011Jan Mittner
 
Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíJiří Napravnik
 
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...Jaroslav Prodelal
 
Jak zrychlit WP pomocí cachovacích pluginů
Jak zrychlit WP pomocí cachovacích pluginůJak zrychlit WP pomocí cachovacích pluginů
Jak zrychlit WP pomocí cachovacích pluginůJakub Klapka
 
How to installing IBM Verse on premises
How to installing IBM Verse on premisesHow to installing IBM Verse on premises
How to installing IBM Verse on premisesAles Lichtenberg
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015tomashala
 
Nové »bezhlavé« CMS — přechod od monolitů ke službám
Nové »bezhlavé« CMS — přechod od monolitů ke službámNové »bezhlavé« CMS — přechod od monolitů ke službám
Nové »bezhlavé« CMS — přechod od monolitů ke službámJaroslav Vrána
 
Kurz přežití na Jira Serveru - podpora pro serverové produkty Atlassian skonč...
Kurz přežití na Jira Serveru - podpora pro serverové produkty Atlassian skonč...Kurz přežití na Jira Serveru - podpora pro serverové produkty Atlassian skonč...
Kurz přežití na Jira Serveru - podpora pro serverové produkty Atlassian skonč...Onlio
 
2009 X33EJA Moderní Technologie Pro Vývoj JEE
2009 X33EJA Moderní Technologie Pro Vývoj JEE2009 X33EJA Moderní Technologie Pro Vývoj JEE
2009 X33EJA Moderní Technologie Pro Vývoj JEEMartin Ptáček
 
Javascript na steroidech
Javascript na steroidechJavascript na steroidech
Javascript na steroidechseznamVyvojari
 
5was 100524062135-phpapp02
5was 100524062135-phpapp025was 100524062135-phpapp02
5was 100524062135-phpapp02simon680
 

Similar to Wordfence 2016 (20)

Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentace
 
CMS - start presentatation
CMS - start presentatationCMS - start presentatation
CMS - start presentatation
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devu
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
 
Deployment PHP aplikací | WebExpo 2011
Deployment PHP aplikací | WebExpo 2011Deployment PHP aplikací | WebExpo 2011
Deployment PHP aplikací | WebExpo 2011
 
Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcí
 
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
 
Jak zrychlit WP pomocí cachovacích pluginů
Jak zrychlit WP pomocí cachovacích pluginůJak zrychlit WP pomocí cachovacích pluginů
Jak zrychlit WP pomocí cachovacích pluginů
 
How to installing IBM Verse on premises
How to installing IBM Verse on premisesHow to installing IBM Verse on premises
How to installing IBM Verse on premises
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015
 
Lotus Notes 7
Lotus Notes 7Lotus Notes 7
Lotus Notes 7
 
Joomla!
Joomla!Joomla!
Joomla!
 
Nové »bezhlavé« CMS — přechod od monolitů ke službám
Nové »bezhlavé« CMS — přechod od monolitů ke službámNové »bezhlavé« CMS — přechod od monolitů ke službám
Nové »bezhlavé« CMS — přechod od monolitů ke službám
 
Kurz přežití na Jira Serveru - podpora pro serverové produkty Atlassian skonč...
Kurz přežití na Jira Serveru - podpora pro serverové produkty Atlassian skonč...Kurz přežití na Jira Serveru - podpora pro serverové produkty Atlassian skonč...
Kurz přežití na Jira Serveru - podpora pro serverové produkty Atlassian skonč...
 
Joomla! na MS Windows
Joomla! na MS WindowsJoomla! na MS Windows
Joomla! na MS Windows
 
2009 X33EJA Moderní Technologie Pro Vývoj JEE
2009 X33EJA Moderní Technologie Pro Vývoj JEE2009 X33EJA Moderní Technologie Pro Vývoj JEE
2009 X33EJA Moderní Technologie Pro Vývoj JEE
 
TNPW2-2011-04
TNPW2-2011-04TNPW2-2011-04
TNPW2-2011-04
 
Javascript na steroidech
Javascript na steroidechJavascript na steroidech
Javascript na steroidech
 
5was 100524062135-phpapp02
5was 100524062135-phpapp025was 100524062135-phpapp02
5was 100524062135-phpapp02
 
Web Application Scanning (WAS)
Web Application Scanning (WAS)Web Application Scanning (WAS)
Web Application Scanning (WAS)
 

More from Vladimír Smitka

Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Vladimír Smitka
 
Hesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPHesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPVladimír Smitka
 
Drobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazDrobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazVladimír Smitka
 
WordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersWordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersVladimír Smitka
 
WordPress performance tuning
WordPress performance tuningWordPress performance tuning
WordPress performance tuningVladimír Smitka
 
WordPress security for everyone
WordPress security for everyoneWordPress security for everyone
WordPress security for everyoneVladimír Smitka
 
České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)Vladimír Smitka
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Vladimír Smitka
 

More from Vladimír Smitka (13)

Webmeetup #3
Webmeetup #3Webmeetup #3
Webmeetup #3
 
Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?
 
Hesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPHesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WP
 
WP Weekend 2018
WP Weekend 2018WP Weekend 2018
WP Weekend 2018
 
Drobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazDrobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vaz
 
Http/2 vs Image Sprites
Http/2 vs Image SpritesHttp/2 vs Image Sprites
Http/2 vs Image Sprites
 
Ansible
AnsibleAnsible
Ansible
 
WordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersWordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invaders
 
WordPress performance tuning
WordPress performance tuningWordPress performance tuning
WordPress performance tuning
 
WordPress security for everyone
WordPress security for everyoneWordPress security for everyone
WordPress security for everyone
 
České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)
 
Dijskrův algoritmus
Dijskrův algoritmusDijskrův algoritmus
Dijskrův algoritmus
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014
 

Wordfence 2016

  • 1. @smitka Lynt services s.r.o. Infrastruktura Webová řešení Marketing Wordfence 2016 „co se změnilo a jak to nastavit“ Vláďa Smitka https://lynt.cz
  • 2. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Nejviditelnější změny • Nová funkce „Firewall“ pro filtrování podezřelých dotazů. • Vylepšené scanování souborů webu. • Odstranění cachovacích funkcí. Velmi důležité nastavení Užitečné nastavení Značení v prezentaci: Nastavení ke zvážení* *Může mít vedlejší efekty – nižší výkon, blokace běžných akcí, generování mnoha mailů…
  • 3. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Po instalaci Yes – nastaví se automatické aktualizace pluginu Use My Email Address – na email vašeho uživatelského jména se budou zasílat notifikace při problémech Web Application Firewall – nastavíme později (Dismiss) *vše lze nastavit později
  • 4. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní nastavení Povolí možnost omezovat provoz, detailně se nastaví níže, bez zaškrtnutí to nebude fungovat Povolí možnost blokovat chybná přihlášení a další věci týkající se přihlašování, detailně se nastaví níže, bez zaškrtnutí to nebude fungovat Bude sbírat a ukazovat real-time statistiky o provozu „Live Traffic“ – kdo kam přistupuje, kdo se pokusil přihlásit, kdo se dostal na stránku s chybou 404… Zaškrtnutí může trochu zpomalit web (logování generuje poměrně hodně zápisů do databáze)
  • 5. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní nastavení Bude provádět pravidelné bezpečnostní scany souborů webu na přítomnost malware a testy dostupných aktualizací Umožňuje vybrat způsob určení reálné IP adresy návštěvníka – první volba je často dostatečná, pokud však používáte nějakou předřazenou cache (např. Cloudflare), můžete zvolit potřebnou volbu. Že potřeba toto nastavení upravit poznáte např. z Live Traffic, když u všech návštěvníků ukazuje stejnou IP adresu. Povolí automatické updaty Wordfence
  • 6. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Mailové notifikace Bude upozorňovat i na dostupné updaty Pošle upozornění jen, když se admin přihlásí z nového místa Pro weby s menším počtem uživatelů je dobré vědět, že se přihlásili i další uživatelé – např. šéfredaktor, který má také poměrně vysoká práva
  • 7. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Týdenní report Bude posílat jednou týdně (denně/měsíčně) report o tom, co se ve všem WP děje: • nejčastěji blokované IP, země, uživatelské jména • změněné soubory • dostupné aktualizace Složky vyjmuté s hlídání změn, typicky: cache, logy, zálohy
  • 8. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Skenování Pokud používáte HTTPS (snad ano), tak otestuje náchylnost serveru ke zranitelnosti HeartBleed – tento test si můžete udělat sami na https://filippo.io/Heartbleed/ Test dočasných souborů, které vznikají například při ruční úpravě souborů na serveru, zda neobsahují citlivé informace Test souborů karantény různých antivirových nástrojů na serveru
  • 9. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Omezování provozu Nastavení s minimem negativních dopadů pro běžné weby. Po otestování (podle Live Traffic) lze nastavit přísněji.
  • 10. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Přihlašování Okamžitě zablokuje uživatele, když se pokusí přihlásit se pod neexistujícím uživatelem = zkouší odhadnout uživatelská jména (při překlepu však zablokuje i regulérní uživatele) Nástraha – blokace pokud někdo zkusí uživatele admin (váš uživatel by se admin neměl jmenovat), aplikuje se pokud nechcete blokovat všechny neexistující uživatele Blokace vyčítání uživatelských jmen pomocí ?author=1, z /wp-json/wp/v2/users a z /wp- json/oembed/1.0/embed u existujících článků
  • 11. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Další nastavení Vložení vlastní IP pro prevenci proti nechtěnému zablokování, zjištění např. na http://ip.lynt.cz Skrytí verze WP, existují však pokročilé metody, které verzi zjistí bez možnosti se proti tomu rozumně chránit Blokace mnoha jednoduchých robotů, může však zablokovat i regulérní uživatele, pokud používají různé anonymizační nástroje Porovná odkazy v komentářích proti Google Safe Browsing Využití aktuálního seznamu útočících adres Blokace spouštění PHP ve složce uploads, ve výjimečných případech může kolidovat s některými pluginy
  • 13. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Web Application Firewall (WAF) • Blokuje útoky podle známých vektorů – vzorků útoků. • O jejich aktualizaci se stará team Wordfence. • Po aktivaci je v učícím módu (standardně 7 dní) – v tomto módu je dobré vyzkoušet všechny funkcionality webu – komentáře, widgety, vytvoření obsahu, funkce pluginů • Pokud by nějaká běžná funkcionalita mohla způsobit blokaci, bude vytvořena výjimka • Během učícího módu není web chráněn pomocí WAF
  • 14. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WAF aktivace – Basic mód Stav WAF Mód ochrany Povolené vektory
  • 15. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WAF – Extended mód V Basic módu chrání WAF pouze dotazy, které jdou přes jádro WP. Extended mód chrání všechny PHP soubory. Je třeba úprava php.ini - mnoho hostingů to neumožňuje, některé to umožňují v .htaccess, jiné v administraci Přidává se direktiva auto_prepend_file, která před všechny PHP soubory vloží kód s filtrem.
  • 16. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Souhrn: Basic/Extended? • Oba používají stejné signatury – blokují stejné útoky • Basic chrání jen požadavky procházející přes jádro WP • Extended chrání všechny PHP soubory: • např. soubory PHPmyAdmin, pokud ho máte ve složce s WP • Některé pluginy komunikují kvůli rychlosti napřímo se skripty mimo jádro WP • Některé „univerzální“ pluginy pro více CMS komunikují přímo (často platební brány) • Důvodem přímé komunikace může být i jednoduše špatně napsaný plugin • Přímou komunikaci lze poznat z access logu webserveru, uvidíte zde uskutečněné požadavky přímo na soubory .php • Chyba může vzniknout i přímým voláním souborů pluginu, pokud s tím tvůrce nepočítal • Pro všechny tyto případy se hodí Extended • Basic mód funguje všude • Extended nefunguje na většině sdílených hostingů, na VPS je ale jednoduché jej zprovoznit
  • 17. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Tipy Test funkčnosti WAF: https://vas.web/?test=<iframe> - vrátí chybu 403,pokud WAF běží Náhrada cachovacích funkcí: https://cs.wordpress.org/plugins/wp-super-cache/ https://cs.wordpress.org/plugins/w3-total-cache/ (mnohem složitější na nastavení) https://wp-rocket.me/ (komerční) Funkce navíc ve Wordfence PRO: - Blokace zemí - Okamžitý přístup k aktuálním signaturám vektorů pro WAF (free mají 30 dní zpoždění) - Hlídání problémů na webu pomocí externích služeb - Lepší antispam pro komentáře - Audit hesel - Přihlašování přes SMS
  • 18. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Děkuji za pozornost! Další zdroje: https://blog.sucuri.net/ https://www.wordfence.com/blog/ https://www.csirt.cz/ https://www.kyberbezpecnost.cz/ Mé články: https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum Můj twitter: @smitka A nezapomínejte aktualizovat a zálohovat!