1. @smitka Lynt services s.r.o.
Infrastruktura
Webová řešení
Marketing
Wordfence 2016
„co se změnilo a jak to nastavit“
Vláďa Smitka
https://lynt.cz
2. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Nejviditelnější změny
• Nová funkce „Firewall“ pro filtrování
podezřelých dotazů.
• Vylepšené scanování souborů webu.
• Odstranění cachovacích funkcí.
Velmi důležité nastavení Užitečné nastavení
Značení v prezentaci:
Nastavení ke zvážení*
*Může mít vedlejší efekty – nižší výkon, blokace běžných akcí, generování mnoha mailů…
3. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Po instalaci
Yes – nastaví se automatické aktualizace pluginu
Use My Email Address – na email vašeho uživatelského
jména se budou zasílat notifikace při problémech
Web Application Firewall – nastavíme později (Dismiss)
*vše lze nastavit později
4. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Základní nastavení
Povolí možnost
omezovat provoz,
detailně se nastaví níže,
bez zaškrtnutí to
nebude fungovat
Povolí možnost
blokovat chybná
přihlášení a další
věci týkající se
přihlašování,
detailně se nastaví
níže, bez zaškrtnutí
to nebude fungovat
Bude sbírat a ukazovat real-time
statistiky o provozu „Live Traffic“ – kdo
kam přistupuje, kdo se pokusil přihlásit,
kdo se dostal na stránku s chybou 404…
Zaškrtnutí může trochu zpomalit web
(logování generuje poměrně hodně
zápisů do databáze)
5. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Základní nastavení
Bude provádět pravidelné
bezpečnostní scany souborů
webu na přítomnost malware a
testy dostupných aktualizací
Umožňuje vybrat způsob určení reálné IP adresy návštěvníka –
první volba je často dostatečná, pokud však používáte nějakou
předřazenou cache (např. Cloudflare), můžete zvolit potřebnou
volbu. Že potřeba toto nastavení upravit poznáte např. z Live
Traffic, když u všech návštěvníků ukazuje stejnou IP adresu.
Povolí automatické updaty
Wordfence
6. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Mailové notifikace
Bude upozorňovat i na dostupné
updaty
Pošle upozornění jen, když se
admin přihlásí z nového místa
Pro weby s menším počtem
uživatelů je dobré vědět, že se
přihlásili i další uživatelé – např.
šéfredaktor, který má také
poměrně vysoká práva
7. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Týdenní report
Bude posílat jednou týdně (denně/měsíčně) report o
tom, co se ve všem WP děje:
• nejčastěji blokované IP, země, uživatelské jména
• změněné soubory
• dostupné aktualizace
Složky vyjmuté s hlídání změn,
typicky: cache, logy, zálohy
8. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Skenování
Pokud používáte HTTPS (snad ano), tak
otestuje náchylnost serveru ke zranitelnosti
HeartBleed – tento test si můžete udělat
sami na https://filippo.io/Heartbleed/
Test dočasných souborů, které vznikají
například při ruční úpravě souborů na serveru,
zda neobsahují citlivé informace
Test souborů
karantény
různých
antivirových
nástrojů na
serveru
10. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Přihlašování
Okamžitě zablokuje uživatele, když se pokusí
přihlásit se pod neexistujícím uživatelem =
zkouší odhadnout uživatelská jména (při
překlepu však zablokuje i regulérní uživatele)
Nástraha – blokace pokud někdo zkusí
uživatele admin (váš uživatel by se admin
neměl jmenovat), aplikuje se pokud nechcete
blokovat všechny neexistující uživatele
Blokace vyčítání uživatelských jmen pomocí
?author=1, z /wp-json/wp/v2/users a z /wp-
json/oembed/1.0/embed u existujících článků
11. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Další nastavení
Vložení vlastní IP pro prevenci proti nechtěnému
zablokování, zjištění např. na http://ip.lynt.cz
Skrytí verze WP, existují však pokročilé metody, které
verzi zjistí bez možnosti se proti tomu rozumně chránit
Blokace mnoha jednoduchých robotů, může však
zablokovat i regulérní uživatele, pokud používají různé
anonymizační nástroje
Porovná odkazy v komentářích
proti Google Safe Browsing
Využití aktuálního seznamu útočících adres
Blokace spouštění PHP ve složce uploads,
ve výjimečných případech může kolidovat s
některými pluginy
13. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Web Application Firewall (WAF)
• Blokuje útoky podle známých vektorů – vzorků útoků.
• O jejich aktualizaci se stará team Wordfence.
• Po aktivaci je v učícím módu (standardně 7 dní) – v tomto módu je dobré
vyzkoušet všechny funkcionality webu – komentáře, widgety, vytvoření obsahu, funkce pluginů
• Pokud by nějaká běžná funkcionalita mohla způsobit blokaci, bude vytvořena výjimka
• Během učícího módu není web chráněn pomocí WAF
15. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
WAF – Extended mód
V Basic módu chrání WAF pouze dotazy, které jdou přes jádro WP.
Extended mód chrání všechny PHP soubory.
Je třeba úprava php.ini -
mnoho hostingů to neumožňuje, některé to umožňují v .htaccess, jiné v administraci
Přidává se direktiva auto_prepend_file, která před všechny PHP soubory vloží kód s filtrem.
16. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Souhrn: Basic/Extended?
• Oba používají stejné signatury – blokují stejné útoky
• Basic chrání jen požadavky procházející přes jádro WP
• Extended chrání všechny PHP soubory:
• např. soubory PHPmyAdmin, pokud ho máte ve složce s WP
• Některé pluginy komunikují kvůli rychlosti napřímo se skripty mimo jádro WP
• Některé „univerzální“ pluginy pro více CMS komunikují přímo (často platební brány)
• Důvodem přímé komunikace může být i jednoduše špatně napsaný plugin
• Přímou komunikaci lze poznat z access logu webserveru,
uvidíte zde uskutečněné požadavky přímo na soubory .php
• Chyba může vzniknout i přímým voláním souborů pluginu, pokud s tím tvůrce nepočítal
• Pro všechny tyto případy se hodí Extended
• Basic mód funguje všude
• Extended nefunguje na většině sdílených hostingů,
na VPS je ale jednoduché jej zprovoznit
17. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Tipy
Test funkčnosti WAF:
https://vas.web/?test=<iframe> - vrátí chybu 403,pokud WAF běží
Náhrada cachovacích funkcí:
https://cs.wordpress.org/plugins/wp-super-cache/
https://cs.wordpress.org/plugins/w3-total-cache/ (mnohem složitější na nastavení)
https://wp-rocket.me/ (komerční)
Funkce navíc ve Wordfence PRO:
- Blokace zemí
- Okamžitý přístup k aktuálním signaturám vektorů pro WAF (free mají 30 dní zpoždění)
- Hlídání problémů na webu pomocí externích služeb
- Lepší antispam pro komentáře
- Audit hesel
- Přihlašování přes SMS
18. Infrastruktura
Webová řešení
Marketing
@smitka Lynt services s.r.o.
Děkuji za pozornost!
Další zdroje:
https://blog.sucuri.net/
https://www.wordfence.com/blog/
https://www.csirt.cz/
https://www.kyberbezpecnost.cz/
Mé články:
https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu
https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum
Můj twitter:
@smitka
A nezapomínejte aktualizovat a zálohovat!