Wordpress feltörések elleni védelem

Sok Wordpress oldalt törnek fel, és érdekelne, tudtok-e/használtok-e valamilyen védelem ellene. Most nem az utólagos feltörésdetektálásra gondolok, bár az is jobb, mint ha észre sem veszik a felhasználók.

Olyan védelmet keresek, ami magát a feltörést gátolja, esélyét minimalizálja, anélkül, hogy az oldal felhasználóját korlátozná, akkor is, ha a felhasználó nem frissít folyamatosan.

Hozzászólások

Szerkesztve: 2021. 09. 15., sze – 09:42

mod_security, elvileg az ismert exploitokat megfogja

meg letezik valami wp-firewall nevu csoda is, en nem hasznalom de talalkoztam mar vele

masreszt az admin jelszvaat erdemes atirni 12345-rol masra, mert az ellen nem ved semmi

harmadreszt ritkan torik magat a wp-t, sokkal inkabb valamelyik fos pluginjet...

ja meg nem art a jogokat is jol beallitani, pl. az upload konyvtarbol ne lehessen php-t futtatni, mashova meg irni ne lehessen

Nincs olyan, hogy "gyári szabályok" a ModSecurity-hez.

Van elég sok ruleset, pl az Árpi által említett CRS.

Ezen kívül a Comodo készít még ingyenes szabályrendszert (regisztáció kell, de ingyen használhatod), a többi általános célú rule set fizetős (Immunify, Atomicorp, és a ModSecurity mögött jelenleg még ott álló TrustWave a nagyobbak).

A CRS egyik fejlesztője csinált egy WP spec rule setet:

https://github.com/Rev3rseSecurity/wordpress-modsecurity-ruleset

De úgy látom egy ideje nem nyúlt hozzá :(.

En anno futtattam egy scriptet ami ellenorizte a verzioszamokat. Nekem sem volt sok rahatasom, de neha piszkaltam az oldal gazdait, hogy jo lenne frissiteni. Sajnos nem volt sok foganatja...

Nalam a 80-as es 443-as port tiltva volt kifele, ha fel is tettek valami php alapu shell-t, stb. az nem tudott csatlakozni kifele, hogy letoltse az exploit tobbi reszet vagy hazaszolni. Nem tokeletes megoldas, de sok dolgot megfogott es nem kellett a frissitessel sem tokolni. Annyi volt a gond, hogy ha valami legitim site akart kifele csatlakozni azt engedelyezni kellett. A felho alapu szolgaltatasok megjelenesevel ez egyre idegesitobb lett, mert nem lehetett IP alapjan kiengedni, mivel a cel sokszor valtozo IP volt.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Nálunk többszöri tapasztalat, hogy ha jelezzük az ügyfélnek, hogy feltörték az oldalát - nem csak Wordpress -, akkor fogja magát, és elviszi, mert szerinte az a szolgáltató hülyesége. Még akkor is, ha konkrétan megmutatjuk, melyik kódja sérülékeny, és hogyan törhető fel.

Akkor?

lehetne a szerzodesben hogy kinek a feladata a frissites.

1. ha az ugyfele es nem teljesit felszolitasra sem, akkor ki lehet dobni, esetleg at lehet terni a masodik pontra.

2. ha a hostinge akkor kell kerni hozza wp admin jogot es megcsinalni, egy megfelelo osszegert.

neked aztan fura humorod van...

az a baj, hogy a gyakorlatban az esetek >95%-ban ez ugy nez ki, hogy az ugyfel "fejlesztet" valakivel apropenzert egy WP siteot, azt a fejleszto felrakja az ugyfel altal berelt web tarhelyre, aztan sose latjak tobbet egymast. sulyosbitja, hogy a fejleszto altalaban valami egyszeru admin passt allit be (ugyfelneve+evszam pl) azt atadja az ugyfelnek, az meg sose irja at. frissitessel senki se foglalkozik. de meg ha foglalkozna is, biztos van par olyan plugin, amit vagy mar nem fejlesztenek, vagy warezolta a fejleszto.

ha a tarhely szolgaltato minden ilyet elkuldene, akkor alig maradna ugyfele. foleg ha ennek meg hire is megy a kozossegi median, hogy sorban bontja a szerzodeseket mert "allitolag nem volt frissitve"...

es ha feltorik az oldlat, akkor az ugyfel kit fog szidni? a fejlesztot? dehogy. sajat magat? mit kepzelsz. hat persze, hogy a tarhely szolgaltatot...

igy a gyakorlatban marad az, hogy a tarhely oldalrol probalunk mindent megtenni hogy az evek ota nem frissitett rendszereket se hakkoljak szejjel...  es akkor meg nem beszeltunk a drupalrol, amibe altalaban olyan egyedi belemokolasok vannak, ami miatt nem frissitheto, foleg nem ujabb foverziora.

Ezek kapják az ívet keményen ott ahol rálátok, nem lehet puhánykodni. Ez ugyanaz, mint a mindíg lesz olcsóbb problémaköre és a mindíg lesz olyan, ahol ideig óráig megy (vagy mert tűrik vagy mert szerencséjük van és nem kapják meg az áldást).

A másik diszpintyek a malware-ekkel felszippantott SMTP accok. :)

igy a gyakorlatban marad az, hogy a tarhely oldalrol probalunk mindent megtenni hogy az evek ota nem frissitett rendszereket se hakkoljak szejjel...

Bocsánat, de a lófasznak kell bajlódni az ilyen ügyfelekkel, menjenek isten hírével még szarabb tárhely szolgáltatóhoz. Ha nem mennek, az azt jelenti, hogy te vagy a legszarabb. Nem kell minden bedugott faszt leszopni, főleg azokat nem, akik közben fanyalognak.

bitninja.io esetleg?
Ill. annyi, h az admin részeket htaccess szinten geoip védelemmel IS védeném (értsd: csak .hu forrásból lehet admin modulhoz csatlakozni)

Auto update, saját magát frissíti ütemezetten, csak be kell kapcsolni.

Egyszerűen azokat törik fel, akik szarnak a frissítésre, nem kell különösebb extra beállítás, csak annyi, hogy ha kijön egy frissítés, akkor <1 nap alatt frissüljön, amit az auto update teljesít is.

Ja, és ne használj olyan plugin-t, amelynek elengedték a kezét, csak olyat, amit aktívan használnak és fejlesztenek.

mivel ubuntun van appapmor, az egyes site-ok kaptak egy-egy profilet, bar ez se 100%-os, de a kulso wgetelo, meg perl botot futtato cuccok ellen jo.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Egy normális WAF még amellett, amiket már Árpi írt.

+1, Cloudflare mögé berakással (ingyenes csomag) már a felére lehet csökkenteni az alap kockázatot, főleg ha geoip szűrést is be lehet kapcsolni a CF-en (azaz nem olyan site-ról van szó aminél ez nem járható). Persze a maradék fél is bőven sok, de ezekre fent olvashatóak jó tippek.

+1

Wordfence + CF + WP auto update bekapcsolva. Ez bőven elég általában. De aki ennél is tovább akar menni, a CF havi 20 dolláros planjében már akár személyre is szabhatóan választhatja ki, hogy milyen WAF szabályokat szeretne magának: https://blog.cloudflare.com/content/images/2021/03/image3-43.png

Leírás további okosságokkal: https://blog.cloudflare.com/new-cloudflare-waf/

Olyan védelmet keresek, ami magát a feltörést gátolja, esélyét minimalizálja, anélkül, hogy az oldal felhasználóját korlátozná, akkor is, ha a felhasználó nem frissít folyamatosan.

hülyeség+nemtörődömség ellen nincs orvosság.

wordfence + frissítések automatikusan.

mert hiába jó, nekem egy contact formon keresztül szépen bejött egy meglepi...

duplicator-t érdemes feltenni, az ment mindenfelé neked másolatot. végtelenül jó dolog mert egy php+zipfájlt másolsz fel és 5 perc múlva ismét megy az oldal.

legtobbszor az a problema, hogy a wp-content/uploads konyvtarban valami uton-modon futnak a php scriptek. illetve ott a .htaccess filera irasjoga ( eredetiben asszem nincs is .htaccess az uploads alatt, de ide ugye kell az irasjog, ezert akar letre is hozhatnak egyet ) van az apachenak.

szoval uploadra php_flag engine off es allowoverride none.

HUP te Zsiga !

Szerkesztve: 2021. 09. 16., cs – 09:53

pl: wordfence - de sajnos sok tárhelyen nem lehet bekapcsolnia

  • iThemes Security (végig kell zongorázni)
  • Easy Updates Manager
  • 404 To Homepage
  • Advanced noCaptcha & invisible Captcha
  • Ban Hammer
  • miniOrange 2 Factor Authentication
  • Proxy & VPN Blocker
  • Stop Web Crawlers
  • w3dev Ban Users
  • CDN használata

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek