Fórumok
Sok Wordpress oldalt törnek fel, és érdekelne, tudtok-e/használtok-e valamilyen védelem ellene. Most nem az utólagos feltörésdetektálásra gondolok, bár az is jobb, mint ha észre sem veszik a felhasználók.
Olyan védelmet keresek, ami magát a feltörést gátolja, esélyét minimalizálja, anélkül, hogy az oldal felhasználóját korlátozná, akkor is, ha a felhasználó nem frissít folyamatosan.
Hozzászólások
mod_security, elvileg az ismert exploitokat megfogja
meg letezik valami wp-firewall nevu csoda is, en nem hasznalom de talalkoztam mar vele
masreszt az admin jelszvaat erdemes atirni 12345-rol masra, mert az ellen nem ved semmi
harmadreszt ritkan torik magat a wp-t, sokkal inkabb valamelyik fos pluginjet...
ja meg nem art a jogokat is jol beallitani, pl. az upload konyvtarbol ne lehessen php-t futtatni, mashova meg irni ne lehessen
mod_security alatt a gyári szabályokra gondolsz, vagy van valami direkt wp specifikus szabálygyűjtemény hozzá?
https://owasp.org/www-project-modsecurity-core-rule-set/
Nincs olyan, hogy "gyári szabályok" a ModSecurity-hez.
Van elég sok ruleset, pl az Árpi által említett CRS.
Ezen kívül a Comodo készít még ingyenes szabályrendszert (regisztáció kell, de ingyen használhatod), a többi általános célú rule set fizetős (Immunify, Atomicorp, és a ModSecurity mögött jelenleg még ott álló TrustWave a nagyobbak).
A CRS egyik fejlesztője csinált egy WP spec rule setet:
https://github.com/Rev3rseSecurity/wordpress-modsecurity-ruleset
De úgy látom egy ideje nem nyúlt hozzá :(.
valamint nem art rendszeresen frissiteni, foleg a security fixeket, es nem otthagyni az oldalt rohadni eveken keresztul.
Kivancsi lennek valami statisztkara, hogy a feltort WP site-okon mennyire voltak up-to-date-ek a dolgok.
Igen, szinte minden feltört WP régi, amiket én látok, de nincs ráhatásom a frissítésükre.
En anno futtattam egy scriptet ami ellenorizte a verzioszamokat. Nekem sem volt sok rahatasom, de neha piszkaltam az oldal gazdait, hogy jo lenne frissiteni. Sajnos nem volt sok foganatja...
Nalam a 80-as es 443-as port tiltva volt kifele, ha fel is tettek valami php alapu shell-t, stb. az nem tudott csatlakozni kifele, hogy letoltse az exploit tobbi reszet vagy hazaszolni. Nem tokeletes megoldas, de sok dolgot megfogott es nem kellett a frissitessel sem tokolni. Annyi volt a gond, hogy ha valami legitim site akart kifele csatlakozni azt engedelyezni kellett. A felho alapu szolgaltatasok megjelenesevel ez egyre idegesitobb lett, mert nem lehetett IP alapjan kiengedni, mivel a cel sokszor valtozo IP volt.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Nálunk többszöri tapasztalat, hogy ha jelezzük az ügyfélnek, hogy feltörték az oldalát - nem csak Wordpress -, akkor fogja magát, és elviszi, mert szerinte az a szolgáltató hülyesége. Még akkor is, ha konkrétan megmutatjuk, melyik kódja sérülékeny, és hogyan törhető fel.
Akkor?
Hát nem tudom... én a helyedben ennek örülnék :)
Ez rövid távon baj, hosszabb távon óriási könnyebbség. Az ilyen ügyféllel szenvedjen más!
lehetne a szerzodesben hogy kinek a feladata a frissites.
1. ha az ugyfele es nem teljesit felszolitasra sem, akkor ki lehet dobni, esetleg at lehet terni a masodik pontra.
2. ha a hostinge akkor kell kerni hozza wp admin jogot es megcsinalni, egy megfelelo osszegert.
neked aztan fura humorod van...
az a baj, hogy a gyakorlatban az esetek >95%-ban ez ugy nez ki, hogy az ugyfel "fejlesztet" valakivel apropenzert egy WP siteot, azt a fejleszto felrakja az ugyfel altal berelt web tarhelyre, aztan sose latjak tobbet egymast. sulyosbitja, hogy a fejleszto altalaban valami egyszeru admin passt allit be (ugyfelneve+evszam pl) azt atadja az ugyfelnek, az meg sose irja at. frissitessel senki se foglalkozik. de meg ha foglalkozna is, biztos van par olyan plugin, amit vagy mar nem fejlesztenek, vagy warezolta a fejleszto.
ha a tarhely szolgaltato minden ilyet elkuldene, akkor alig maradna ugyfele. foleg ha ennek meg hire is megy a kozossegi median, hogy sorban bontja a szerzodeseket mert "allitolag nem volt frissitve"...
es ha feltorik az oldlat, akkor az ugyfel kit fog szidni? a fejlesztot? dehogy. sajat magat? mit kepzelsz. hat persze, hogy a tarhely szolgaltatot...
igy a gyakorlatban marad az, hogy a tarhely oldalrol probalunk mindent megtenni hogy az evek ota nem frissitett rendszereket se hakkoljak szejjel... es akkor meg nem beszeltunk a drupalrol, amibe altalaban olyan egyedi belemokolasok vannak, ami miatt nem frissitheto, foleg nem ujabb foverziora.
Pontosan!
ha igy szeretitek csinalni, csinaljatok igy
neked aztan fura humorod van...
senki nem mondta, hogy szeretjuk... en kifejezetten utalok webszervert uzemeltetni ezek miatt, ujabbat mar nem is vallalok el
ha nem akartok valtoztatni, akkor szeretitek.
ha nincs nyomas nem lesz valtozas sem.
ha minden hosting kidobja az ilyen oldalakat, akkor vagy megvaltoznak vagy megszunnek, ez annyira rossz lenne? :)
neked aztan fura humorod van...
ha ha ha
tul sok a ha...
Ezek kapják az ívet keményen ott ahol rálátok, nem lehet puhánykodni. Ez ugyanaz, mint a mindíg lesz olcsóbb problémaköre és a mindíg lesz olyan, ahol ideig óráig megy (vagy mert tűrik vagy mert szerencséjük van és nem kapják meg az áldást).
A másik diszpintyek a malware-ekkel felszippantott SMTP accok. :)
Bocsánat, de a lófasznak kell bajlódni az ilyen ügyfelekkel, menjenek isten hírével még szarabb tárhely szolgáltatóhoz. Ha nem mennek, az azt jelenti, hogy te vagy a legszarabb. Nem kell minden bedugott faszt leszopni, főleg azokat nem, akik közben fanyalognak.
https://iotguru.cloud
Én a 80/443-as tiltás mellé tettem fel egy proxy-t, amiben fel van sorolva, melyik user hova mehet (auth is van). Így a cloud szolgáltatások nagy része meg van oldva.
Ami nem tudja kezelni, az így járt.
Volt a "kezem alatt" olyan WP, amit januárban telepítettem, márciusban már feltörték. Gyakorlatilag görcsösen folyamatosan up-to-date kellene tartani. Egy drupalnál azért jobban alszok.
Én korábban kerestem olyan plugint v. scriptet v. bármit, amit lehetne periodikusan futtatni és legalább azt megmondaná, hogy a telepített WP-hez meg a plugin-ekhez van-e frissítés, de nem találtam.
wp-cli
Megnézem, köszi.
Pl. a Wordfence plugin jó erre (is)...
Mi a Wordfence-t használjuk régóta, az ingyenes változata is megfelelő volt: https://hu.wordpress.org/plugins/wordfence/
Bár nekem 1 darab WP oldal van, én ezt raktam rá : https://hu.wordpress.org/plugins/wp-cerber/
Nem egy nagy látogatottságú oldal.. több a "bot" látogató mint a valós :)
bitninja.io esetleg?
Ill. annyi, h az admin részeket htaccess szinten geoip védelemmel IS védeném (értsd: csak .hu forrásból lehet admin modulhoz csatlakozni)
a geoip jo otlet, mi csak a tarhely eleresehez hasznaljuk (sftp van korlatozva).
Auto update, saját magát frissíti ütemezetten, csak be kell kapcsolni.
Egyszerűen azokat törik fel, akik szarnak a frissítésre, nem kell különösebb extra beállítás, csak annyi, hogy ha kijön egy frissítés, akkor <1 nap alatt frissüljön, amit az auto update teljesít is.
Ja, és ne használj olyan plugin-t, amelynek elengedték a kezét, csak olyat, amit aktívan használnak és fejlesztenek.
https://iotguru.cloud
mivel ubuntun van appapmor, az egyes site-ok kaptak egy-egy profilet, bar ez se 100%-os, de a kulso wgetelo, meg perl botot futtato cuccok ellen jo.
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Egy normális WAF még amellett, amiket már Árpi írt.
+1, Cloudflare mögé berakással (ingyenes csomag) már a felére lehet csökkenteni az alap kockázatot, főleg ha geoip szűrést is be lehet kapcsolni a CF-en (azaz nem olyan site-ról van szó aminél ez nem járható). Persze a maradék fél is bőven sok, de ezekre fent olvashatóak jó tippek.
+1
Wordfence + CF + WP auto update bekapcsolva. Ez bőven elég általában. De aki ennél is tovább akar menni, a CF havi 20 dolláros planjében már akár személyre is szabhatóan választhatja ki, hogy milyen WAF szabályokat szeretne magának: https://blog.cloudflare.com/content/images/2021/03/image3-43.png
Leírás további okosságokkal: https://blog.cloudflare.com/new-cloudflare-waf/
hülyeség+nemtörődömség ellen nincs orvosság.
wordfence + frissítések automatikusan.
mert hiába jó, nekem egy contact formon keresztül szépen bejött egy meglepi...
duplicator-t érdemes feltenni, az ment mindenfelé neked másolatot. végtelenül jó dolog mert egy php+zipfájlt másolsz fel és 5 perc múlva ismét megy az oldal.
legtobbszor az a problema, hogy a wp-content/uploads konyvtarban valami uton-modon futnak a php scriptek. illetve ott a .htaccess filera irasjoga ( eredetiben asszem nincs is .htaccess az uploads alatt, de ide ugye kell az irasjog, ezert akar letre is hozhatnak egyet ) van az apachenak.
szoval uploadra php_flag engine off es allowoverride none.
HUP te Zsiga !
pl: wordfence - de sajnos sok tárhelyen nem lehet bekapcsolnia
"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett"
és 100 éve még boszorkányt is égettek