Úvodní stránka › Fórum podpory WordPressu › Čeština pro WordPress › Plugin Wordfence security a česká verze WordPressu 4.0
Štítky: Automatická aktualizace, bezpečnost, Login LockDown, wordfence
Zvolené téma obsahuje celkem 14 odpovědí. Do diskuze (2 účastníci) se naposledy zapojil uživatel admin a poslední změna je stará 9 let, 5 měsíců.
-
AutorPříspěvky
-
8. října 2014 (10:29) #20596
Mám novou instalaci WP 4.0 cs, nainstaloval jsem pár základních pluginů, naimportoval obsah přes funkci WP Nastroje/import a zatím neinstaloval žádnou šablonu. Nakonec jsem nainstaloval Wordfence, provedl scan a výsledkem testu byly tyto kritické chyby:
* WordPress core file modified: wp-admin/css/deprecated-media-rtl.min.css * WordPress core file modified: wp-admin/css/deprecated-media.min.css * WordPress core file modified: wp-admin/css/install-rtl.min.css * WordPress core file modified: wp-admin/css/install.min.css * WordPress core file modified: wp-admin/css/login-rtl.min.css * WordPress core file modified: wp-admin/css/login.min.css * WordPress core file modified: wp-admin/css/wp-admin-rtl.min.css * WordPress core file modified: wp-admin/css/wp-admin.min.css * WordPress core file modified: wp-includes/css/admin-bar-rtl.min.css * WordPress core file modified: wp-includes/css/admin-bar.min.css * WordPress core file modified: wp-includes/css/media-views-rtl.min.css * WordPress core file modified: wp-includes/css/media-views.min.css * WordPress core file modified: wp-includes/css/wp-auth-check-rtl.min.css * WordPress core file modified: wp-includes/css/wp-auth-check.min.css * WordPress core file modified: wp-includes/pluggable.php * WordPress core file modified: wp-includes/session.php * WordPress core file modified: wp-includes/version.php
Nabízí mi to možnosti opravy nebo ignorování chyby:
* Restore the original version of this file. * Select for bulk repair * Ignore until the file changes. * Always ignore this file.
Kterou z možností mám nejlépe vybrat a pro které wp soubory? Obnovu originální verze, bulk repair nebo ignorovat until the file changes, příp. Always ignore this file? Jen tuším, že wp-includes/version.php se týká jazykové verze, protože jako změnu oproti originálu to ukazuje řádek
$wp_local_package = 'cs_CZ';
. Ale co ty ostatní? Tam nepoznám zda se to týká jazykové verze.Děkuji za tip!
8. října 2014 (10:45) #20597Lubos237: To je docela zajímavý problém. Soubor
wp-includes/version.php
je jasný, tam je evidentně informace s českou lokalizací. A jaké rozdíly se zobrazují u těch ostatních konfliktů (myslím, že tu chybu můžete rozkliknout)?Pokud jde o soubory s koncovkami
min.css
artl.min.css
, tak pokud vím jsou automaticky generovány při vytváření instalačního balíčku. Obsahují minifikované CSS styly a také podporu jazyků psaných zprava doleva (RTL). A protože se jinak generuje anglický balíček a jinak český balíček, tak mě napadá, jestli by tam nemohl být nějaký problém např. s ukončením souborů či jejich formátováním.Ale pokud jde o soubory
pluggable.php
awp-includes/session.php
, tak tam netuším, kde by mohl být rozdíl (problém). Zkuste prosím zjistit nějaké podrobnosti… Schválně plugin Wordfence také vyzkouším…8. října 2014 (11:14) #20598Instalační soubor WP 4.0 cs jsem si stáhl z webu webhostingu Savana. Zde jsou rozdílové hlášky oproti originálu WP:
wp-includes/session.php 64 // If ext/hash is not present, use sha1() instead. 65 if ( function_exists( 'hash' ) ) { 66 return hash( 'sha256', $token ); 67 } else { 68 return sha1( $token );
*****************************************************
wp-includes/pluggable.php 672 673 // If ext/hash is not present, compat.php's hash_hmac() does not support sha256. 674 $algo = function_exists( 'hash' ) ? 'sha256' : 'sha1'; 675 $hash = hash_hmac( $algo, $username . '|' . $expiration . '|' . $token, $key ); 740 741 // If ext/hash is not present, compat.php's hash_hmac() does not support sha256. 742 $algo = function_exists( 'hash' ) ? 'sha256' : 'sha1'; 743 $hash = hash_hmac( $algo, $user->user_login . '|' . $expiration . '|' . $token, $key );
**********************************************
wp-includes/css/wp-auth-check.min.css
, v řádku 1 změnově vyznačeno “center center/16px 16px no-repeat;-webkit-
*********************************************************
vewp-includes/css/wp-auth-check-rtl.min.css
to samé jako předchozí případ.********************************************************
wp-includes/css/media-views.min.css
v řádku 1 tato změna (jen výběr):-webkit-gradient(linear,left top,left bottom,from(#e00),to(#a00)) #e00;background:-webkit-linear-gradient(top,#e00,#a00) #e00;background:linear-gradient(to bottom,#e00,#a00) #e00;-webkit-border-radius:3px;border-radius:3px}.upload-errors .upload-error-message{display:block;padding-top:8px;color:#b44;word-wrap:break-word}.uploader-window{position:fixed;top:0;left:0;right:0;bottom:0;background:rgba(0,86,132,.9);z-index:250000;display:none;text-align:center;opacity:0;-webkit-transition:opacity 250ms;transition:opacity 250ms}.uploader-window-content{position:absolute;top:10px;left:10px;right:10px;bottom:10px;border:1px dashed #fff}.uploader-window h3{margin:-.5em 0 0;position:absolute;top:50%;left:0;right:0;-webkit-transform:translateY(-50%);-ms-transform:translateY(-50%);transform:translateY(-50%);font-size:40px;color:#fff;padding:0}.uploader-window .media-progress-bar{margin-top:20px;max-width:300px;background:0 0;border-color:#fff;display:none}.uploader-window .media-progress-bar div{background:#fff}.uploading .uploader-window .media-progress-bar{display:block}.media-frame .uploader-inline{margin-bottom:20px;padding:0;text-align:center}.uploader-inline-content{position:absolute;top:30%;left:0;right:0}.uploader-inline-content .upload-ui{margin:2em 0}.uploader-inline-content .post-upload-ui{margin-bottom:2em}.uploader-inline .has-upload-message .upload-ui{margin:0 0 4em}.uploader-inline h3{font-size:20px;line-height:28px;font-weight:400;margin:0}.uploader-inline .has-upload-message .upload-instructions{font-size:14px;color:#464646;font-weight:400}.uploader-inline .drop-instructions{display:none}.supports-drag-drop .uploader-inline .drop-instructions{display:block}.uploader-inline p{font-size:12px;margin:.5em 0}.uploader-inline .media-progress-bar{display:none}.uploading.uploader-inline .media-progress-bar{display:block}.uploader-inline .browser{display:inline-block!important}.media-selection{position:absolute;top:0;left:0;right:350px;height:60px;padding:0 0 0 16px;overflow:hidden;white-space:nowrap}.media-selection .selection-info{display:inline-block;font-size:12px;height:60px;margin-right:10px;vertical-align:top}.media-selection.editing,.media-selection.empty,.media-selection.one .edit-selection{display:none}.media-selection .count{display:block;padding-top:12px;font-size:14px;line-height:20px;font-weight:700}.media-selection .selection-info a{display:block;float:left;padding:1px 8px;margin:1px 8px 1px -8px;line-height:16px;text-decoration:none;border-right:1px solid #dfdfdf;color:#21759B}.media-selection .selection-info a:hover{background:#21759B;color:#fff;border-color:transparent}.media-selection .selection-info a:last-child{border-right:0;margin-right:0}.media-selection .selection-info .clear-selection{color:red}.media-selection .selection-info .clear-selection:hover{background:red}.media-selection .selection-view{display:inline-block;vertical-align:top}.media-selection .attachments{display:inline-block;height:48px;margin:6px;padding:0;overflow:hidden;vertical-align:top}.media-selection .attachment{width:48px;padding:0;margin:0;-webkit-box-shadow:none;box-shadow:none}.media-selection .attachment .thumbnail{top:4px;right:4px;bottom:4px;left:4px}.media-selection .attachment .icon{width:50%}.media-selection .attachment-preview{-webkit-box-shadow:none;box-shadow:none;background:0 0}.media-selection .attachment.selection.details .thumbnail{-webkit-box-shadow:0 0 0 1px #fff,0 0 0 3px #1e8cbe;box-shadow:0 0 0 1px #fff,0 0 0 3px #1e8cbe}.media-selection:after{content:'';display:block;position:absolute;top:0;right:0;bottom:0;width:25px;background-image:-webkit-gradient(linear,right top,left top,from(rgba(255,255,255,1)),to(rgba(255,255,255,0)));background-image:-webkit-linear-gradient(right,rgba(255,255,255,1),rgba(255,255,255,0));background-image:linear-gradient(to left,rgba(255,255,255,1),rgba(255,255,255,0))}.media-selection .attachment .filename{display:none}.media-frame .spinner{background:url(../images/spinner.gif) 0 0/20px 20px no-repeat;-webkit-
**************************************
wp-includes/css/admin-bar.min.css
v řádku 1 tato změna (jen výběr):rgba(255,255,255,0)
**************************************
wp-admin/css/wp-admin.min.css
tam toho je v řádku 1 tolik, že to ani sem nebudu kopírovat.****************************************
wp-admin/css/deprecated-media.min.css
v řádku 1 tato změna (jen výběr):center left no-repeat}.image-align-left-label{background:url(../images/align-left.png) center left no-repeat}.image-align-center-label{background:url(../images/align-center.png) center left no-repeat}.image-align-right-label{background:url(../images/align-right.png) center left no-repeat}
Je toho trochu moc, že. :(
8. října 2014 (11:36) #20600Tak jsem to vyzkoušel na čisté instalaci a vypadá to, že jsou v české verzi WordPressu 4.0 už nějaké opravy z chystané verze 4.0.1. Budu řešit s vývojáři, jak se to tam dostalo, ale rozhodně nejde o žádný vir nebo problém. Díky za postřeh!
8. října 2014 (12:02) #20601Co mám tedy zvolit u jednotlivých chybových hlášek Wordfence, které mi hlásí kritické chyby u 17 wp souborů?
Kterou z těchto 2 možnosti “nápravy” mám zvolit:* Ignore until the file changes. * Always ignore this file.
Ještě doplňující dotaz: jaký plugin instalovat na ochranu proti “vlámání” do přihlášení WP-admin?
Díky!
L.
8. října 2014 (14:14) #20603Mám tam úplně stejné chyby :-) Asi bych použil volbu “Ignore until the file changes”, takže po příští aktualizaci (až to bude v pořádku) se začnou tyto soubory zase automaticky kontrolovat. Ale nemám s tím nějaké speciální zkušenosti…
Nejlepší ochranou je bezpečné heslo, žádný speciální plugin podle mě není potřeba. Pokud používáte dobré heslo, tak se do administrace nikdo nedostane. Nebo co přesně myslíte “vlámáním”?
9. října 2014 (21:28) #20612Myslel jsem nějaký plugin, který např. omezí počet pokusů přihlášení do administrace WP, aby nějaký robot nemohl zkoušet tisíce pokusů, než se tam dostane.
10. října 2014 (12:37) #20617Pro tyto účely se používají různé pluginy, které kontrolují IP adresy a po několika pokusech útočníkovi zamezí v přihlašování, např. Login LockDown (ale umí to i větší bezpečnostní pluginy, myslím, že zrovna výše zmiňovaný Wordfence to má někde v nastavení). Problém je v tom, že v dnešní době mohou útočící roboti IP adresy střídat a jsou zase o krok napřed :-) Zvolte si bezpečné heslo a nemusíte řešit žádné pluginy…
10. října 2014 (21:44) #20632Ano potvrzuji, plugin Wordfence je skvělý, má i zabezpečenbí Loginu do administrace WP. Umožňuje následující nastavení v Options:
Login Security Options
Lock out after how many login failures
Lock out after how many forgot password attempts
Count failures over what time period
Amount of time a user is locked out
Immediately lock out invalid usernames
Don’t let WordPress reveal valid users in login errors
Prevent users registering ‘admin’ username if it doesn’t exist
Prevent discovery of usernames through ‘?/author=N’ scans10. října 2014 (21:48) #20633Zkusil jsem v rámci pluginu tuto funkci Test your WordPress host’s available memory a moc nerozumím výsledku. Je problém u mého webhostingu nebo u mne?
Current maximum memory configured in php.ini: 64M
Current memory usage: 8.25M
Setting max memory to 90M.
Starting memory benchmark. Seeing an error after this line is not unusual. Read the error carefully
to determine how much memory your host allows. We have requested 90 megabytes.Fatal error: Allowed memory size of 67108864 bytes exhausted (tried to allocate 35 bytes) in /mnt/data/accounts/l/lubos237/data/www/vysokorychlostni-zeleznice.cz/wp-content/plugins/wordfence/lib/wordfenceClass.php on line 2275
10. října 2014 (22:01) #20635Když myslíte, že to je potřeba, tak to klidně používejte :-) Osobně znovu doporučuji plugin deaktivovat a použít pořádné heslo…
Není tam žádný problém, máte dostupných 64 MB PHP paměti (hodnota
memory_limit
) a plugin to testuje až do 90 MB, aby to vyzkoušel. Z chybové hlášky je zřejmé, že zkusil cca 67 MB a neprošlo mu to :-) Máte to tam přímo napsané:Starting memory benchmark. Seeing an error after this line is not unusual. Read the error carefully
30. října 2014 (10:13) #20824I když mám nainstalovánu CZ verzi WP a na jiném místě píše, že používám nejnovější českou verzi, nabízí mi to v automatické aktualizaci:
If you need to re-install version 4.0–cs_CZ, you can do so here or download the package and re-install manually.
Mám to ignorovat nebo přeinstalovat CZ verzi?
Děkuji,
L.
30. října 2014 (11:04) #20825Pokud se to objevuje pouze na stránce Nástěnka – Aktualizace (a nejde o upozornění na každé stránce v administraci), tak jde pouze o volitelnou možnost, kdy můžete WordPress automaticky přeinstalovat, např. pokud došlo k nějakému poškození souborů při přesunu, napadení virem, atd.
3. listopadu 2014 (12:02) #20891Včera jsem se přesvědčil jak může být plugin Wordfence velmi užitečný. Upozornil mne, že nějaký hecker s ruskou IP se snaží přihlásit na moje stránky pod uživatelem Walter, který u mne nikdy nepublikoval, ale měl zřízený účet jako návštěvník. To by mne zajímalo jak se o uřivateli dozvěděl, když na webu nic neprovedl?
Po 10 neúspěšných pokusech Wordfence zablokoval přihlašovací jméno a ten hacker to vzdal. Hned jsem ještě zpřísnil ochranu na počet pokusů a dobu uzamčení přihlášení. Heslo mám sice relativně silné, ale pokud by někdo průběžně testoval statisíce pokusů, mohl by jej prolomit.
3. listopadu 2014 (15:27) #20895Nemohl být uživatel Walter už dříve registrovaný spammer, který si tak pouze někdy v minulosti připravoval přístupový bod pro roboty? U WordPressu lze uživatelské jméno snadno zjistit pomocí
domena/?author=ID
, které je přesměrováno na adresudomena/author/uzivateske-jmeno
. Ale to možná používaný plugin Wordfence také nějak řeší…Každopádně si stále dovolím trvat na tom, že je ten plugin dost zbytečný. I kdyby se robot ke zmiňovanému uživatelskému účtu nějak přihlásil, tak má pouze minimální oprávnění (aneb “Návštěvník”), může se porozhlédnout v administraci a to je asi tak všechno…
A pokud bude někdo testovat statisíce potenciálních hesel, tak by měl už asi zasáhnout hosting, protože to určitě nějakým způsobem pocítí. A k prolomení silného hesla bude útočník potřebovat o dost více než statisíce pokusů… Nechci bezpečnostní pluginy odsuzovat nebo je zlehčovat, ale celá situace se dá vykládat třeba také tak, že plugin Wordfence zase otravoval s nějakou nedůležitou informací o pokusném logování jednoho z mnoha robotů, musel jste přečíst email, že to někdo zkouší a následně jste provedl ještě nějaké změny. Co by se stalo, kdyby tam ten plugin vůbec nebyl a robot by zkusil projet svůj seznam tisíce nejčastějších hesel? Maximálně by se přihlásil jako Návštěvník a nestalo by se vůbec nic… Ani byste se o tom nedozvěděl a nemusel nic řešit :-)
-
AutorPříspěvky
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.