Zvolené téma obsahuje celkem 7 odpovědí. Do diskuze (3 účastníci) se naposledy zapojil uživatel 
-
Příspěvky
-
Zdravím,
nebudu to nějak obkecávat takže stručně:
Rozhodl jsem se, že vytvořím svůj nový plugin na ochranu webu proti malware a pro upozornění na potencionální bezpečnostní chyby ve WordPressu a rád bych slyšel vaše návrhy, nápady a vlastně cokoliv na toto téma.
Důvod proč jsem se k tomu rozhodl je jednoduchý, existuje spousta pluginů, které kontrolují to či ono, ale s žádným z nich nejsem úplně spokojený a většinou jich musíte použít několik a stejně nemáte žádnou jistotu že je váš web v bezpečí. Například nedávno jsem použil plugin na kontrolu scriptu TimThumb.php abych zjistil, že vlastně vůbec nefunguje, protože tento script prostě nenašel i když byl obsažen v šabloně…
Moje představa je taková:
1) plugin bude kontrolovat jak šablonu tak i pluginy na existenci nebezpečné verze scriptu timthumb.php. Při nalezení varuje uživatele a nabídne mu informace k nápravě.
(již z větší části hotovo – funguje perfektně, 100% úspěšnost nalezení)
2) plugin bude kontrolovat hashe systémových souborů WP. Při změně jakéhokoliv souboru varuje uživatele a zobrazí název změněného souboru.
(zatím ve fázi příprav)
3) plugin bude kontrolovat základní zabezpečení jako je například existence potencionálně nebezpečného uživatelského jména “admin”, neaktualizovaná verze WP , výchozí klíče pro zabezpečení, zastaralá verze PHP atd.
4) plugin bude kontrolovat verze aktivovaných pluginů a bude je porovnávat se známými verzemi obsahující nějakou bezpečnostní chybu. V případě nalezení zastaralého a nebezpečného pluginu zobrazí info o nutnosti aktualizace.
5) plugin bude kontrolovat existenci některých známých shellů. V případě nalezení informuje uživatele, doporučí změnit hesla a nabídne možnost smazání shellu.
6) plugin odstraní hlášky při přihlašování do administrace – stupidní chyba vývojářů kdy útočník může snadno zjistit zda existuje určitý uživatel.
7) plugin zajistí ochranu proti brute-force útokům. Při větším počtu neúspěšných pokusů o přihlášení zablokuje na nějaký čas danou IP adresu.
Dále ještě uvažuji o možnosti zablokování přístupu k editoru šablon a pluginů pouze pro určitého uživatele (dají se tak zjistit přihlašovací údaje k databázi bez přístupu na FTP). Ale to má zatím ještě spoustu nevyřešených otázek :)
Vážné problémy by měl volitelně umět i odesílat na zadaný email. Každá funkce by měla jít volitelně deaktivovat a vše by se mělo dít bez zásahu uživatele, tedy zcela automaticky.
Rád bych kdyby jste se k tomu nějak vyjádřili, případně doplnili funkce které by plugin mohl obsahovat a na které jsem zapoměl. Plugin bude samozřejmě zdarma.
Děkuji
Teda klobouk dolů a poklona. Už se těším!
K vlastnostem:
– kontrola nastavení přístupových oprávnění
– prefix SQL tabulek
– kontrolovat nastavení práv k důležitým souborům a složkám (jako to dělá WP securi scan)
– “IPS&IDS” – kontrola počtu 404 error stránek a možnost nastavení zablokování IP Adresy. Sice to zatím nepoužívám, ale pokud by jsi vytvořil stránku s top 404 chybami bylo by to super. Jinak základ umí Better WP Security
– vypnutí administrace na určitou dobu – umí to Better WP Security
– změnit /wp-content/ – na něco jiného – umí to Better WP Security
Mohu přidat přehled seznam toho co umí WP better security, doporučuji otestovat.
Na takový plugin ti přispěji nějakou částkou pokud ho vytvoříš :)
Super díky moc,
– kontrola nastavení přístupových oprávnění
Nerozumím co tím myslíš, přístupy k tomuto pluginu? Zatím funguje tak, že operovat s nastavením může pouze administrátor (navíc mě napadlo že by se i mohl nastavit pouze jeden určitý admin). Zbytek pluginu – tedy samotné kontroly by byly v provozu “neustále” (ty uvozovky vysvětlím později).
Oprávnění celkově si myslím řeší WP docela dobře, zkus to rozepsat.
– prefix SQL tabulek
Jistě na to jsem zapoměl při psaní tohodle příspěvku :)
– kontrolovat nastavení práv k důležitým souborům a složkám
Samozřejmě nějak mi to taky vypadlo, ale se bojím, že tohle bude chyba kterou hned po aktivaci uvidí 99% uživatelů WP a že s tím bude nejvíc problémů :)
– “IPS&IDS” – kontrola počtu 404 error stránek a možnost nastavení zablokování IP Adresy
Co se týče 404, nevím zda to nějak souvisí s bezpečností. Neexistující stránky řeší snad všechny služby pro monitoring návštěvníků a ještě více to zvýší složitost tohoto pluginu. Musím taky brát v potaz, že né každý má na hostingu neomezeně procesů a memory_limit nad 250 mega :) Ale zatím to úplně nezavrhuji, nechám to na další úvahy.
Zablokování IP adresy pravděpodobně ano, nejvíc asi z toho důvodu, že neznám žádný plugin, který umí na 100% zablokovat IPV6 adresy…
– vypnutí administrace na určitou dobu
Tohle mě vůbec nenapadlo, zajímavý tip určitě zvážím
– změnit /wp-content/
Tomu bych se nejraději vyhnul, hodně pluginů a vzhledů díky tomu přestane správně fungovat. A podle mého názoru to zase taková výhra co se týče zabezpečení není…
Na ten plugin Better WP Security se podívám, určitě tam bude hodně inspirace. Co se týče motivace určitě se nebudu bránit, každopádně největší radost budu mít z toho až oslavím první milion stažení tohoto pluginu :)
Ještě jednou díky za tipy.
ad “kontrola nastavení přístupových oprávnění” – myslel jsem tím totéž co Bigdrobek = kontrolovat nastavení práv k důležitým souborům a složkám
– kontrola nastavení přístupových oprávnění & – kontrolovat nastavení práv k důležitým souborům a složkám
Jedná se o pouze o scan, který ti řekne kde mají být jaké práva a když tomu tak není tak pouze zvýrazní řádku s tím souborem / složkou
viz: http://bigdrobek.com/wp-content/uploads/2012/10/security-scan-prava.jpg
No a to je právě problém…
Proč je na obrázku uveden soubor htaccess pro čtení úplně všem? K souboru má mít přístup pouze apache a maximálně php, ta poslední 4 je tam
1) špatně (má tam být 0 – nikdo kromě vlastníka nebo skupiny k tomuto souboru nemá mít přístup)
2) zbytečně protože každý server má pro tento soubor už ve výchozím nastavení uvedeno “deny from all”
To samé u souboru wp-config.php, proč by mělo být správně 644 když nikdo kromě vlastníka a skupiny nemá mít možnost tento soubor číst. Příjde mi nelogické uvádět “správné” nastavení “ostatní pouze pro čtení” a pak v samotném PHP kódu zabránit aby nikdo kromě PHP tento soubor číst nemohl.
Tím chci pouze naznačit, že uvedené “správné” nastavení zase tak správné není. Také to s těmi právy není tak jednoznačné, na některých serverech 640 nefunguje, na některých ano (wedos). Také jsem se setkal i s tím, že u jednoho serveru musí být pro zápis do souboru nastaveno 664 a u jiného 666 (freehostingy), na jiném zase PHP vesele zapisuje i při 644. Je to prostě hodně o konfiguraci serveru a to je důvod proč se bojím těchto doporučení. To že to funguje mi, neznamená, že to bude fungovat i všem ostatním…
Zkusím to nějak vyřešit, ale už teď je mi jasné že s tím bude hromada problémů. Každopádně díky za připomínky.
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.