WordPress htaccess imppanfree

[TomPilar2906]

Otázka pro zkušenější. Jak moc je nutné mít v htaccess povolen k WordPressu  pouze IP tvůrce webu, případně pomocníka, který občas web upravuje? A je dobrou cestou zakázat přístup vymezením, zákazem IP adres z jihovýchodní Asie a Ruska v případě, že webová stránka ve WP je pouze pro lokální maximálně české uživatele?

[Reklama]

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

No... na to se za 5 minut odpovědět nedá. Sice wordpress znám jen uživatelsky, možná nasekám spoustu chybných tvrzení.... Wordpress má tu klíčovou  nevýhodu, že admin rozhraní kontra plus "webovky" je nejen na stejném webserveru, doméně, ale i stejném prostoru skriptů, tedy na stejné URL (wp-admin).

Záleží kde to hostuješ, většina(??) solidních velkých hostérů má nějakou ochranu přístupu na ten zkk*** wordpress, protože s nim jsou furt problémy. Různé heurestiky a vlastně i modifikovanou "distribuci WP" (nebo přes transparentní proxy)

Takže tenhle zákaz je trochu dvousečný - neúčinný a omezující  - kombinuje dvě nevýhody:
1. útočník nemá problém si najít českou IP, ze které (bude vycházet) útok.
2. odřízneš tím návštěvníky. Nejen třeba  českou menšinu v japonsku(příklad 1) ,ale i disidenty v rusku(příklad 2)
N. Internet nezná hranice, například ruská ambasáda taky má české IP když jsou "na prazé 13"

Bohužel kočkopes wordpress tuto klíčovou nevýhodu má ve své architektuře. A řeší se to obvykle "wordpress way", že se na řešení problému "doinstaluje" plugin.

PS: co je imppanfree?

[TomPilar2906]

 imppanfree   Avast jeden z webů nezobrazí s tím, že imppanfree.live je bezpečnostní hrozba na blacklistu.

Jinak díky za zkušenosti.

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

To s tou prahou 13 říkal stand up komik Tigran nevímjakýgruzínskýpříjemení v šotu Hlášení v tescu že bydlí na(sic!) Praze 13 a že jestli ji někdo zná ať s přihláší, moc lidí se nehlásilo tak říkal že praha 13 je taková divná praha něco jako malý rusko

ale ten impannfree  s tím asi absolutně nesouvisí, to je nějaká svévole avastu, že má zálibu v označkování webů, které uzná za nebezpečné, a ikdyž si uživatel přivodí přítomnost Avast do počítače, pak mu to hlásí tyhle věc.
Ale je možné že, ten web wordpressu.live napadli hekři (třeba z USA nebo prahy 13, jiný ne, když Asie a Rusko jsou zablokovaný přecé) a dali tam těžící skripty a avast to zavětřil díky spywaru v rozšíření od avastu co dával do prohlížečů

[Filip Jirsák]

Otázka pro zkušenější. Jak moc je nutné mít v htaccess povolen k WordPressu  pouze IP tvůrce webu, případně pomocníka, který občas web upravuje?

Nutné to určitě není – měly byste se snažit udržovat WordPress v takovém stavu, aby ho nikdo napadnout nemohl. Druhá věc je, jestli je to vůbec možné – jestli dokážete oddělit administrační a návštěvnický prostor cest. A za třetí, jestli se nemýlím, zranitelnosti ve WordPressu i pluginech bývají i mimo administrační rozhraní – že je možné zneužít nějakou „běžnou“ cestu k získání vyšších práv nebo zkrátka k nepleše. Nebo-li je otázka, zda by takový zákaz k něčemu byl.

Také myslete na to, že možná běžně spravujete WordPress z jedné IP adresy, ale k nějakému průšvihu typicky dojde v okamžiku, kdy budete někde na dovolené apod. Zákon schválnosti říká, že u sebe budete mít třeba jen mobil, ze kterého byste zvládl udělat tu opravu ve WordPressu – ale dostat se do administrace webu a povolit si tam přístup z jiné IP adresy bude daleko složitější, než oprava toho původního problému.

A je dobrou cestou zakázat přístup vymezením, zákazem IP adres z jihovýchodní Asie a Ruska v případě, že webová stránka ve WP je pouze pro lokální maximálně české uživatele?

Není to dobrá cesta, protože nevíte, jestli se tam nebude chtít někdo podívat třeba z dovolené v jihovýchodní Asii, nebo jestli se třeba ty IP adresy nepřestěhují někam jinam.

Blokování na základě geolokalizace (nebo obecně větších rozsahů IP adres), zejména když je to služba určená pro veřejnost, bych používal jenom v extrémních případech (kdy není jiné řešení) a pokud možno jen po omezenou dobu.

[Reklama]

[TomPilar2906]

"1. útočník nemá problém si najít českou IP, ze které (bude vycházet) útok."

Jde to nastavit i obráceně, tedy pouze ty IP adresy ze kterých bude možné vůbec zkoušet heslo do administrace. Opravdu nevím, proč by to mělo být umožněno botům z celé jihovýchodní Asie včetně Číny. To už mi přijde jednodušší upozornit zákazníky na skutečnost, že pokud chtějí upravovat cokoliv z administrace WP na cestách, je potřeba htaccess kvůli tomu upravit. 

[Filip Jirsák]

Opravdu nevím, proč by to mělo být umožněno botům z celé jihovýchodní Asie včetně Číny.

Protože přístupové údaje stejně musí být tak silné, aby ničemu nevadilo, když to ti roboti budou zkoušet. A problém je, že vy nedokážete odfiltrovat jenom ty roboty.

Jak už jsem psal, IPv4 adres je čím dál větší nedostatek, tím pádem jsou dražší, více se s nimi obchoduje a to ve všech zónách, od legální zóny přes šedou po jednoznačně nesprávné převody. Takže se neustále zvyšuje pravděpodobnost, že tu IP adresu teoreticky z jihovýchodní Asie dostane klidně někdo z Turnova na svém domácím připojení.

To už mi přijde jednodušší upozornit zákazníky na skutečnost, že pokud chtějí upravovat cokoliv z administrace WP na cestách, je potřeba htaccess kvůli tomu upravit.

Ale co tou blokací získáte?

Jak už jsem psal, blokace IP rozsahů je dost humpolácké řešení – nerozlišuje, jestli je někdo padouch nebo hrdina, zablokuje všechny; a na druhou stranu pro aspoň trochu motivovaného útočníka není problém to obejít. Takže by se neměla používat jen tak, protože to jde a protože se vám chce.

[alfi]

Blokace nedává smysl. Když už, tak whitelist povolených IP, které na /wp-admin můžou. Plus alespoň jedna "cestovní" - nějaká vpn nebo alespoň ssh tunel. Pokud je web jednoduchý, jde použít wp2static nebo Simply static = vygenerovat z něj statické soubory na nějakou CDN a samotný WP mít třeba v neveřejné síti.

Tady je pěkný checklist, na co nezapomenout při zabezpečení WP https://wpsecuritychecklist.org/items/