reklama

Diskuze na WordPress šabloně

Diskuze na WordPress šabloně
« kdy: 27. 02. 2019, 16:26:05 »
Dobrý den,
máme postavený web na wordpress šabloně a chtěli bychom mít k příspěvkům zprovozněnou diskuzi. Ale samozřejmě se nám stalo, že celá diskuze byla zaspamovaná. Zvláště téma toho webu je asi hodně "populární" na spamování...
Nemáte prosím někdo tip na nějaký plugin, jak tomuto zamezit? Nevíme co máme dělat:-(.
Děkujeme za každou radu!
« Poslední změna: 27. 02. 2019, 18:23:53 od Petr Krčmář »

reklama


Re:Diskuze na wordpress šabloně
« Odpověď #1 kdy: 27. 02. 2019, 18:02:01 »
Na Wordpress není žádná rada. Je to tak moc rozšířený systém, navíc programovaný poměrně špatně, se spoustou pluginů programovaných amatéry, že to celé přitahuje hackboty jako magnet.

Lze doporučit jen obecné rady, ale ty jistě znáte: automaticky a co nejrychleji aktualizovat na nejnovější verze. Pečlivě vybrat správné pluginy a zabezpečení. Docela dobře může pomoci i Web Application Firewall, např. Atomic má poměrně slušný ruleset za solidní cenu ($ 225 / rok: https://www.atomicorp.com/amember/cart/index/product/id/29/c/). Ten aplikační firewall vyblokuje spoustu útoků a také odhalí hodně slabin v pluginech wordpressu (nejčastěji XSS).

Pak může pomoci nastavit běžný firewall, omezit počet spojení za určitý čas ze stejné IP adresy. Je to sice dost zoufalé řešení, ale pomůže.

Další zoufalé, přesto fungující řešení je fail2ban, zejména pokud do něj nakrmíte právě výsledky z modsecurity.

Ale to všechno jsou ohejbáky, narovnáváky, ..., které nikdy nebudou stoprocentní. Vždy bude určitá část útoků úspěšná, a vždy to bude trpět na falešné detekce.

Pokud můžete, vyhněte se Wordpressu, je to levnější než tyto blbiny. Nenechte se zviklat tím, že "Franta odvedle" provozuje roky Wordpress pro svůj pingpongový klub a bez problémů. Wordpress je o to náchylnější na průšvihy, o co víc jste na internetu zmiňovaný. Hackboti sbírají adresy, které testují - takže neznámé pingpongové stránky mají daleko větší šanci přežít, než aspoň trochu známý web.
« Poslední změna: 27. 02. 2019, 18:03:52 od Miroslav Šilhavý »

Re:Diskuze na wordpress šabloně
« Odpověď #2 kdy: 27. 02. 2019, 18:27:05 »
Na Wordpress není žádná rada. Je to tak moc rozšířený systém, navíc programovaný poměrně špatně, se spoustou pluginů programovaných amatéry, že to celé přitahuje hackboty jako magnet.
...
Pokud můžete, vyhněte se Wordpressu,...
Na to se vyloženě nabízí otázka: Jaký redakční systém místo Wordpressu, který by výše uvedenými problémy netrpěl?

Re:Diskuze na WordPress šabloně
« Odpověď #3 kdy: 27. 02. 2019, 19:08:44 »
Proti spamu, ktery projde formularem:
- reCaptcha
- Honeypot (time protection)
- ceske captcha otazky pokud je to lokalni zalezitost jako treba tady root
- DURAZNY osetreni registrace a prispevky povolit jen prihlasenym

Pak je druha vec a to jsou ty XSS a SQLi utoky. Tam lze poradit par veci:
- pravidelne aktualizovat
- idealne mit sveho freelancera, ktery tomu systemu rozumi
- nestahovat placene pluginy "zadaco" - vetsinou to nekdo koupi, "poleci", prida svuj skodlivy kod a hodi na site. tupci si myslej jak vydrbali s puvodnim autorem.

Kazdy system trpi na bezpecnostni chyby. U open-source je to jednodussi napadat, ale stejne tak je vyrazne jednodussi to aktualizovat. Vem si takovou aferu Panama papers. Duverne informace o miliardach dolaru. A nekdo jim to ukradne protoze si nezaplati nejakyho mladase na pravidelny support a nechaji v systemu dele nez rok znamou 0day zranitelnost.

Wordpress je o to náchylnější na průšvihy, o co víc jste na internetu zmiňovaný. Hackboti sbírají adresy, které testují - takže neznámé pingpongové stránky mají daleko větší šanci přežít, než aspoň trochu známý web.
Zajimave je, ze moje prakticka zkusenost ma dva rozmery:
- wp-login.php je nejcastejsi zaznam v logu webserveru
- kdyz prisel Drupalgeddon tak jsem mel napadane 2 weby z asi 50 (vse jsem mel zaplatovane za mene nez 24 hodin). Oba ty weby mely navstevnost max v desitkach uzivatelu tydne (vs weby se statisici uzivatelu mesicne). Byly "za bukem" a spaly, nic nespamovaly atd. Dle meho nazoru se mi chtely dostat do zaloh, aby to bylo problematicke s osetrenim.
Děkuji za možnost editace příspěvku.

Re:Diskuze na wordpress šabloně
« Odpověď #4 kdy: 27. 02. 2019, 20:22:26 »
Na to se vyloženě nabízí otázka: Jaký redakční systém místo Wordpressu, který by výše uvedenými problémy netrpěl?

Když se podívám do statistik, tak Wordpress a Joomla jsou průšvih. Drupal a Magento jsou na tom výrazně lépe:
https://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
https://www.cvedetails.com/vendor/3496/Joomla.html
https://www.cvedetails.com/product/2387/Drupal-Drupal.html?vendor_id=1367
https://www.cvedetails.com/product/31613/Magento-Magento.html?vendor_id=15393

reklama


Re:Diskuze na WordPress šabloně
« Odpověď #5 kdy: 27. 02. 2019, 20:25:02 »
Pak je druha vec a to jsou ty XSS a SQLi utoky. Tam lze poradit par veci:
- pravidelne aktualizovat
- idealne mit sveho freelancera, ktery tomu systemu rozumi
- nestahovat placene pluginy "zadaco" - vetsinou to nekdo koupi, "poleci", prida svuj skodlivy kod a hodi na site. tupci si myslej jak vydrbali s puvodnim autorem.

S těmito tvrzeními souhlasím absolutně.
Bohužel, moje zkušenost je, že Wordpress se používá spíš stylem: máme nabídku od šikovného (studenta), který nám udělá ze sexy šablony web za pár korun a budeme si ho moct sami editovat.

Na to, aby se správně vybraly komponenty, zabezpečilo se to, a aby se o to někdo pravidelně staral, na to už se nemyslí. Ve skutečnosti je měsíční správa Wordpressu poměrně časově náročná, určitě to hodinku, dvě vezme. Jenže to už zákazníci nechtějí platit - vždyť je to Wordpress, Opensource, tedy to musí být ZADARMO.

Re:Diskuze na WordPress šabloně
« Odpověď #6 kdy: 28. 02. 2019, 08:28:06 »
Pak je druha vec a to jsou ty XSS a SQLi utoky. Tam lze poradit par veci:
- pravidelne aktualizovat
- idealne mit sveho freelancera, ktery tomu systemu rozumi
- nestahovat placene pluginy "zadaco" - vetsinou to nekdo koupi, "poleci", prida svuj skodlivy kod a hodi na site. tupci si myslej jak vydrbali s puvodnim autorem.

S těmito tvrzeními souhlasím absolutně.
Bohužel, moje zkušenost je, že Wordpress se používá spíš stylem: máme nabídku od šikovného (studenta), který nám udělá ze sexy šablony web za pár korun a budeme si ho moct sami editovat.

Na to, aby se správně vybraly komponenty, zabezpečilo se to, a aby se o to někdo pravidelně staral, na to už se nemyslí. Ve skutečnosti je měsíční správa Wordpressu poměrně časově náročná, určitě to hodinku, dvě vezme. Jenže to už zákazníci nechtějí platit - vždyť je to Wordpress, Opensource, tedy to musí být ZADARMO.

My se o to právě starat chceme, ale ani nejsme schopni nikoho najít, kdo by nám pomohl. Moc vám všem děkuju za rady, nějak se s tím probereme a pokusíme se to odlatit. Díky.

Re:Diskuze na WordPress šabloně
« Odpověď #7 kdy: 28. 02. 2019, 08:29:47 »
My se o to právě starat chceme, ale ani nejsme schopni nikoho najít, kdo by nám pomohl. Moc vám všem děkuju za rady, nějak se s tím probereme a pokusíme se to odlatit. Díky.

Až někoho najdete, dejte mi vědět. Já zatím potkalna WP jen amatéry, zatímco profíci (aspoň trohcu kvalitní admini a programátoři) se wordpressem moc zabývat nechtějí.

Zvažte PLESK panel, ten má určité automatizované nástroje, které nekteré zranitelnosti proaktivně mitigují.

Re:Diskuze na WordPress šabloně
« Odpověď #8 kdy: 28. 02. 2019, 11:08:09 »
Zrušte wordpress diskusi a použijte Disqus nebo facebook diskuse, podle cílovky. Vyhnete se pluginům, spam bude problém třetí strany a vložení znamená přidat pár řádek do šablony, návody na to jsou i v češtině

Re:Diskuze na wordpress šabloně
« Odpověď #9 kdy: 28. 02. 2019, 11:29:51 »
Když se podívám do statistik, tak Wordpress a Joomla jsou průšvih. Drupal a Magento jsou na tom výrazně lépe:
https://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
https://www.cvedetails.com/vendor/3496/Joomla.html
https://www.cvedetails.com/product/2387/Drupal-Drupal.html?vendor_id=1367
https://www.cvedetails.com/product/31613/Magento-Magento.html?vendor_id=15393
Pokud srovnáváme čistě CMS, tak u Joomly by měl být tento odkaz: https://www.cvedetails.com/product/16499/Joomla-Joomla-.html?vendor_id=3496

Když se dívám na "# of Vulnerabilities" tak vidím:
Joomla!:
2015    12
2016    6
2017    19
2018    24


WP:
2015    11
2016    20
2017    46
2018    17


Drupal:
2015    10
2016    19
2017    8
2018    10


Takže v roce 2015 je to cca remíza. Rok 2016 měla nejméně zranitelností Joomla! a WP a Drupal cca remíza. Pro roky 2017-2018 máte pravdu, nejméně má Drupal a Joomla! a WP jsou na tom o poznání hůř. V následujících dvou letech se to může zase otočit. Každý CMS má své problémy a měnit ho každý rok podle počtu zranitelností nejde.

Re:Diskuze na WordPress šabloně
« Odpověď #10 kdy: 28. 02. 2019, 12:43:58 »
My se o to právě starat chceme, ale ani nejsme schopni nikoho najít, kdo by nám pomohl.
www.navolnenoze.cz => hledej wordpress.
Děkuji za možnost editace příspěvku.

Re:Diskuze na wordpress šabloně
« Odpověď #11 kdy: 28. 02. 2019, 12:49:24 »
Takže v roce 2015 je to cca remíza. Rok 2016 měla nejméně zranitelností Joomla! a WP a Drupal cca remíza. Pro roky 2017-2018 máte pravdu, nejméně má Drupal a Joomla! a WP jsou na tom o poznání hůř. V následujících dvou letech se to může zase otočit. Každý CMS má své problémy a měnit ho každý rok podle počtu zranitelností nejde.

Podívejte se ještě taky v jakých rubrikách ta rizika jsou. Každý z těch systémů je má rozložené jinak a ne každé riziko se týká každého usecasu.

Re:Diskuze na wordpress šabloně
« Odpověď #12 kdy: 28. 02. 2019, 12:55:45 »
Když se dívám na "# of Vulnerabilities" tak vidím...
Tohle je metrika o nicem. Vezměme si Drupal:
- drtiva vetsina zranitelnosti je necim podminena. Typicky tim, ze ma utocnik pravo neco administrovat takze ve finale jsou ta cisla nafouknuta protoze tohle nejde zneuzit robotem a sve adminy mam timhle smerem prece spolehlive. Naproti tomu drtiva vetsina zranitelnosti tykajicich se WP je mimo jadro a co hur - viz relativne nedavno statistika kdy snad 80% vsech pluginu melo nejakou formu neosetreneho vstupu na XSS/SQLi a tam uz prichazi problem s automatizaci utoku. Mit robotem napadnutelne XSS v Drupalu a mit to jako contrib modul neni uplne jednoduche
- tech skutecne kritickych veci bylo kolik za historii? tak 5 maximalne. Z toho jedna(nejnovejsi) limitovana na zapnuty nejaky API modul a dalsi byla kdysi v pribalenem CKEditoru. A pak mame 2 Drupalgedony kdy zejmena ten prvni byl drtivy protoze prisel necekane a bez poradneho workflow =>
- a ted prichazi to nejdulezitejsi! zpusob jak se k tomu ktery produkt stavi. A tady si myslim, ze Drupal muze jit prikladem pote co se poucil z Drupalgeddonu. Pokud jde kritickou chybu tak predchazi oznameni, ze bude neco kritickeho vydano. Vyvojar si koupi na stredecni vecer lahvace a ceka az to amici vypusti. Pak ceka hodinu jestli neni chyba v patchi a pak si to skriptem jednoduse vse aktualizuje. Pak tady mame neexistenci "store" - vse je open source, spravci modulu zadaji o review security team a na zaklade toho jsou moduly/releasy oznacovany za zkontrolovane.
Děkuji za možnost editace příspěvku.

 

reklama