Odświeżony Wordfence – antywirus i firewall dla WordPress

Czy WordPress jest bez­pieczny?

Olbrzy­mia popu­lar­ność WordPress powo­duje, że jest war­to­ścio­wym celem dla zauto­ma­ty­zo­wa­nych ata­ków haker­skich. Z punktu widze­nia osoby, która chce uzy­skać korzy­ści np. w postaci wykra­da­nia danych, stwo­rze­nia bot­netu, albo umiesz­cza­nia spa­mer­skich lin­ków, napi­sa­nie bota prze­szu­ku­ją­cego inter­net i wyko­rzy­stu­ją­cego błędy w milio­nach stron jest nie­zwy­kle korzystna. Raz napi­sany pro­gram będzie suk­ce­syw­nie i auto­ma­tycz­nie wła­my­wał się do stron i robił to, do czego został stwo­rzony, przy­no­sząc korzy­ści swo­jemu auto­rowi. Chyba że zała­tamy dziurę lub zabez­pie­czymy się na inne spo­soby i nie pozwo­limy robo­towi na swo­bodny dostęp do strony.

Sta­ty­stycz­nie duża liczba ata­ków prze­pro­wa­dzana na WordPress nie wynika z kiep­skiej jako­ści kodu, ale raczej z połą­cze­nia popu­lar­no­ści, nie­rzadko ama­tor­skiego podej­ścia do zarzą­dza­nia sys­te­mem, loso­wej jako­ści dodat­ków oraz kiep­skich hostin­gów. Nie ozna­cza to jed­nak, że WordPress nie jest bez­pieczny. Aktu­ali­za­cje bez­pie­czeń­stwa są publi­ko­wane na bie­żąco, insta­lują się auto­ma­tycz­nie i doty­czą nawet star­szych wer­sji sys­temu. Firmy hostin­gowe coraz chęt­niej ofe­rują dedy­ko­wane opro­gramowanie, fil­tru­jące nie­po­żą­dane dzia­ła­nia, a ponadto dostępne są wtyczki doda­jące do CMS nie­stan­dar­dowe zabez­pie­cze­nia.

Popu­larny ska­ner mal­ware dla WordPres­s

Po­nad dwa miliony aktyw­nych użyt­kow­ników — taką liczbą insta­la­cji może pochwa­lić się wtyczka Word­fence Secu­rity, będąca dla wielu pod­sta­wową linią obrony i zabez­pie­cza­nia WordPressa. Jest też jedną z pierw­szych w wyni­kach wyszu­ki­wa­nia ofi­cjal­nego repo­zy­to­rium wty­czek na hasła „fire­wall”, „secu­rity” oraz „anti­vi­rus”. Nic dziw­nego — jej uży­tecz­ność, nawet w dar­mo­wej wer­sji, jest bar­dzo wysoka.

Word­fence Secu­rity w wer­sji dar­mo­wej ofe­ruje mię­dzy innymi:

• Web Appli­ca­tion Fire­wall, czyli zaporę ogniową dzia­ła­jącą na pozio­mie ser­wera, przed wyko­na­niem kodu WordPress, która na bazie aktu­ali­zo­wa­nych okre­sowo reguł, pozwala na fil­tro­wa­nie dzia­łań uzna­wa­nych za nie­bez­pieczne;
• Wbu­do­wany ska­ner pli­ków źró­dło­wych CMS, wty­czek oraz sza­blo­nów, a nawet innych pli­ków umiesz­czo­nych w fol­de­rze i pod­fol­de­rach gdzie zain­sta­lo­wany jest WordPress. Co istotne, ska­ner nie tylko infor­muje o zmie­nio­nych pli­kach, ale potrafi także porów­nać je z ory­gi­na­łem, a także zapro­po­no­wać ich usu­nię­cie (jeżeli są zbędne) lub zamianę;
• Zabez­pie­cze­nie przed ata­kami typu brute force, co w prak­tyce ozna­cza moż­li­wość usta­la­nia limi­tów dla prób logo­wa­nia, przy­po­mnie­nia hasła, a także ogra­ni­cze­nie dostęp­no­ści do strony nie­chcia­nym robo­tom;
• Filtr anty­spa­mowy dla komen­ta­rzy;
• Natych­mia­stowe lub cykliczne powia­do­mie­nia oraz raporty e-mail z dzia­ła­nia Word­fence zawie­ra­jące infor­ma­cje o ata­kach, nie­uda­nych logo­wa­niach, zmia­nach w pli­kach, nowych użyt­kow­nikach, etc.;
• Kilka dodat­ko­wych, drob­nych narzę­dzi, wyłą­cza­ją­cych np. moż­li­wość wyko­ny­wa­nia kodu w fol­de­rze uplo­ads, gdzie WordPress domyśl­nie gro­ma­dzi prze­słane pliki.

Nowy inter­fejs Word­fence w wer­sji 7.0

Ostat­nia wer­sja tej popu­lar­nej wtyczki docze­kała się kom­plet­nie nowego inter­fejsu gra­ficz­nego. Co prawda, u wielu doświad­czo­nych użyt­kow­ników ta zmiana powo­duje fru­stra­cje, ponie­waż w kon­se­kwen­cji dopro­wa­dziła do total­nej reor­ga­ni­za­cji wszyst­kich usta­wień. Z mojego punktu widze­nia jest to jed­nak bar­dzo dobre posu­nię­cie. Wyspe­cja­li­zo­wane funk­cje posia­dają teraz swoje odrębne ekrany — Fire­wall, Ska­ner, Narzę­dzia dodat­kowe oraz Ogólne usta­wie­nia wtyczki.

W nagłówku każ­dej pod­strony zoba­czymy pro­ste licz­niki obra­zu­jące sto­pień wdro­żo­nych zabez­pie­czeń. Warto zauwa­żyć, że dla wielu z tych opcji osią­gnię­cie 100% jest nie­moż­liwe bez zaku­pie­nia wer­sji pre­mium. Odno­szę jed­nak wra­że­nie, że auto­rzy wtyczki pod­cho­dzą do tematu bez­pie­czeń­stwa w spo­sób odpo­wie­dzialny i więk­szość opcji pre­mium doty­czy usta­wień pre­cy­zyj­nych, które w wer­sji dar­mo­wej są nie­do­stępne lub zauto­ma­ty­zo­wane (nie mamy na przy­kład moż­li­wo­ści usta­wie­nia har­mo­no­gramu auto­ma­tycz­nych ska­nów — Word­fence zade­cy­duje za nas, kiedy je uru­cho­mić). Odświe­żona szata gra­ficzna zyskała na czy­tel­no­ści. Jest bar­dziej dostępna dla użyt­kow­ników, wpro­wa­dza wyraźny podział na sek­cje strony i korzy­sta ze spój­nej komu­ni­ka­cji za pomocą jed­nakowych kolo­rów oraz iko­no­gra­fii. Cie­szy rów­nież ogra­ni­cze­nie mak­sy­mal­nej sze­ro­ko­ści inter­fejsu, co doce­nią użyt­kow­nicy bar­dzo dużych moni­to­rów.

Jak skon­fi­gu­ro­wać Word­fence Secu­rity?

Choć wtyczka zapro­jek­to­wana jest w taki spo­sób, aby więk­szość jej funk­cji dzia­łała od razu po insta­la­cji, nie­które wyma­gają ręcz­nego włą­cze­nia.

Po akty­wo­wa­niu wtyczki powin­ni­śmy zoba­czyć komu­ni­kat wyświe­tlany na górze strony zaple­czo­wej, zachę­ca­jący do skon­fi­gu­ro­wa­nia Web Appli­ca­tion Fire­wall. Choć zapora działa od razu po uru­cho­mie­niu wtyczki, domyśl­nie ładuje się jako część sys­temu WordPress. Zaawan­so­wana kon­fi­gu­ra­cja tego modułu umoż­li­wia fil­tro­wa­nie nie­któ­rych ata­ków jesz­cze przed uru­cho­mie­niem pod­sta­wo­wych funk­cji sys­temu, jest więc bar­dziej efek­tywna.

Jeżeli zde­cy­du­jemy się na zaawan­so­waną kon­fi­gu­ra­cję, kon­fi­gu­ra­tor popro­wa­dzi nas przez ten pro­ces, wykry­wa­jąc rodzaj opro­gramowania ser­we­ro­wego, z któ­rego korzy­stamy oraz ofe­rując wyko­na­nie kopii zapa­so­wej pli­ków. htac­cess, oraz php.ini. Zmiany, które zostaną następ­nie wpro­wa­dzone doty­czą kon­fi­gu­ra­cji ser­wera – jeżeli nie mamy dostępu do sys­temu pli­ków strony przez pro­to­kół FTP lub nie wiemy jak w razie awa­rii przy­wró­cić zmiany w pli­kach php.ini lub. htac­cess — lepiej nie decy­dujmy się na ten krok, ponie­waż może on spo­wo­do­wać, że stra­cimy dostęp do zaple­cza strony. W tym wypadku warto popro­sić o pomoc eks­perta.

Na szczę­ście pozo­stałe funk­cje wtyczki możemy kon­fi­gu­ro­wać bez prze­szkód korzy­stając z inter­fejsu gra­ficz­nego. Posz­cze­gólne usta­wie­nia powinny być dopa­so­wane do naszych potrzeb — nie­za­leż­nie od tego, warto zmie­nić domyślne war­to­ści, o któ­rych piszę poni­żej:

Włą­cze­nie ska­no­wa­nia wty­czek oraz sza­blo­nó­w

Do­myśl­nie ska­ner ana­li­zuje tylko pliki zwią­zane bez­po­śred­nio z CMS WordPress, wyklu­cza­jąc ze skanu zain­sta­lo­wane wtyczki oraz sza­blony. Na szczę­ście w wer­sji dar­mo­wej możemy skorzy­stać ze skanu rów­nież i tych obsza­rów sys­temu. Aby zmie­nić usta­wie­nia ska­no­wa­nia, musimy:

• Przejść do pod­strony Scan;
• Wybrać Scan Options and Sche­du­ling;
• W sek­cji Gene­ral Options włą­czyć Scan theme files aga­inst repo­si­tory ver­sions for chan­ges oraz Scan plu­gin files aga­inst repo­si­tory ver­sions for chan­ges;
• Zapi­sać zmiany kli­ka­jąc Save Chan­ges w pra­wym, gór­nym rogu strony.

Przy następ­nym ska­nie Word­fence będzie ana­li­zo­wał nie tylko główne pliki sys­temu, ale także pliki sza­blo­nów oraz wty­czek w poszu­ki­wa­niu zło­śli­wego kodu.

Włą­cze­nie rapor­tów e-mail

Word­fence może prze­sy­łać raporty cykliczne lub natych­mia­stowe alerty doty­czące bie­żą­cych zda­rzeń na stro­nie. Warto włą­czyć raporty tygo­dniowe — ofe­rują roz­sądny prze­gląd stanu strony, infor­mu­jąc na przy­kład o nie­ak­tu­al­nych wtycz­kach. W celu włą­cze­nia rapor­tów musimy:

• Klik­nąć Glo­bal Options na stro­nie głów­nej (Word­fence Dash­bo­ard);
• W zakładce Glo­bal Word­fence Options odna­leźć Where to e-mail alerts i tam podać adres e-mail, na który chcemy otrzy­mać powia­do­mie­nia;
• W zakładce Alert Pre­fe­ren­ces włą­czyć inte­re­su­jące nas obszary. Suge­ruję Alert on cri­ti­cal pro­blems oraz Alert me when there’s a large incre­ase in attacks detec­ted on my site;
• W zakładce Acti­vity Report włą­czyć Ena­ble e-mail sum­mary, a z roz­wi­ja­nego menu wybrać Once a week.
• Zapi­sać zmiany kli­ka­jąc Save Chan­ges w pra­wym, gór­nym rogu strony.

Przy tak wyko­na­nej kon­fi­gu­ra­cji, co tydzień na naszej skrzynce e-mail znaj­dziemy czy­telne pod­su­mo­wa­nie stanu strony www.

Wyłą­cze­nie wyko­ny­wa­nia kodu dla fol­deru uplo­ad­s

Ist­nieją rodzaje ata­ków, które pozwa­lają na zała­do­wa­nie dowol­nego pliku do fol­deru uplo­ads, gdzie WordPress domyśl­nie prze­cho­wuje prze­słane przez użyt­kow­nika pliki. Można jed­nak zablo­ko­wać wyko­ny­wa­nie jakie­go­kol­wiek kodu umiesz­czo­nego w tym fol­de­rze. Aby to zro­bić, należy:

• Klik­nąć Glo­bal Options na stro­nie głów­nej (Word­fence Dash­bo­ard);
• W zakładce Glo­bal Word­fence Options włą­czyć Disa­ble Code Exe­cu­tion for Uplo­ads direc­tory;
• Zapi­sać zmiany kli­ka­jąc Save Chan­ges w pra­wym, gór­nym rogu strony.

Wpro­wa­dzone zmiany unie­moż­li­wiają uru­cho­mie­nie jakie­go­kol­wiek skryptu z poziomu fol­deru uplo­ads.

Ogra­ni­cze­nie prób logo­wa­nia — zabez­pie­cze­nie przed ata­kami typu brute for­ce­

Za­miast insta­lo­wać dodat­kową, popu­larną wtyczkę Limit Login Attempts, można skorzy­stać z opcji wbu­do­wanych w Word­fence. Fire­wall pozwala na blo­ko­wa­nie zbyt wielu prób logo­wa­nia oraz rese­to­wa­nia hasła z moż­li­wo­ścią okre­śle­nia czasu blo­ko­wa­nia oraz ilo­ści prób. W celu skon­fi­gu­ro­wa­nia blo­kady należy:

• Przejść do pod­strony Fire­wall;
• Klik­nąć All Fire­wall Options;
• W zakładce Brute Force Pro­tec­tion odna­leźć Lock out after how many login failu­res oraz Lock out after how many for­got pas­sword attempts i usta­wić próg, po któ­rego prze­kro­cze­niu użyt­kow­nik zosta­nie zablo­ko­wany;
• W tej samej zakładce odna­leźć Count failu­res over what time period i usta­wić czas, przez który liczone są próby (suge­ruję godzinę) oraz niżej w Amo­unt of time a user is loc­ked out usta­wić na jak długi czas będzie obo­wią­zy­wać blo­kada (suge­ruję 24 godziny);
• Zapi­sać zmiany kli­ka­jąc Save Chan­ges w pra­wym, gór­nym rogu strony.

W tym samym obsza­rze możesz rów­nież włą­czyć auto­ma­tyczne blo­ko­wa­nie po wpi­sa­niu okre­ślo­nych logi­nów. Wiele skryp­tów zaczyna atak od próby zalogo­wa­nia na konto „admin”, „admi­ni­stra­tor” lub „root”. Wpi­sa­nie tych logi­nów pomoże zablo­ko­wać nie­chciane dzia­ła­nia jesz­cze przed osią­gnię­ciem limitu. Jeżeli Twoje konto posiada taki login, powi­nie­neś roz­wa­żyć jego zmianę na bar­dziej nie­stan­dar­dową i trudną do odgad­nię­cia.

Podsumowanie

Word­fence Secu­rity to dosko­nałe narzę­dzie uszczel­nia­jące WordPress oraz infor­mu­jące admi­ni­stra­torów o zagro­że­niach. Warto przy tym pamię­tać, że żadna wtyczka nie sta­nowi pana­ceum i nie zabez­pie­czy nas przed każ­dym moż­li­wym ata­kiem. Na nic zda­dzą się nawet najbar­dziej wyra­fi­no­wane zabez­pie­cze­nia, jeżeli logu­jemy się poprzez konto „admin”, a nasze hasło to „admi­ni­stra­tor”. Rów­nież firmy hostin­gowe nie pozo­stają bez winy. Posia­da­nie dużej ilo­ści skryp­tów na jed­nym kon­cie hostin­go­wym bez domyśl­nego ogra­ni­cze­nia w postaci „ope­n_ba­se­dir” może pro­wa­dzić do wza­jem­nej infek­cji i roz­prze­strze­nia­nia się zło­śli­wego opro­gramowania w obrę­bie konta hostin­gowego — nie wszyst­kie firmy blo­kują takie dzia­ła­nia w stan­dar­dzie. W takim wypadku zabez­pie­cza­nie i czysz­cze­nie jed­nego sys­temu z mal­ware jest bez­ce­lowe, skoro zło­śliwe skrypty mogą rado­śnie buszo­wać po innych stro­nach.

Insta­la­cja i kon­fi­gu­ra­cja tej wtyczki dodaje pod­sta­wową war­stwę bez­pie­czeń­stwa do strony www i co rów­nie ważne — ofe­ruje mailowe rapor­to­wa­nie o napo­tka­nych pro­ble­mach, umoż­li­wiając prze­pro­wa­dze­nie manu­al­nych dzia­łań.

Word­fence nie jest oczy­wi­ście jedy­nym roz­wią­za­niem tego typu dedy­ko­wa­nym dla CMS WordPress. Jeżeli korzy­stasz z kon­ku­ren­cyj­nego pro­duktu, daj znać, co o nim sądzisz np. w porów­na­niu do Word­fence. Chęt­nie prze­czy­tam jakie tech­niki bez­pie­czeń­stwa sto­su­jesz w obrę­bie swo­jej strony inter­ne­to­wej.