You are here: Home » WordPress » Proč nepoužívat více jak jeden bezpečnostní plugin pro WordPress

Proč nepoužívat více jak jeden bezpečnostní plugin pro WordPress

Bezpečnostní pluginy jsou dnes běžnou součástí každé WordPress instalace. Pomáhají s prevencí, tím že zavádějí nová bezpečnostní opatření, aktivně blokují různé formy útoků a také dokáží sledovat případné změny v instalaci. V současné době se jich používá několik druhů. Nejznámější jsou zvláště ty, které nabízí ochranu zdarma. Mezi ně patří například Wordfence, BulletProof Security, Better WP security anebo All In One WP Security & Firewall. Každému se líbí něco jiného, každé řešení má něco do sebe. Ovšem pouze pokud je nasazeno samostatně.

Stále se najdou lidé, kteří považují za dobrý nápad pojistit si bezpečnost WordPress více pluginy naráz. Výsledkem však budou dříve anebo později problémy. Ne že by se navzájem tvůrci pluginů neměli rádi a báli se konkurence, ale samotným principem fungování.

Přeštěte si   Bezpečnostní plugin Wordfence v akci

První problém je zátěž na systémové zdroje. I za předpokladu, že si navzájem nebudou překážet jsou bezpečnostní pluginy celkem náročné skripty. Ačkoliv se snaží šetřit zdroje, prostě spotřebovávají výkon procesoru a paměť. Práce bezpečnostních pluginů se nedá cachovat. Občas je součástí i stahování anebo odesílání dat na vzdálený server. Například když potřebuje zjistit jestli nedošlo ke změnám v souborech (Je třeba je porovnat s originálem). Další náročný úkon je procházení všech souborů a hledání potenciálně nebezpečný obsah. Pokud si práci rozloží jeden plugin, tak se to dá. Když to však dělá několik už může být znát.

Spousta úkonů, které bezpečnostní pluginy provádí na základě předem nadefinovaných pravidel. Například, když IP adresa selže při přihlašování, tak dostane ban na určitou dobu, třeba 5 minut. Vzhledem k tomu, že máme s určitým rozsahem špatné zkušenosti, protože jakmile jedna IP adresa dostane ban, tak útok pokračuje na stejném rozsahu z další (123.123.123.100, pak 123.123.123.101 atd.). Takže si upravíme pravidla tak, že neúspěšné přihlášení ze 123.123.* povede právě k zablokování tohoto rozsahu. Problém nastane v momentě, kdy máme dva aktivní bezpečnostní pluginy. Zatímco ten s pravidlem na zákaz rozsahu by vše zablokoval hned, tak se nemusí dostat vůbec ke slovu. Místo toho začne druhý, který zablokuje jednotlivé IP, protože bude mít přednost. Toto je zjednodušený příklad, co se může stát.

Přeštěte si   Konstanty ve wp-config.php

Ať už se budeme snažit sebevíc postupem času dojde k falešně pozitivním vyhodnocením. To znamená, že se například připojí regulérní uživatel přes proxy server a několikanásobným chybným zadáním hesla zablokuje celý rozsah proxy serverů. Běžně to není problém, protože pravidlo říká, že je rozsah zablokován na 5 minut, ovšem budeme mít „zapomenuté“ pravidlo, které blokuje celý rozsah na 24 hodin. Další uživatel s jiným proxy serverem na daném rozsahu i bez toho, aby zadal špatné heslo se pak nebude moct připojit 24 hodin. Jinými slovy čím více bezpečnostních pluginů tím více pravidel na sledování a vyhodnocování.

Samozřejmě pokud má některý z pluginů specifickou funkci, kterou potřebujete, vždy je možné mít jej vypnutý a aktivovat jen pro potřebný úkon. Ovšem je třeba brát na zřetel, že každý nevyužitá šablona či plugin je potenciální hrozba navíc.

Share Button

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

1 Comment

  1. Kombinovat doporučuji pouze WordFence a BBQ: Block Bad Queries. BBQ WordFence krásně doplní o filtraci URL s běžnými typy útoků.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *