Cyrille Giquello

Outils pour utilisateurs

Outils du site

Vous êtes ici : accueil » informatique » securite » wordfence
Piste : divers wikidata pipo
informatique:securite:wordfence

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
informatique:securite:wordfence [28/05/2024 23:10] – [WP actions] cyrilleinformatique:securite:wordfence [02/08/2024 12:02] (Version actuelle) – [Autour de Wordfence] cyrille
Ligne 1: Ligne 1:
-====== Wordfence (wordpress plugin) ======+====== Wordfence (wordpress WAF plugin) ======
  
 Pare-feu d'applications Web ([[/glossaire/WAF]]) pour [[/informatique/wordpress|Wordpress]]. Pare-feu d'applications Web ([[/glossaire/WAF]]) pour [[/informatique/wordpress|Wordpress]].
Ligne 6: Ligne 6:
  
 Super plugin que je utilise depuis des années sur de nombreux sites. Super plugin que je utilise depuis des années sur de nombreux sites.
 +
 +===== Configuration =====
 +
 +==== General Wordfence Options ====
 +
 +Cocher "Bypass the LiteSpeed "noabort" check".
 +
 +==== Advanced Firewall Options ====
 +
 +Immediately block IPs that access these URLs:
 +<code>
 +/.git/*
 +/.env
 +/wp-config.php
 +/wp-content/debug.log
 +/vendor/phpunit/*
 +</code>
 +
 +==== Activity Report ====
 +
 +List of directories to exclude from recently modified file list
 +<code>
 +wp-content/cache
 +wp-content/wflogs
 +wp-content/et-cache
 +</code>
 +
 +===== Autour de Wordfence =====
 +
 +  * [[https://github.com/kadekjayak/notification-wordfence|kadekjayak/notification-wordfence]] Catch Wordfence email alert and send it to your notification channel (Slack or Telegram)
 +  * [[https://github.com/SentinalMax/LogFence|SentinalMax/LogFence]] Wordfence attack log exporting tool
 +  * [[https://github.com/Paolo-Monti/Firewall-WAF-Wordfence|Paolo-Monti/Firewall-WAF-Wordfence]] qui scanne la datatable de Wordfence et reproduit la liste d'ip bloquées sur iptables. C'est un gain de performance notable.
 +
 +collection of bad username and file paths for WordFence:
 +  * https://github.com/SimonHayter/Wordfence-Ban-Users-and-URL-list
 +  * https://github.com/itconsulting-live/wordpress-urls-to-block
  
 ===== Wordfence -> firewall ===== ===== Wordfence -> firewall =====
Ligne 15: Ligne 51:
     * les ''blocked:wfsn'' et ''blocked:wordfence'' sont-ils tous relayés par les ''actions'' ?     * les ''blocked:wfsn'' et ''blocked:wordfence'' sont-ils tous relayés par les ''actions'' ?
     * quelles actions ''wordfence_security_event'' traquées ?     * quelles actions ''wordfence_security_event'' traquées ?
-      * oui : ''loginLockout'' +      * oui : ''loginLockout'', ''block'' 
-      * ??? : ''increasedAttackRate'', ''block''+      * ??? : ''increasedAttackRate''
   * Un daemon/cron qui exploite les DB tables de Wordfence pour reproduire les IPs bloquées en règles pour le FW   * Un daemon/cron qui exploite les DB tables de Wordfence pour reproduire les IPs bloquées en règles pour le FW
     * atttention aux évolutions de Wordfence qui pourraient changer le schéma de la DB     * atttention aux évolutions de Wordfence qui pourraient changer le schéma de la DB
 +  * Ou alors une solution qui reste dans la philosophie de Crowdsec:
 +    * générer un fichier de log
 +    * utiliser un scénario pour déclencher les décisions
  
 Les données WF dans la DB Les données WF dans la DB
 +  * en synthèse les données ne sont pas disponibles longtemps
   * la table ''wfblockediplog'' ne contient que les stats par ip des 30 derniers jours (//champ ''unixday''//)   * la table ''wfblockediplog'' ne contient que les stats par ip des 30 derniers jours (//champ ''unixday''//)
-  * la table ''wfhits'' contient les logs des attaques sur un temps long (//exemple champ ''ctime'' 2024-04-29 -> 2022-03-30//)+  * la table ''wfhits'' contient par défaut 2000 lignes des attaques 
 +    * réglable dans "Tool Options > Live Traffic Options >" avec la combinaison de "Amount of Live Traffic data to store (number of rows)" et "Maximum days to keep Live Traffic data (1-30 days)"
     * les actions:     * les actions:
       * blocked:wfsn : Blocked by Wordfence Security Network       * blocked:wfsn : Blocked by Wordfence Security Network
Ligne 29: Ligne 70:
       * lockedOut, loginFailInvalidUsername, loginFailValidUsername, loginOK, logout, lostPassword, scan:detectproxy, user:passwordReset       * lockedOut, loginFailInvalidUsername, loginFailValidUsername, loginOK, logout, lostPassword, scan:detectproxy, user:passwordReset
  
- 
-Projets: 
-  * [[https://github.com/Paolo-Monti/Firewall-WAF-Wordfence|Paolo-Monti/Firewall-WAF-Wordfence]] qui scan la data table de Wordfence et reproduit la liste d'ip bloquées sur iptables. C'est un gain de performance notable. 
- 
-===== Autour de Wordfence ===== 
- 
-  * [[https://github.com/kadekjayak/notification-wordfence|kadekjayak/notification-wordfence]] Catch Wordfence email alert and send it to your notification channel (Slack or Telegram) 
-  * [[https://github.com/SentinalMax/LogFence|SentinalMax/LogFence]] Wordfence attack log exporting tool 
- 
- 
-collection of bad username and file paths for WordFence: 
-  * https://github.com/SimonHayter/Wordfence-Ban-Users-and-URL-list 
-  * https://github.com/itconsulting-live/wordpress-urls-to-block 
  
 ===== Tech ===== ===== Tech =====
Ligne 53: Ligne 81:
     * déclenchée depuis les fonctions ''takeBlockingAction($configVar, $reason)''     * déclenchée depuis les fonctions ''takeBlockingAction($configVar, $reason)''
   * do_action('wordfence_security_event', '**lostPasswdForm**', ['email', 'ip'])   * do_action('wordfence_security_event', '**lostPasswdForm**', ['email', 'ip'])
-    * sous certaines conditions peut initier un blocage d'ip+    * sous certaines conditions peut initier un blocage d'ip via l'appel à '''lockOutIP($IP, $reason)''
   * do_action('wordfence_security_event', '**loginLockout**', ['ip', 'reason', 'duration'])   * do_action('wordfence_security_event', '**loginLockout**', ['ip', 'reason', 'duration'])
     * bloquer une IP pour abus sur le login ou lostpassword     * bloquer une IP pour abus sur le login ou lostpassword
informatique/securite/wordfence.1716930630.txt.gz · Dernière modification : de cyrille
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC0 1.0 Universal
CC0 1.0 Universal Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki