Comments on: PHPIDS für WordPress http://www.digitaler-heimwerker.de/2009/09/phpids-fur-wordpress/ Erfahrungsaustausch für den Heimwerker von Heute! Fri, 09 Sep 2011 06:36:18 +0000 hourly 1 http://wordpress.org/?v= By: digitalbastler http://www.digitaler-heimwerker.de/2009/09/phpids-fur-wordpress/comment-page-1/#comment-11 digitalbastler Wed, 25 Nov 2009 20:17:34 +0000 http://www.digitaler-heimwerker.de/2009/09/phpids-fur-wordpress/#comment-11 Danke! Die genannten Exceptions funktionieren jedenfalls, es gibt keinen "falschen" Alarm mehr. Auf der anderen Seite: Völlig "tot" kann der Mechanismus auch nicht sein, gelegentlich geht die Alarmanlage tatsächlich los. Hast Du Ideen, warum es "trotzdem" funktioniert? Nochmal Danke! Danke!

Die genannten Exceptions funktionieren jedenfalls, es gibt keinen “falschen” Alarm mehr. Auf der anderen Seite: Völlig “tot” kann der Mechanismus auch nicht sein, gelegentlich geht die Alarmanlage tatsächlich los. Hast Du Ideen, warum es “trotzdem” funktioniert?

Nochmal Danke!

]]> By: narcanti http://www.digitaler-heimwerker.de/2009/09/phpids-fur-wordpress/comment-page-1/#comment-10 narcanti Wed, 25 Nov 2009 18:56:33 +0000 http://www.digitaler-heimwerker.de/2009/09/phpids-fur-wordpress/#comment-10 Hi, interessanter Artikel, jedoch wird der Teil --- exceptions[] = REQUEST.wordpress_logged_in_XZY ; Vorsicht: der Name dieses Cookies ist von Site zu Site verschieden! exceptions[] = REQUEST.wp-settings-2 exceptions[] = COOKIE.wordpress_logged_in_XYZ ; Vorsicht: der Name dieses Cookies ist von Site zu Site verschieden! exceptions[] = COOKIE.wp-settings-2 --- so nicht funktionieren. Wordpress generiert nämlich Cookies mit dem Schlüssel wp-settings-x, wobei x eine fortlaufende Nummer ist. Wenn du deinen Cookie-Cache leerst und dich erneut einloggst, wirst du feststellen, dass x sich geändert hat und damit dein Zugriff blockiert wird. Dies gilt auch für Alle, die auf deine Seite kommen. Die haben stets andere x. Ich habe einen Workaround auf dem <a href="http://forum.php-ids.org/comments.php?DiscussionID=364&page=1#Item_0" rel="nofollow">phpids forum</a> gepostet. Weiterhin schreibst du: --- Ansonsten: PHP-IDS ist nur eine Alarmanlage. Ob die Site dadurch tatsächlich sicherer wird oder nicht hängt davon ab, wie sorgfältig man die Aktionen beobachtet. --- Ich sollte dich darauf hinweisen, dass man mit PHPIDS tatsächlich sein Blog auch schützen kann, indem man nämlich definiert, was bei einer Detection passiert. Nach dem Code --- if (!$result->isEmpty()) { --- hat man die Möglichkeit, bei sehr hohen Werten den Angreifer zu blocken, wobei man genauere Werte erst durch Beobachten ermitteln sollte / muss. Mit einem --- if ($result->getImpact()>20){ die('Nicht so, Freundchen!'); } --- hat man eine erste Maßnahme, kann aber mit Sessions einzelne Angreifer verfolgen und den Impakt kummulieren und damit noch genauer reagieren. Übrigens solltest du dir zum Thema Wordpress-Sicherheit auf jeden Fall auch das <a href="http://blogsecurity.net/wordpress/wordpress-security-whitepaper" rel="nofollow">Wordpress securitywhitepaper</a> zu Herzen nehmen. Hi,
interessanter Artikel,
jedoch wird der Teil

exceptions[] = REQUEST.wordpress_logged_in_XZY ; Vorsicht: der Name dieses Cookies ist von Site zu Site verschieden!
exceptions[] = REQUEST.wp-settings-2
exceptions[] = COOKIE.wordpress_logged_in_XYZ ; Vorsicht: der Name dieses Cookies ist von Site zu Site verschieden!
exceptions[] = COOKIE.wp-settings-2

so nicht funktionieren.
Wordpress generiert nämlich Cookies mit dem Schlüssel wp-settings-x, wobei x eine fortlaufende Nummer ist.
Wenn du deinen Cookie-Cache leerst und dich erneut einloggst, wirst du feststellen, dass x sich geändert hat und damit dein Zugriff blockiert wird.
Dies gilt auch für Alle, die auf deine Seite kommen. Die haben stets andere x.
Ich habe einen Workaround auf dem phpids forum gepostet.

Weiterhin schreibst du:

Ansonsten: PHP-IDS ist nur eine Alarmanlage. Ob die Site dadurch tatsächlich sicherer wird oder nicht hängt davon ab, wie sorgfältig man die Aktionen beobachtet.

Ich sollte dich darauf hinweisen, dass man mit PHPIDS tatsächlich sein Blog auch schützen kann, indem man nämlich definiert, was bei einer Detection passiert.
Nach dem Code

if (!$result->isEmpty()) {

hat man die Möglichkeit, bei sehr hohen Werten den Angreifer zu blocken, wobei man genauere Werte erst durch Beobachten ermitteln sollte / muss.
Mit einem

if ($result->getImpact()>20){
die(‘Nicht so, Freundchen!’);
}

hat man eine erste Maßnahme, kann aber mit Sessions einzelne Angreifer verfolgen und den Impakt kummulieren und damit noch genauer reagieren.

Übrigens solltest du dir zum Thema WordPress-Sicherheit auf jeden Fall auch das WordPress securitywhitepaper zu Herzen nehmen.

]]>