Pregunta sobre Wordfence Security de Wordpress:

Problemas de Wordfence con Pantheon Hosting

Un usuario preguntó 👇

Hola,

Usamos Wordfence en todos los sitios de nuestros clientes. Sin embargo, estos sitios tienen algunas vulnerabilidades debido a los siguientes problemas entre el alojamiento de Wordfence y Pantheon: https://pantheon.io/docs/modules-plugins-known-issues/#wordfence

Edición n. ° 1: al habilitar la función de seguimiento de tráfico en vivo dentro de Wordfence, se envían cookies que son contrarias al almacenamiento en caché de la página a nivel de plataforma.

Solución: desactive las cookies generadas por Wordfence desactivando Live Traffic en la página de opciones de Wordfence. Consulte el foro de soporte de WordPress para obtener más detalles.

Edición n. ° 2: el firewall de Wordfence espera un acceso escrito específico a wp-content / wflogs durante la activación. No resta valor a la simplificación, por lo que no se admite el uso de Wordfence en la plataforma. Esto se ha informado como un problema en el foro de soporte de plugins.

Edición # 3: Wordfence Firewall instala un archivo llamado .user.ini que contiene wordfence-waf.php de la ruta completa que usa el ID del contenedor de la aplicación. Estas rutas cambiarán de vez en cuando debido al mantenimiento normal de la plataforma. Cuando se mueve un contenedor y este plugin se implementa en otro entorno, la ruta completa ya no es válida y genera WSOD. Esto se ha informado como un problema en el foro de soporte de plugins.

Estamos listos para actualizar estos sitios a Wordfence Premium; pero no pueden hacerlo sin abordar estos problemas. ¿Puede informarnos sobre el estado correctivo de estos graves problemas?

¡Gracias!

(@wfasa)

Hace 2 años, 1 mes

Hola @heretiq,

Gracias por la consulta.

1. No estoy seguro de si esto sigue siendo un problema, ya que ya no usamos cookies en la interfaz. Logramos estos antes del GDPR.

2. Estamos trabajando en otra solución para esto. No puedo darles una fecha exacta, pero debería estar disponible en el futuro.

3. No estoy seguro de que podamos solucionar este problema porque las rutas relativas no se pueden utilizar en ese contexto. Sin embargo, puede eliminar la optimización de Wordfence Firewall antes de migrar a un sitio o excluir .user.ini de las rutinas de migración.

(@heretiq)

Hace 2 años, 1 mes

Gracias por el seguimiento de wfasa.

Para el n. ° 1, habilité la función Live Traffic Attack en un servidor de prueba, pero no vi forma de averiguar si funciona. ¿Cómo puedo probar la función Live Traffic Attack para ver si funciona?

En cuanto al número 3, los migrantes no están controlados por el usuario: Pantheon, el proveedor de alojamiento, los convierte automáticamente en parte de su rutina de administración de la plataforma basada en Docker.

Me alegra saber que Wordfence está trabajando en una solución para la versión 2 de Firewall, pero las soluciones son esenciales para las tres ediciones si se quiere que Wordfence sea viable con los sitios alojados en Pantheon.

Gracias.

(@wfasa)

Hace 2 años, 1 mes

¡Hola de nuevo!

Live Traffic es básicamente vacío, muestra todo lo que está sucediendo en el sitio en un momento dado, incluidos los bloques. Si desea probar el cortafuegos, debe aplicar al sitio que puede considerarse malicioso. Ejemplos podrían ser

yoursite.com/?test=../../ (inclusión de archivo local) o yoursite.com/?test=