Pregunta sobre Wordfence Security de Wordpress:

Problemas de Wordfence con Pantheon Hosting

Un usuario pregunt贸 馃憞

Hola,

Usamos Wordfence en todos los sitios de nuestros clientes. Sin embargo, estos sitios tienen algunas vulnerabilidades debido a los siguientes problemas entre el alojamiento de Wordfence y Pantheon: https://pantheon.io/docs/modules-plugins-known-issues/#wordfence

Edici贸n n. 掳 1: al habilitar la funci贸n de seguimiento de tr谩fico en vivo dentro de Wordfence, se env铆an cookies que son contrarias al almacenamiento en cach茅 de la p谩gina a nivel de plataforma.

Soluci贸n: desactive las cookies generadas por Wordfence desactivando Live Traffic en la p谩gina de opciones de Wordfence. Consulte el foro de soporte de WordPress para obtener m谩s detalles.

Edici贸n n. 掳 2: el firewall de Wordfence espera un acceso escrito espec铆fico a wp-content / wflogs durante la activaci贸n. No resta valor a la simplificaci贸n, por lo que no se admite el uso de Wordfence en la plataforma. Esto se ha informado como un problema en el foro de soporte de plugins.

Edici贸n # 3: Wordfence Firewall instala un archivo llamado .user.ini que contiene wordfence-waf.php de la ruta completa que usa el ID del contenedor de la aplicaci贸n. Estas rutas cambiar谩n de vez en cuando debido al mantenimiento normal de la plataforma. Cuando se mueve un contenedor y este plugin se implementa en otro entorno, la ruta completa ya no es v谩lida y genera WSOD. Esto se ha informado como un problema en el foro de soporte de plugins.

Estamos listos para actualizar estos sitios a Wordfence Premium; pero no pueden hacerlo sin abordar estos problemas. 驴Puede informarnos sobre el estado correctivo de estos graves problemas?

隆Gracias!

(@wfasa)

Hace 2 a帽os, 1 mes

Hola @heretiq,

Gracias por la consulta.

1. No estoy seguro de si esto sigue siendo un problema, ya que ya no usamos cookies en la interfaz. Logramos estos antes del GDPR.

2. Estamos trabajando en otra soluci贸n para esto. No puedo darles una fecha exacta, pero deber铆a estar disponible en el futuro.

3. No estoy seguro de que podamos solucionar este problema porque las rutas relativas no se pueden utilizar en ese contexto. Sin embargo, puede eliminar la optimizaci贸n de Wordfence Firewall antes de migrar a un sitio o excluir .user.ini de las rutinas de migraci贸n.

(@heretiq)

Hace 2 a帽os, 1 mes

Gracias por el seguimiento de wfasa.

Para el n. 掳 1, habilit茅 la funci贸n Live Traffic Attack en un servidor de prueba, pero no vi forma de averiguar si funciona. 驴C贸mo puedo probar la funci贸n Live Traffic Attack para ver si funciona?

En cuanto al n煤mero 3, los migrantes no est谩n controlados por el usuario: Pantheon, el proveedor de alojamiento, los convierte autom谩ticamente en parte de su rutina de administraci贸n de la plataforma basada en Docker.

Me alegra saber que Wordfence est谩 trabajando en una soluci贸n para la versi贸n 2 de Firewall, pero las soluciones son esenciales para las tres ediciones si se quiere que Wordfence sea viable con los sitios alojados en Pantheon.

Gracias.

(@wfasa)

Hace 2 a帽os, 1 mes

隆Hola de nuevo!

Live Traffic es b谩sicamente vac铆o, muestra todo lo que est谩 sucediendo en el sitio en un momento dado, incluidos los bloques. Si desea probar el cortafuegos, debe aplicar al sitio que puede considerarse malicioso. Ejemplos podr铆an ser

yoursite.com/?test=../../ (inclusi贸n de archivo local) o yoursite.com/?test=