Pridaj hodnotenie:

Nastavenia WebSecurity

K nastaveniam WebSecurity sa dostanete jednoducho. V sekcií WebSecurity stačí kliknúť na tlačítko UPRAVIŤ WEBSECURITY, a následne si môžete nastaviť všetko podľa toho, ako to Vaša aplikácia vyžaduje.

Čo si môžem nastaviť?

K dispozícií máte viacero nastavení, ktoré môžu ovplyvniť správanie sa pluginu WebSecurity.

Nastavenie citlivosti

Táto možnosť sa dá nastaviť od 0 (vypnuté) až po 4 (najvyššie zabezpečenie). Automaticky zapíname pri nových doménach citlivosť 2, ale pri niektorých aplikáciach je možné, že aj táto citlivosť vyprodukuje nejaké falošné blokovania.

Úrovne:

  1. V úrovni 1 sa povolí väčšina pravidiel. Ide hlavne o štandardné bezpečnostné opatrenia, pri ktorých len zriedka zastaví request skutočného užívateľa.
  2. Úroveň 2 povolí množstvo extra pravidiel, napr. mnoho regex SQL a XSS ochrán a pridá extra kľúčové slová pre už existujúce kontroly. Tiež sa v tejto úrovni pridávajú ochrany proti škodlivým botom a crawlerom. GoogleBot a podobné do týchto skupín nepatria.
  3. Pri úrovni 3 sa pridá viac pravidiel, kľúčových slov a sprísnia sa aj pravidlá pre špeciálne znaky v URL. Odporúčame zapnúť iba skúseným používateľom, ktorí si vedia poradiť s prípadnými zle označenými requestami.
  4. Úroveň 4 ďalej obmedzí špeciálne znaky ktoré sa môžu použiť. Najvyššia úroveň sa odporúča iba veľmi skúseným používateľom s vysokými bezpečnostnými nárokmi. S veľkou pravdepodobnosťou táto úroveň ovplyvní viacero požiadaviek bežných užívateľov, preto musí byť aplikácia ošetrená pred tým, ako môže ísť do produkcie.
  5. Úroveň 0 webSecurity úplne vypne.

 

 

Úprava pravidiel pre redakčné systémy

Tu si môžete upraviť pravidlá pre konkrétne redakčné systémy. Hlavne pri WordPresse sa stáva, že aplikácia robí niektoré veci proti bezpečnostným štandardom, napr. posiela PHP kód cez POST request. Pri takýchto prípadoch treba ošetriť WebSecurity tak, aby toto bral do úvahy.

Ak nepomohla táto možnosť, a stále Vám hádže chybu 403, je potrebné znížiť citlivosť, alebo úplne vypnúť WebSecurity.

Rozšírené zabezpečenie

V tejto sekcií máte možnosť si zapnúť ďalšie pravidlá, a to:

  • RFI: (Remote File Inclusion) pridanie a vykonanie súboru do kódu zo vzdialeného zdroja
  • RCE: (Remote Code Execution) vykonanie kódu zo vzdialeného zdroja
  • XSS: (Cross Site Scripting) vykonanie kódu, ktorý niekto iný doplnil do stránky (napr. javascript do komentára)
  • SQLI: (SQL Injection) doplnenie kódu SQL do requestu tak, aby sa vykonal