Supporto » Funzionalità = Plugin » Firewall Wordfence non funziona

  • marketingeweb

    (@marketingeweb)


    Salve a tutti ho un sito su serverplan ed installando il plugin wordfence non si configura il firewall. Provo a seguire la procedura di seguito, ma il firewall resta in apprendimento e non si configura mai. Qualcuno sa come risolvere questo problema ?

    To make your site as secure as possible, the Wordfence Web Application Firewall is designed to run via a PHP setting called auto_prepend_file, which ensures it runs before any potentially vulnerable code runs.

    NOTE: If you have separate WordPress installations with Wordfence installed within a subdirectory of this site, it is recommended that you perform the Firewall installation procedure on those sites before this one.
    We’ve preselected your server configuration based on our tests, but if you know your web server’s configuration, please select it now. You can also choose “Manual Configuration” for alternate installation details.

    Apache + suPHP (recommended based on our tests)
    Please download a backup of the following files before we make the necessary changes:

Stai visualizzando 6 risposte - dal 1 al 6 (di 6 totali)
  • Buongiorno @marketingeweb.

    ho il tuo stesso problema ma su un altro hosting.
    Purtroppo non dipende da Wordfence ma proprio dall’hosting.

    In sintesi, per funzionare in modo completo, il firewall di Wordfence deve essere eseguito prima di ogni altra operazione. Per farlo, viene utilizzato il parametro “auto_prepend_file” di PHP, che consente di indicare un file da eseguire prima di tutti gli altri (nel caso specifico, un file di Wordfence).

    Ho scoperto che alcuni fornitori di hosting utilizzano questo parametro per i loro servizi, quindi Wordfence non riesce ad impostare il valore necessario al suo firewall.

    Tieni presente che il firewall funziona comunque, seppure non nel modo più completo ed efficiente, e che dovrebbe uscire dalla modalità apprendimento nel giro di qualche giorno (se non ricordo male circa una settimana).

    L’unica cosa che posso suggerirti è contattare il supporto del tuo hosting descrivendo il problema e chiedendo se c’è modo di risolverlo. Nel mio caso, la risposta è stata un secco NO.

    Ho fatto diversi tentativi per trovare una soluzione alternativa, ma non ho ottenuto alcun risultato.

    Facci sapere se hai novità.
    Buona giornata.

    Ciao a voi !

    L’argomento è interessante. “Wordfence” è un plugin piuttosto grande, con milioni di installazioni ed è un peccato che non sia ancora completamente tradotto.

    A quanto capisco il firewall viene installato proprio come dice @andreaporotti , con delle apposite istruzioni per il file “.htaccess”.

    Ho provato l’installazione, anche in produzione e il firewall non ha problemi. Non c’è nessun “auto_prepend_file” già preinstallato.

    A questo proposito perché mai un fornitore dovrebbe configurare il php.ini per installarne uno?
    Forse il server non è configurato bene e con l’auto_prepend può cavarsela mettendo una toppa di fortuna all’ultimo momento?
    Forse vuole disabilitare alcune funzioni php, tipo shell_exec ,che vanno ad eseguire direttamente dei programmi installati sul server stesso?
    Non è una buona cosa basare la sicurezza limitando drasticamente l’uso del php. Oltretutto sono numerosi i plugin, specie quelli di backup che adoperano proprio i programmi diretti del server per andare più veloci. Se un sito viene bucato ci sono altri metodi per fermare “l’infezione” se così si può dire.
    Rispondere un NO secco è proprio una scortesia che non si giustifica nemmeno se l’hosting fosse gratis.

    E’ evidente che l’ auto_prepend rallenta un pochino ma è una prerogativa esclusiva dell’utente scegliere di rallentarsi un tantino. Il fornitore non dovrebbe farlo.

    Un saluto.

    Ciao @luca21,

    quando mi sono trovato davanti all’inaspettato problema ho indagato finchè ho potuto prima di contattare l’hosting.

    Dalle informazioni raccolte avevo visto che quell’impostazione di PHP era in uso da parte di cPanel, nello specifico per eseguire uno dei suoi tool di sicurezza (non ricordo precisamente quale, ma qualcosa relativo alle connessioni in ingresso).

    Ho poi avuto una conversazione con il supporto dell’hosting, che non è entrato nei dettagli della configurazione della propria infrastruttura (comprensibile), ma si è limitato a segnalare che l’impostazione in oggetto era inaccessibile perchè utilizzata internamente. Cosa che ha in qualche modo confermato il mio sospetto iniziale. Nessun modo quindi di sovrascriverla con un php.ini custom.

    Purtroppo ho dovuto accettare la cosa. Prima di questo “inciampo” non avevo mai avuto un problema simile in vari hosting usati negli anni e mai avrei pensato di dover verificare prima una simile informazione nelle schede tecniche (informazione che onestamente non ho mai visto riportata). Al prossimo giro con un hosting mai usato prima sarà mia cura fare richiesta preventiva al supporto.

    Mi auguro che @marketingeweb abbia più fortuna di me 🙂

    Nel caso possa essere utile o interessante per qualcuno, riporto i link della documentazione di Wordfence in cui si parla dell’ottimizzazione del firewall:
    https://www.wordfence.com/help/firewall/optimizing-the-firewall/
    https://www.wordfence.com/help/firewall/optimizing-the-firewall/troubleshooting/

    Un saluto.

    • Questa risposta è stata modificata 1 settimana, 1 giorno fa da Andrea Porotti.
    Chi ha creato la discussione marketingeweb

    (@marketingeweb)

    @andreaporotti Ti confermo che quelli di serverplan sono sempre molto disponibili, mi hanno chiesto loro di contattare l’assistenza di wordfence per capire come risolvere il problema. L’assistenza wordfence è solo a pagamento ? Com’è possibile contattarli ?

    Ciao @marketingeweb,

    dipende dalla versione.
    Per quella gratuita puoi usare il forum dedicato al plugin: https://wordpress.org/support/plugin/wordfence/

    Se usi quello a pagamento dovresti avere un accesso sul sito ufficiale per contattare il supporto.

    Aggiornaci se hai novità.

    Ciao @andreaporotti ,

    (non ricordo precisamente quale, ma qualcosa relativo alle connessioni in ingresso).

    Una specie di firewall, sembra.

    Mah. Io sono un fautore dell’ “hosting fai da te”. Naturalmente i servizi di hosting si continua ad usarli ma tenersi anche un proprio server è una buona cosa.
    Non è che ci vogliano chissà quali competenze tecniche e che i costi siano chissà che. Ci sono casi in cui il proprio serverino fa veramente comodo. Uno è quello in cui sei incappato. Altra situazione tipica è quella in cui hai uno o più siti che non è stato possibile aggiornare e che richiedono ancora php 5.6. Pochi hosting lo tengono ancora e, fintanto che non si riesce a convincere il proprietario del sito che è davvero opportuna una revisione approfondita, puoi tenerlo funzionante lo stesso, previa installazione del vecchio php sul tuo server.

    Per tenere wordpress il server va bene piccolo, ma non troppo eh. Comunque i costi sono ben abbordabili.

Stai visualizzando 6 risposte - dal 1 al 6 (di 6 totali)
  • Devi essere collegato per rispondere a questo topic.