Help
Posted By Gregory

Konfigurieren der IP-Adresserkennung

Für WP Cerber ist es wichtig, alle IP-Adressen korrekt zu erkennen.

English version: Configuring IP address detection


Auf einigen Webservern kann WP Cerber IP-Adressen aufgrund einer nicht standardmäßigen Serverkonfiguration oder aufgrund der Ausführung der Website hinter einem Reverse-Proxy nicht automatisch erkennen. Das bedeutet, dass WP Cerber Ihre Website nicht schützen kann und Sie sogar aus Ihrem WordPress-Dashboard aussperren kann.

Befindet sich Ihre Website hinter einem Proxy?

Ein Reverse-Proxy ist ein spezialisierter Webserver, der vor einem Webserver sitzt und Clientanfragen an auf dem Webserver gehostete Websites weiterleitet.

Versuchen Sie zunächst, in den Haupteinstellungen die Option „Meine Site befindet sich hinter einem Reverse-Proxy“ zu aktivieren, und prüfen Sie, wie WP Cerber IP-Adressen erkennt, wie unten beschrieben. Beachten Sie, dass das Aktivieren dieser Einstellung ein Sicherheitsrisiko darstellt, wenn sich Ihre Website nicht hinter einem Proxy befindet.

Stellen Sie sicher, dass WP Cerber IP-Adressen korrekt erkennt

  1. Öffnen Sie die Seite „Was ist meine IP-Adresse“ in Ihrem Browser

  2. Öffnen Sie einen zweiten Browser-Tab (Fenster) und gehen Sie auf Ihrer Website zur Registerkarte „Tools/Diagnose“ Ihrer WP Cerber-Installation.

  3. Suchen Sie im Abschnitt „Systeminfo“ nach der Zeile „Ihre IP-Adresse wird erkannt als“.

  4. Vergleichen Sie die IP-Adresse auf der Seite „Was ist meine IP-Adresse?“ mit der IP-Adresse, die in der Zeile „Ihre IP-Adresse wird erkannt als“ angezeigt wird. Wenn Sie zwei identische IP-Adressen sehen, ist WP Cerber korrekt konfiguriert. Andernfalls befolgen Sie die folgenden Schritte.

Was kommt als nächstes?

Wenn WP Cerber nach der Aktivierung von „Meine Site befindet sich hinter einem Reverse-Proxy“ IP-Adressen nicht richtig erkennt, müssen Sie in der Datei wp-config.php eine spezielle CERBER_IP_KEY- Konstante definieren. WP Cerber verwendet sie als Schlüssel, um IP-Adressen aus der Variable $_SERVER abzurufen. Siehe die Anleitung unten.

Konfigurieren der Konstanten CERBER_IP_KEY

  1. Rufen Sie Ihre aktuelle IP-Adresse auf der Seite „Was ist meine IP-Adresse“ ab.

  2. Gehen Sie zur Tools -Administrationsseite, die sich unter dem WP Cerber-Administrationsmenü befindet, und klicken Sie auf die Registerkarte „Diagnose

  3. Scrollen Sie nach unten zum Abschnitt Serverumgebungsvariablen

  4. Finden Sie Ihre IP-Adresse in einer der Zeilen, die im Abschnitt angezeigt werden

  5. In der ersten Zelle der Zeile mit Ihrer IP-Adresse sehen Sie einen Schlüssel. Im folgenden Beispiel lautet der Schlüssel HTTP_X_REAL_IP . Wir empfehlen, einen Schlüssel zu verwenden, der nicht mit HTTP_ beginnt. Verwenden Sie einen solchen Schlüssel nur als letztes Mittel.

  6. Nimm den Schlüssel und füge die folgende Zeile mit deinem Schlüssel am Anfang der Datei wp-config.php hinzu (nach der Zeile mit <?php) 
     definieren('CERBER_IP_KEY', 'HTTP_X_REAL_IP');

Server Environment Variables

The Server Environment Variables section on the Diagnostic tab

Hinweis: Die HTTP_X_REAL_IP wird als Beispiel angezeigt, Sie müssen Ihren eigenen Schlüssel herausfinden und verwenden.

Sicherheitsimplikationen bei Verwendung des HTTP-Headers „X-Forwarded-For“

Wenn „Meine Site befindet sich hinter einem Reverse-Proxy “ aktiviert ist, verwendet WP Cerber den HTTP-Header „X-Forwarded-For“ (XFF), um die ursprüngliche Client-IP-Adresse in Situationen zu erkennen, in denen Anfragen an eine Website über einen Reverse-Proxy-Server oder einen Load Balancer, beispielsweise einen Cloudflare-Proxy, laufen. Im Zusammenhang mit der Verwendung von Zugriffskontrolllisten (ACLs), die auf IP-Adressen wie WP Cerber ACL basieren, kann die Verwendung des XFF-Headers bei falscher Konfiguration Sicherheitsauswirkungen haben.

Wenn „Meine Site befindet sich hinter einem Reverse-Proxy“ auf einer Website aktiviert ist, die sich nicht hinter einem Proxy-Server befindet, kann ein Angreifer den XFF-Header in einer Anfrage fälschen und so die ACL-Regeln umgehen, wenn er die Zugriffslisteneinträge kennt. Warum? Der Angreifer kann den XFF-Header auf eine IP-Adresse setzen, die von den Zugriffslistenregeln zugelassen wird, und sich so unbefugten Zugriff verschaffen.

Um dieses Risiko zu verringern, ist es wichtig, auf einer Website, die nur über einen Proxyserver mit dem Internet verbunden ist, die Option „Meine Site befindet sich hinter einem Reverse-Proxy“ zu aktivieren.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.