Help
Posted By Gregory

Konfigurieren der IP-Adresserkennung

Für WP Cerber ist es entscheidend, alle IP-Adressen korrekt zu erkennen.

English version: Configuring IP address detection


Auf manchen Webservern kann WP Cerber IP-Adressen aufgrund einer nicht standardmäßigen Serverkonfiguration oder aufgrund der Ausführung der Website hinter einem Reverse-Proxy nicht automatisch erkennen. Das bedeutet, dass WP Cerber Ihre Website nicht schützen kann und Sie sogar von Ihrem WordPress-Dashboard aussperren kann.

Befindet sich Ihre Website hinter einem Proxy?

Ein Reverse-Proxy ist ein spezialisierter Webserver, der vor einem Webserver sitzt und Client-Anfragen an auf dem Webserver gehostete Websites weiterleitet.

Aktivieren Sie zunächst in den Haupteinstellungen die Option „Meine Website befindet sich hinter einem Reverse-Proxy“ und prüfen Sie, wie WP Cerber IP-Adressen wie unten beschrieben erkennt. Beachten Sie, dass die Aktivierung dieser Einstellung ein Sicherheitsrisiko darstellt, wenn sich Ihre Website nicht hinter einem Proxy befindet.

Stellen Sie sicher, dass WP Cerber IP-Adressen korrekt erkennt

  1. Öffnen Sie die Seite „Was ist meine IP-Adresse“ in Ihrem Browser

  2. Öffnen Sie einen zweiten Browser-Tab (Fenster) und gehen Sie auf Ihrer Website zum Tab „Tools/Diagnose“ Ihrer WP Cerber-Installation.

  3. Suchen Sie im Abschnitt „Systeminformationen“ nach der Zeile „Ihre IP-Adresse wird erkannt als“.

  4. Vergleichen Sie die IP-Adresse auf der Seite „Was ist meine IP-Adresse?“ mit der in der Zeile „Ihre IP-Adresse wird erkannt als“ angezeigten IP-Adresse. Wenn Sie zwei identische IP-Adressen sehen, ist WP Cerber korrekt konfiguriert. Andernfalls befolgen Sie die folgenden Schritte.

Wie geht es weiter?

Wenn WP Cerber nach der Aktivierung von „Meine Site befindet sich hinter einem Reverse-Proxy“ IP-Adressen nicht korrekt erkennt, müssen Sie in der Datei wp-config.php eine spezielle Konstante CERBER_IP_KEY definieren. WP Cerber verwendet diese als Schlüssel, um IP-Adressen aus der Variable $_SERVER abzurufen. Siehe die Anleitung unten.

Konfigurieren der Konstanten CERBER_IP_KEY

  1. Rufen Sie Ihre aktuelle IP-Adresse auf der Seite „Was ist meine IP-Adresse“ ab.

  2. Gehen Sie zur Tools -Administrationsseite, die sich unter dem WP Cerber-Administrationsmenü befindet, und klicken Sie auf die Registerkarte „Diagnose“

  3. Scrollen Sie nach unten zum Abschnitt Serverumgebungsvariablen

  4. Finden Sie Ihre IP-Adresse in einer der Zeilen, die im Abschnitt angezeigt werden

  5. In der ersten Zelle der Zeile mit Ihrer IP-Adresse sehen Sie einen Schlüssel. Im folgenden Beispiel lautet der Schlüssel HTTP_X_REAL_IP . Wir empfehlen die Verwendung eines Schlüssels, der nicht mit HTTP_ beginnt. Verwenden Sie einen solchen Schlüssel nur im Notfall.

  6. Nehmen Sie den Schlüssel und fügen Sie die folgende Zeile mit Ihrem Schlüssel am Anfang der Datei wp-config.php hinzu (nach der Zeile mit <?php) 
     definieren('CERBER_IP_KEY', 'HTTP_X_REAL_IP');

Server Environment Variables

The Server Environment Variables section on the Diagnostic tab

Hinweis: Die HTTP_X_REAL_IP wird als Beispiel angezeigt, Sie müssen Ihren eigenen Schlüssel herausfinden und verwenden.

Sicherheitsimplikationen bei Verwendung des HTTP-Headers „X-Forwarded-For“

Wenn „Meine Website befindet sich hinter einem Reverse-Proxy“ aktiviert ist, verwendet WP Cerber den HTTP-Header „X-Forwarded-For“ (XFF), um die ursprüngliche Client-IP-Adresse zu ermitteln, wenn Anfragen an eine Website über einen Reverse-Proxy-Server oder einen Load Balancer, beispielsweise einen Cloudflare-Proxy, laufen. Bei der Verwendung von Zugriffskontrolllisten (ACLs) basierend auf IP-Adressen wie WP Cerber ACL kann die Verwendung des XFF-Headers bei falscher Konfiguration Sicherheitsrisiken bergen.

Wenn „Meine Site befindet sich hinter einem Reverse-Proxy“ auf einer Website aktiviert ist, die sich nicht hinter einem Proxy-Server befindet, kann ein Angreifer den XFF-Header in einer Anfrage fälschen und so die ACL-Regeln umgehen, sofern er die Einträge der Zugriffslisten kennt. Warum? Der Angreifer kann den XFF-Header auf eine IP-Adresse setzen, die von den Zugriffslistenregeln zugelassen wird, und sich so unbefugten Zugriff verschaffen.

Um dieses Risiko zu minimieren, ist es wichtig, auf einer Website, die nur über einen Proxyserver mit dem Internet verbunden ist, die Option „Meine Site befindet sich hinter einem Reverse-Proxy“ zu aktivieren.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.