Firewally pro WordPress jsou webové aplikační firewally (WAF) speciálně navržené pro ochranu stránek WordPress. Firewally pro WordPress, které používáme a doporučujeme, jsou Sucuri, Malcare a BBQ: Block Bad Queries.
WAF jsou v oblasti zabezpečení webu poměrně nové. Proto jsme napsali tuto příručku, abychom vysvětlili, co jsou firewally a jak se vyvinuly do WAF. Upozorňuje také na různé typy firewallů pro WordPress, které jsou na trhu k dispozici, a na to, jak fungují.
- Koncept firewallů
- Vývoj do brány firewall pro webové aplikace
- Brány firewall první generace – filtrování paketů
- Druhá generace firewallů – stavové filtrování
- Brány firewall třetí generace – filtrování na aplikační vrstvě
- Brány firewall webových aplikací / brány firewall WordPress
- Jak fungují brány firewall WordPress?
- Různé typy firewallů pro WordPress
- Pluginy firewallů pro WordPress
- Dedikované brány firewall pro webové aplikace WordPress
- Online firewally pro webové stránky WordPress
- Online brány firewall lze obejít
- Obecná omezení brány firewall WordPressu
- Omezená ochrana proti zranitelnostem nulového dne
- Brána firewall webových aplikací obchází
- Měli byste používat firewall pro WordPress?
Koncept firewallů
Firewall je bezpečnostní software nebo služba, která se instaluje mezi dvě nebo více sítí a řídí příchozí i odchozí provoz každé sítě. Funguje jako bariéra mezi důvěryhodnou a nedůvěryhodnou sítí.
V typickém nastavení je brána firewall nainstalována mezi internetovým připojením a vnitřní sítí. Slouží k ochraně sítě před příchozími internetovými útoky. Používá se také k řízení toho, kdo může přistupovat k internetu. Pokud doma používáte směrovač WiFi, je směrovač domácí bránou firewall. V dnešní době mají téměř všechny domácí směrovače Wi-Fi vestavěnou bránu firewall.
Vývoj do brány firewall pro webové aplikace
Brány firewall první generace – filtrování paketů
Původně byly brány firewall určeny ke kontrole a blokování síťového provozu. Prováděly pouze filtrování paketů a nerozuměly užitečnému zatížení provozu. Pokud jste tedy ve své síti hostovali webové stránky, museli jste přes firewall otevřít port 80 pro veřejnost.
Jakmile port otevřete, firewall přes něj propustí jakýkoli typ příchozího provozu, včetně škodlivého provozu.
Druhá generace firewallů – stavové filtrování
Druhá generace firewallů pracovala na 4. vrstvě modelu OSI. To znamená, že dokázaly určit typ spojení, které zpracovávají. Například zda paket otevírá nové spojení nebo zda již bylo navázáno spojení atd.
Přesto měly firewally druhé generace spoustu omezení při řízení provozu. I když alespoň správci mohli vytvářet pravidla brány firewall na základě stavů spojení.
Brány firewall třetí generace – filtrování na aplikační vrstvě
Dnešní brány firewall byly představeny v polovině devadesátých let. Moderní technologie firewallů rozumí aplikacím a protokolům. Firewally třetí generace tak dokáží pochopit, zda je užitečné zatížení paketu určeno pro server FTP a o jaký požadavek se jedná, nebo zda se jedná o požadavek na připojení HTTP a o jaký požadavek se jedná.
Tato technologie vedla k vývoji firewallů s jedním rozsahem, jako jsou například webové aplikační firewally.
Brány firewall webových aplikací / brány firewall WordPress
Brány firewall webových aplikací jsou brány firewall s jedním rozsahem. Jejich úkolem v síti je chránit webové stránky před útoky škodlivých hackerů.
Brána firewall pro WordPress je brána firewall pro webové aplikace speciálně navržená pro ochranu WordPressu. Když je na webu WordPress nainstalována brána firewall WordPress, běží mezi vaším webem a internetem a analyzuje všechny příchozí požadavky HTTP.
Pokud požadavek HTTP obsahuje škodlivé užitečné zatížení, brána firewall WordPress spojení přeruší.
Jak fungují brány firewall WordPress?
Způsob, jakým brána firewall WordPress detekuje škodlivé požadavky, je podobný tomu, jak software pro detekci malwaru detekuje malwarové infekce. Používají seznam známých útoků nazývaný signatury, a pokud užitečné zatížení požadavku HTTP odpovídá signatuře, znamená to, že požadavek je škodlivý.
Většina firewallů WordPress neumožňuje upravovat signatury útoků. Brány firewall pro webové aplikace, které nejsou zaměřené na WordPress, jsou však vysoce konfigurovatelné. Můžete je přizpůsobit konkrétně pro svůj web, ať už se jedná o WordPress nebo vlastní řešení. Můžete si vytvořit vlastní sadu bezpečnostních pravidel, výjimek atd. Při konfiguraci brány firewall pro webové aplikace je však třeba být velmi opatrný, aby nedošlo k zablokování legitimního provozu.
Některé brány firewall pro webové aplikace mají také technologii automatického učení. Tato heuristická technologie analyzuje provoz vašeho webu a učí se, co je legitimní provoz a co ne.
Různé typy firewallů pro WordPress
Pluginy firewallů pro WordPress
Většina firewallů pro WordPress na vlastním hostingu jsou pluginy pro WordPress. Když nainstalujete zásuvný firewall, každý požadavek HTTP odeslaný na váš web se zpracovává následujícím způsobem:
- Nejprve jej přijme služba webového serveru (Apache nebo Nginx).
- Poté se spustí zavádění/zavádění WordPressu, které inicializuje WordPress (wp-config.php, inicializuje připojení k databázi, nastavení WordPressu atd).
- Předtím, než je požadavek skutečně zpracován WordPressem, je analyzován pluginem firewallu WordPress.
Pluginy firewallu WordPress jsou ideální pro malé a střední podniky, protože jsou cenově velmi dostupné a snadno použitelné. Většina z nich má navíc v sobě zabudované skenery malwaru. Tyto brány firewall však běží na vašem webu a jsou inicializovány systémem WordPress. Pokud by se tedy na vašem webu vyskytla zranitelnost ještě před inicializací brány firewall, je pravděpodobné, že útočníci získají plný přístup k vašemu webu WordPress.
Dedikované brány firewall pro webové aplikace WordPress
Jako brány firewall pro WordPress lze použít také obecné brány firewall pro webové aplikace. Může se jednat o vyhrazené hardwarové zařízení nebo software.
Generické firewally webových aplikací se instalují mezi web WordPress a internetové připojení. Každý požadavek HTTP odeslaný na váš web WordPress tedy nejprve projde přes WAF. Tyto brány WAF jsou určitě bezpečnějším řešením než pluginy brány firewall pro WordPress. Jsou však drahé a člověk k jejich správě potřebuje specifické technické znalosti. Proto je obvykle nepoužívají malé podniky.
Online firewally pro webové stránky WordPress
Na rozdíl od samostatně hostovaných zásuvných modulů firewallu pro WordPress nebo zařízení firewall pro WordPress nemusí být online firewall pro WordPress nainstalován ve stejné síti jako webový server. Jedná se o online službu, která funguje jako proxy server – provoz vašich webových stránek přes ni prochází za účelem filtrování a poté je přesměrován na vaše webové stránky.
Při použití online brány firewall pro WordPress nakonfigurujete záznamy DNS své domény tak, aby ukazovaly na online bránu WAF. To znamená, že návštěvníci vašeho webu ve skutečnosti komunikují s online bránou firewall pro WordPress, a nikoli přímo s vaším webem WordPress.
Typicky má online brána firewall více než jeden rozsah. Kromě ochrany webu WordPress před hackerskými útoky může sloužit také jako cachovací server a CDN. Online brány firewall pro webové aplikace jsou také velmi cenově dostupné v porovnání s obecnými webovými aplikačními branami firewall pro vlastní hosting.
Online brány firewall lze obejít
Známým omezením online bran firewall pro WordPress je, že váš webový server musí být přístupný přes internet, aby brána WAF mohla předávat provoz na váš web WordPress. To znamená, že každý může stále komunikovat přímo s vaším webovým serverem, pokud zná jeho IP adresu.
Takže při necílených útocích na WordPress, při kterých útočníci jednoduše prohledávají celé sítě a hledají zranitelné weby, jsou váš webový server a web stále přímo dosažitelné. Vždy však můžete bránu firewall svého serveru nakonfigurovat tak, aby reagovala pouze na provoz přicházející z online brány firewall WordPressu, abyste se nestali obětí takového typu útoku.
Obecná omezení brány firewall WordPressu
Omezená ochrana proti zranitelnostem nulového dne
Jednou z nejběžnějších technik ochrany WAF je kontrola užitečného zatížení požadavku HTTP podle databáze signatur. Když tedy někdo navštíví váš web, systém WAF zkontroluje užitečné zatížení proti databázi známých webových útoků. Pokud se shoduje, znamená to, že je škodlivé, pokud ne, nechá ho projít.
V případě zero day zranitelnosti WordPressu tedy existuje šance, že váš firewall WordPress nemusí útok zablokovat. Proto je klíčová vstřícnost dodavatele a vždy byste měli používat software od vstřícných a důvěryhodných firem. Čím dříve může dodavatel aktualizovat pravidla brány firewall, tím lépe.
Brána firewall webových aplikací obchází
Brány firewall webových aplikací jsou jako každý jiný software. Mají své vlastní problémy a mohou mít zranitelnosti. Ve skutečnosti můžete najít poměrně velké množství bílých knih a článků pojednávajících o technikách používaných k obcházení ochrany brány firewall webových aplikací. Ale na druhou stranu, pokud dodavatel reaguje a včas takové problémy znovu řeší, je vše v pořádku.
Měli byste používat firewall pro WordPress?
Jistě! Jaký firewall pro WordPress byste měli používat? Každý firewall pro WordPress má své výhody a nevýhody, takže si vyberte ten, který nejlépe vyhovuje vašim požadavkům. Nicméně i když máte firewall pro WordPress, nepolevujte v ostražitosti.
Pokud jde o zabezpečení WordPressu, neexistuje žádné neprůstřelné řešení. Proto byste měli vždy přitvrdit > Sledovat > Zlepšit > Testovat. Uchovávejte protokol o činnosti na webu WordPress, implementujte solidní řešení zálohování WordPressu a používejte firewall WordPressu. Tyto doporučujeme a rádi s nimi pracujeme:
- Malcare WordPress firewall a plugin pro skenování malwaru
- Sucuri online WordPress firewall a bezpečnostní platforma
- BBQ: Block Bad Queries WordPress firewall plugin
.