WordPress Firewalls er webapplikationsfirewalls (WAF’er), der er specielt designet til at beskytte WordPress-websteder. De WordPress-firewalls, vi bruger og anbefaler, er Sucuri, Malcare og BBQ: Block Bad Queries.
WAF’er er relativt nye i websikkerhedsindustrien. Derfor har vi skrevet denne guide for at forklare, hvad firewalls er, og hvordan de har udviklet sig til WAF’er. Den fremhæver også de forskellige typer WordPress-firewalls, der er tilgængelige på markedet, og hvordan de fungerer.
- Begrebet firewalls
- Evolution til webapplikationsfirewalls
- Første generation af firewalls – pakkefiltrering
- Second Generation Firewalls – Stateful Filtering
- Tredje generation af firewalls – filtrering i applikationslaget
- Webapplikationsfirewalls / WordPress Firewalls
- Hvordan fungerer WordPress-firewalls?
- Differente typer WordPress firewalls
- WordPress firewalls plugins
- On-Site Dedikerede WordPress Web Application Firewalls
- Online WordPress website firewalls
- Online firewalls kan omgås
- Generiske begrænsninger ved WordPress-firewalls
- Begrænset beskyttelse mod Zero Day-sårbarheder
- Web Application Firewall Bypasses
- Bør du bruge en WordPress-firewall?
Begrebet firewalls
En firewall er en sikkerhedssoftware eller -tjeneste, der er installeret mellem to eller flere netværk for at kontrollere både den indgående og udgående trafik på hvert netværk. Den fungerer som en barriere mellem et betroet og et ikke-troværdigt netværk.
I en typisk opsætning er en firewall installeret mellem en internetforbindelse og et internt netværk. Den bruges til at beskytte netværket mod indgående internetangreb. Den bruges også til at kontrollere, hvem der kan få adgang til internettet. Hvis du bruger en WiFi-router i dit hjem, er routeren dit hjems firewall. I dag har næsten alle WiFi-routere i hjemmet en indbygget firewall.
Evolution til webapplikationsfirewalls
Første generation af firewalls – pakkefiltrering
Originalt var firewalls designet til at kontrollere og blokere netværkstrafikken. De foretog kun pakkefiltrering og forstod ikke trafikens nyttelast. Så hvis du var vært for et websted på dit netværk, skulle du åbne port 80 gennem firewallen til offentligheden.
Når du åbner en port, tillader firewallen enhver form for indgående trafik gennem den, herunder skadelig trafik.
Second Generation Firewalls – Stateful Filtering
Den anden generation af firewalls opererede på lag 4 i OSI-modellen. Det betyder, at de kunne bestemme, hvilken type forbindelse de håndterer. F.eks. om en pakke åbner en ny forbindelse, eller om der allerede er etableret en forbindelse osv.
Den anden generation af firewalls havde dog stadig mange begrænsninger med hensyn til at kontrollere trafikken. Selvom administratorer i det mindste kunne oprette firewallregler baseret på forbindelsesstatus.
Tredje generation af firewalls – filtrering i applikationslaget
De firewalls, der findes i dag, blev introduceret i midten af halvfemserne. Moderne firewallteknologi forstår applikationer og protokoller. Så tredje generations firewalls kan forstå, om en pakkes payload er til en FTP-server, og hvad der er anmodningen, eller om det er en HTTP-forbindelsesanmodning, og hvad anmodningen er.
Denne teknologi førte til udviklingen af single scope firewalls, f.eks. webapplikationsfirewalls.
Webapplikationsfirewalls / WordPress Firewalls
Webapplikationsfirewalls er single scope firewalls. Deres rolle på et netværk er at beskytte et websted mod ondsindede hackerangreb.
En WordPress firewall er en webapplikationsfirewall, der er specielt designet til at beskytte WordPress. Når en WordPress-firewall er installeret på dit WordPress-websted, kører den mellem dit websted og internettet for at analysere alle indgående HTTP-forespørgsler.
Når en HTTP-forespørgsel indeholder skadelig nyttelast, afbryder WordPress-firewallen forbindelsen.
Hvordan fungerer WordPress-firewalls?
Den måde, en WordPress-firewall registrerer skadelige forespørgsler på, svarer til, hvordan malware-software registrerer malware-infektioner. De bruger en liste over kendte angreb kaldet signaturer, og når nyttelasten i en HTTP-anmodning passer til en signatur, betyder det, at anmodningen er skadelig.
De fleste WordPress-firewalls giver dig ikke mulighed for at ændre angrebssignaturerne. Men ikke WordPress-centrerede webapplikationsfirewalls er meget konfigurerbare. Du kan skræddersy dem specifikt til dit websted, uanset om det er WordPress eller en brugerdefineret løsning. Du kan oprette dit eget sæt af sikkerhedsregler, undtagelser osv. Man skal dog være meget forsigtig, når man konfigurerer en webapplikationsfirewall, så den ikke blokerer for legitim trafik.
Somme webapplikationsfirewalls har også auto learn-teknologi. Denne heuristiske teknologi analyserer din hjemmesides trafik for at lære, hvad der er legitim trafik, og hvad der ikke er det.
Differente typer WordPress firewalls
WordPress firewalls plugins
De fleste selvhostede WordPress firewalls er WordPress plugins. Når du installerer en plugin-firewall, behandles hver HTTP-forespørgsel, der sendes til dit websted, på følgende måde:
- Først modtager webservertjenesten (Apache eller Nginx) den.
- Dernæst udløser den WordPress bootstrap/load, som initialiserer WordPress (wp-config.php, initialiserer databaseforbindelsen, WordPress-indstillinger osv.).
- Hvor anmodningen rent faktisk behandles af WordPress, analyseres den af WordPress-firewallpluginet.
WordPress-firewallplugins er ideelle for små og mellemstore virksomheder, fordi de er meget overkommelige og nemme at bruge. Desuden har de fleste af dem malware-scannere indbygget i dem. Men disse firewalls kører på dit websted og initialiseres af WordPress. Hvis der derfor skulle være en sårbarhed på dit websted, før firewallen er initialiseret, er der stor sandsynlighed for, at angriberne kan få fuld adgang til dit WordPress-websted.
On-Site Dedikerede WordPress Web Application Firewalls
Generiske webapplikationsfirewalls kan også bruges som WordPress firewalls. Disse kan være et dedikeret hardwareapparat eller en software.
Generiske webapplikationsfirewalls installeres mellem dit WordPress-websted og internetforbindelsen. Så hver HTTP-forespørgsel, der sendes til dit WordPress-websted, passerer først gennem WAF’en. Disse WAF’er er helt sikkert mere en mere sikre løsninger end WordPress firewall plugins. De er dog dyre, og man har brug for særlig teknisk ekspertise til at administrere dem. Så de bruges typisk ikke af små virksomheder.
Online WordPress website firewalls
I modsætning til en selvhostet WordPress firewall plugins eller appliance, behøver en online WordPress firewall ikke at blive installeret på samme netværk som din webserver. Det er en onlinetjeneste, der fungerer som en proxyserver – trafikken på dit websted passerer gennem den til filtrering og videresendes derefter til dit websted.
Når du bruger en online WordPress-firewall, konfigurerer du dit domænes DNS-poster til at pege på online WAF’en. Det betyder, at de besøgende på dit websted faktisk kommunikerer med online WordPress-firewallen og ikke direkte med dit WordPress-websted.
Typisk har en online firewall mere end ét anvendelsesområde. Ud over at beskytte dit WordPress-websted mod hackerangreb kan den også fungere som en caching-server og CDN. Online webapplikationsfirewalls er også meget overkommelige sammenlignet med selvhostede generiske webapplikationsfirewalls.
Online firewalls kan omgås
En kendt begrænsning ved online WordPress firewalls er, at din webserver skal være tilgængelig via internettet, for at WAF’en kan videresende trafikken til dit WordPress-websted. Det betyder, at alle stadig kan kommunikere direkte med din webserver, hvis de kender dens IP-adresse.
Så i et ikke-målrettet WordPress-angreb, hvor angriberne blot scanner hele netværk for sårbare websteder, kan man stadig nå din webserver og dit websted direkte. Du kan dog altid konfigurere din servers firewall til kun at reagere på trafik, der kommer fra online WordPress-firewallen, så du ikke bliver offer for denne type angreb.
Generiske begrænsninger ved WordPress-firewalls
Begrænset beskyttelse mod Zero Day-sårbarheder
En af de mest almindelige WAF-beskyttelsesteknikker er at kontrollere nyttelasten af en HTTP-forespørgsel i forhold til en database med signaturer. Når en person besøger dit websted, kontrollerer WAF’en altså nyttelasten i forhold til en database over kendte webangreb. Hvis det matcher, betyder det, at det er skadeligt, og hvis ikke, lader det det passere.
Der er derfor i tilfælde af en Zero Day WordPress-sårbarhed chancer for, at din WordPress-firewall måske ikke blokerer angrebet. Det er derfor, at leverandørens lydhørhed er afgørende, og du bør altid bruge software fra lydhøre og pålidelige virksomheder. Jo hurtigere leverandøren kan opdatere firewallreglerne, jo bedre er det.
Web Application Firewall Bypasses
Web Application Firewalls er som enhver anden software. De har deres egne problemer og kan have sårbarheder. Faktisk kan du finde et ret stort antal white papers og artikler, der handler om teknikker, der bruges til at omgå beskyttelsen af webapplikationsfirewalls. Men så længe leverandøren er lydhør og genbehandler sådanne problemer i tide, er alt godt.
Bør du bruge en WordPress-firewall?
Detaljmæssigt! Hvilken WordPress firewall skal du bruge? Hver WordPress firewall har sine fordele og ulemper, så vælg den, der passer bedst til dine behov. Men selv når du har en WordPress-firewall, skal du ikke lade dine vagter falde.
Der findes ingen skudsikker løsning, når det kommer til WordPress-sikkerhed. Så du bør altid hærde > Overvåg > Overvåg > Forbedre > Test. Hold en aktivitetslog på dit WordPress-websted, implementer en stensikker WordPress-backupløsning og brug en WordPress-firewall. Disse er dem, vi anbefaler og kan lide at arbejde med:
- Malcare WordPress firewall og malware scanner plugin
- Sucuri online WordPress firewall og sikkerhedsplatform
- BBQ: Block Bad Queries WordPress firewall plugin