WordPress-palomuurit ovat web-sovellusten palomuureja (WAF), jotka on suunniteltu erityisesti WordPress-sivustojen suojaamiseen. Käyttämämme ja suosittelemamme WordPress-palomuurit ovat Sucuri, Malcare ja BBQ: Block Bad Queries.
WAFit ovat suhteellisen uusia verkkoturva-alalla. Siksi olemme kirjoittaneet tämän oppaan selittääksemme, mitä palomuurit ovat ja miten ne kehittyivät WAFeiksi. Siinä tuodaan myös esiin erilaisia markkinoilla olevia WordPress-palomuureja ja niiden toimintaa.
- Palomuurin käsite
- Evolving Into Web Application Firewalls
- Ensimmäisen sukupolven palomuurit – pakettisuodatus
- Kakkossukupolven palomuurit – tilasuodatus
- Kolmannen sukupolven palomuurit – sovelluskerroksen suodatus
- Web-sovelluspalomuurit / WordPress-palomuurit
- Miten WordPress-palomuurit toimivat?
- Erilaisia WordPress-palomuurityyppejä
- WordPress-palomuurien liitännäisohjelmat
- Sivustollesi omistetut WordPress-verkkosovelluspalomuurit
- Online WordPress-sivuston palomuurit
- Online-palomuureja voidaan ohittaa
- WordPress-palomuurien yleiset rajoitukset
- Limited Zero Day Vulnerability Protection
- Web-sovellusten palomuurin ohitukset
- Pitäisikö sinun käyttää WordPress-palomuuria?
Palomuurin käsite
Palomuuri on tietoturvaohjelmisto tai -palvelu, joka asennetaan kahden tai useamman verkon väliin valvomaan sekä kunkin verkon saapuvaa että lähtevää liikennettä. Se toimii esteenä luotettavan ja epäluotettavan verkon välillä.
Tyypillisessä asennuksessa palomuuri asennetaan internet-yhteyden ja sisäverkon väliin. Sitä käytetään suojaamaan verkkoa saapuvilta Internet-hyökkäyksiltä. Sitä käytetään myös valvomaan, kuka voi käyttää internetiä. Jos käytät kotona WiFi-reititintä, reititin on kotisi palomuuri. Nykyään lähes kaikissa kodin WiFi-reitittimissä on sisäänrakennettu palomuuri.
Evolving Into Web Application Firewalls
Ensimmäisen sukupolven palomuurit – pakettisuodatus
Alun perin palomuurit suunniteltiin valvomaan ja estämään verkkoliikennettä. Ne tekivät vain pakettien suodatusta eivätkä ymmärtäneet liikenteen hyötykuormaa. Jos siis isännöit verkossa verkkosivustoa, sinun oli avattava portti 80 palomuurin kautta yleisölle.
Kun portti on kerran avattu, palomuuri sallii kaikenlaisen saapuvan liikenteen sen läpi, mukaan lukien haitallisen liikenteen.
Kakkossukupolven palomuurit – tilasuodatus
Kakkossukupolven palomuurit toimivat OSI-mallin 4. kerroksella. Tämä tarkoittaa, että ne pystyivät määrittämään käsiteltävän yhteyden tyypin. Esimerkiksi onko paketti avaamassa uutta yhteyttä vai onko yhteys jo muodostettu jne.
Siltikin toisen sukupolven palomuureilla oli paljon rajoituksia liikenteen valvonnassa. Tosin ainakin ylläpitäjät pystyivät luomaan palomuurisääntöjä yhteyden tilojen perusteella.
Kolmannen sukupolven palomuurit – sovelluskerroksen suodatus
Nykyaikaiset palomuurit otettiin käyttöön 1990-luvun puolivälissä. Nykyaikainen palomuuritekniikka ymmärtää sovelluksia ja protokollia. Niinpä kolmannen sukupolven palomuurit pystyvät ymmärtämään, onko paketin hyötykuorma FTP-palvelimelle ja mikä on pyyntö, vai onko se HTTP-yhteyspyyntö ja mikä on pyyntö.
Tämä tekniikka johti yhden soveltamisalan palomuurien, kuten web-sovelluspalomuurien, kehittämiseen.
Web-sovelluspalomuurit / WordPress-palomuurit
Web-sovelluspalomuurit ovat yhden soveltamisalan palomuureja. Niiden tehtävänä verkossa on suojata verkkosivusto ilkivaltaisilta hakkerihyökkäyksiltä.
WordPress-palomuuri on verkkosovelluspalomuuri, joka on suunniteltu erityisesti WordPressin suojaamiseen. Kun WordPress-palomuuri asennetaan WordPress-sivustollesi, se toimii sivustosi ja internetin välissä analysoidakseen kaikki saapuvat HTTP-pyynnöt.
Kun HTTP-pyyntö sisältää haitallista hyötykuormaa, WordPress-palomuuri katkaisee yhteyden.
Miten WordPress-palomuurit toimivat?
Tapa, jolla WordPress-palomuuri havaitsee haittaohjelmia sisältävät pyynnöt, on samankaltainen kuin se, millä tavoin haittaohjelmaohjelmat havaitsevat haittaohjelmatartunnat. Ne käyttävät tunnettujen hyökkäysten luetteloa, jota kutsutaan allekirjoituksiksi, ja kun HTTP-pyynnön hyötykuorma vastaa allekirjoitusta, se tarkoittaa, että pyyntö on haitallinen.
Useimmat WordPress-palomuurit eivät salli hyökkäyssignatuurien muuttamista. Mutta muut kuin WordPress-keskeiset verkkosovelluspalomuurit ovat hyvin konfiguroitavissa. Voit räätälöidä ne erityisesti sivustollesi, olipa kyseessä WordPress tai mukautettu ratkaisu. Voit luoda omia turvallisuussääntöjä, poikkeuksia jne. Web-sovelluspalomuuria konfiguroidessa on kuitenkin oltava hyvin varovainen, ettei se estä laillista liikennettä.
Joissain web-sovelluspalomuureissa on myös automaattinen oppimistekniikka. Tämä heuristinen tekniikka analysoi verkkosivustosi liikennettä oppiakseen, mikä on laillista liikennettä ja mikä ei.
Erilaisia WordPress-palomuurityyppejä
WordPress-palomuurien liitännäisohjelmat
Vähemmistö itse isännöidyistä WordPress-palomuureista on WordPress-liitännäisiä. Kun asennat liitännäispalomuurin, jokainen verkkosivustollesi lähetetty HTTP-pyyntö käsitellään seuraavasti:
- Ensiksi verkkopalvelinpalvelu (Apache tai Nginx) vastaanottaa sen.
- Sitten se käynnistää WordPressin käynnistys-/latausohjelman, joka alustaa WordPressin (wp-config.php, alustaa tietokantayhteyden, WordPress-asetukset jne.).
- Ennen kuin WordPress varsinaisesti käsittelee pyynnön, se jäsennetään WordPressin palomuuriliitännäisellä.
WordPressin palomuuriliitännäiset sopivat erinomaisesti pk-yrityksille, koska ne ovat erittäin edullisia ja helppokäyttöisiä. Lisäksi useimpiin niistä on sisällytetty haittaohjelmien skannereita. Nämä palomuurit ovat kuitenkin käynnissä sivustollasi, ja WordPress alustaa ne. Siksi jos sivustossasi on haavoittuvuus ennen palomuurin alustamista, on todennäköistä, että hyökkääjät pääsevät täysin käsiksi WordPress-sivustoosi.
Sivustollesi omistetut WordPress-verkkosovelluspalomuurit
Yleisiä verkkosovelluspalomuureja voidaan käyttää myös WordPress-palomuureina. Ne voivat olla dedikoitu laitteistolaite tai ohjelmisto.
Tyypilliset verkkosovelluspalomuurit asennetaan WordPress-sivuston ja internet-yhteyden väliin. Jokainen WordPress-sivustollesi lähetetty HTTP-pyyntö kulkee siis ensin WAF:n läpi. Nämä WAF:t ovat varmasti turvallisempia ratkaisuja kuin WordPressin palomuuriliitännäiset. Ne ovat kuitenkin kalliita, ja niiden hallintaan tarvitaan erityistä teknistä asiantuntemusta. Niinpä pienyritykset eivät yleensä käytä niitä.
Online WordPress-sivuston palomuurit
Toisin kuin itse isännöityjä WordPress-palomuuriliitännäisiä tai -laitteita, online WordPress-palomuuria ei tarvitse asentaa verkkopalvelimesi kanssa samaan verkkoon. Se on verkkopalvelu, joka toimii kuin välityspalvelin – verkkosivustosi liikenne kulkee sen läpi suodatettavaksi ja ohjataan sitten edelleen verkkosivustollesi.
Kun käytät verkossa toimivaa WordPress-palomuuria, määrität verkkotunnuksesi DNS-tietueet osoittamaan verkossa toimivaan WAF:iin. Tämä tarkoittaa, että verkkosivustosi kävijät kommunikoivat itse asiassa online WordPress-palomuurin kanssa eivätkä suoraan WordPress-sivustosi kanssa.
Tyypillisesti online-palomuurilla on useampi kuin yksi soveltamisala. Sen lisäksi, että se suojaa WordPress-sivustoasi hakkerihyökkäyksiltä, se voi toimia myös välimuistipalvelimena ja CDN:nä. Verkkosovellusten verkkopalomuurit ovat myös erittäin edullisia verrattuna itse isännöityihin yleisiin verkkosovellusten palomuureihin.
Online-palomuureja voidaan ohittaa
Verkossa toimivien WordPressin verkkopalomuurien tiedossa oleva rajoitus on se, että verkkopalvelimesi on oltava tavoitettavissa internetin välityksellä, jotta WAF voi välittää liikennettä WordPress-sivustollesi. Tämä tarkoittaa, että kaikki voivat edelleen olla suoraan yhteydessä verkkopalvelimeesi, jos he tietävät sen IP-osoitteen.
Siten ei-kohdennetuissa WordPress-hyökkäyksissä, joiden aikana hyökkääjät yksinkertaisesti skannaavat kokonaisia verkkoja haavoittuvien sivustojen varalta, verkkopalvelimesi ja sivustosi ovat edelleen suoraan tavoitettavissa. Voit kuitenkin aina määrittää palvelimesi palomuurin vastaamaan vain verkossa olevasta WordPress-palomuurista tulevaan liikenteeseen, jotta et joutuisi tällaisen hyökkäyksen uhriksi.
WordPress-palomuurien yleiset rajoitukset
Limited Zero Day Vulnerability Protection
Yksi tavallisimmista WAF-suojaustekniikoista on HTTP-pyynnön hyötykuorman tarkistaminen allekirjoitustietokannasta. Kun joku vierailee verkkosivustollasi, WAF tarkistaa hyötykuorman tunnettujen verkkohyökkäysten tietokannan perusteella. Jos se täsmää, se tarkoittaa, että se on haitallinen, jos ei, se päästää sen läpi.
Siten nollapäivän WordPress-haavoittuvuuden tapauksessa on mahdollista, että WordPress-palomuurisi ei ehkä estä hyökkäystä. Tämän vuoksi myyjien reagoivuus on ratkaisevan tärkeää, ja sinun tulisi aina käyttää reagoivien ja luotettavien yritysten ohjelmistoja. Mitä nopeammin myyjä pystyy päivittämään palomuurisäännöt, sitä parempi.
Web-sovellusten palomuurin ohitukset
Web-sovellusten palomuurit ovat kuin mitkä tahansa muutkin ohjelmistot. Niillä on omat ongelmansa ja niissä voi olla haavoittuvuuksia. Itse asiassa voit löytää melko suuren määrän valkoisia papereita ja artikkeleita, joissa puhutaan tekniikoista, joita käytetään web-sovellusten palomuurien suojauksen ohittamiseen. Mutta toisaalta, niin kauan kuin myyjä reagoi ja hoitaa tällaiset ongelmat uudelleen ajoissa, kaikki on hyvin.
Pitäisikö sinun käyttää WordPress-palomuuria?
Edelleen! Mitä WordPress-palomuuria sinun tulisi käyttää? Jokaisella WordPress-palomuurilla on hyvät ja huonot puolensa, joten valitse se, joka sopii parhaiten vaatimuksiisi. Vaikka sinulla olisikin WordPress-palomuuri, älä kuitenkaan laske vartijoita.
Ei ole olemassa mitään luodinkestävää ratkaisua, kun kyse on WordPressin tietoturvasta. Niinpä sinun kannattaa aina koventaa > Tarkkaile > Paranna > Testaa. Pidä WordPress-sivuston toimintalokia, ota käyttöön vankka WordPress-varmuuskopiointiratkaisu ja käytä WordPress-palomuuria. Näitä suosittelemme ja tykkäämme käyttää:
- Malcare WordPress-palomuuri ja haittaohjelmien skanneri -lisäosa
- Sucuri online WordPress-palomuuri ja tietoturva-alusta
- BBQ: Block Bad Queries WordPress-palomuuri -lisäosa