WordPress Firewalls – Comment ils fonctionnent et améliorent la sécurité de votre site WordPress

Les pare-feu WordPress sont des pare-feu d’application web (WAFs) spécifiquement conçus pour protéger les sites WordPress. Les pare-feu WordPress que nous utilisons et approuvons sont Sucuri, Malcare et BBQ : Block Bad Queries.

Les WAFs sont relativement nouveaux dans l’industrie de la sécurité web. Nous avons donc rédigé ce guide pour expliquer ce que sont les pare-feu et comment ils ont évolué vers les WAFs. Il met également en évidence les différents types de pare-feu WordPress disponibles sur le marché et leur fonctionnement.

Le concept de pare-feu

Un pare-feu est un logiciel ou un service de sécurité qui est installé entre deux ou plusieurs réseaux pour contrôler le trafic entrant et sortant de chaque réseau. Il agit comme une barrière entre un réseau de confiance et un réseau non de confiance.

Dans une configuration typique, un pare-feu est installé entre une connexion Internet et un réseau interne. Il est utilisé pour protéger le réseau contre les attaques Internet entrantes. Il est également utilisé pour contrôler qui peut accéder à l’internet. Si vous utilisez un routeur Wi-Fi à votre domicile, le routeur est le pare-feu de votre maison. De nos jours, presque tous les routeurs Wi-Fi domestiques ont un pare-feu intégré.

Évoluer vers les pare-feu d’applications Web

Pare-feu de première génération – Filtrage de paquets

À l’origine, les pare-feu étaient conçus pour contrôler et bloquer le trafic réseau. Ils ne faisaient que du filtrage de paquets et ne comprenaient pas la charge utile du trafic. Ainsi, si vous hébergez un site Web sur votre réseau, vous deviez ouvrir le port 80 à travers le pare-feu au public.

Une fois que vous avez ouvert un port, le pare-feu permet tout type de trafic entrant à travers lui, y compris le trafic malveillant.

Pare-feu de deuxième génération – Filtrage Stateful

La deuxième génération de pare-feu fonctionnait sur la couche 4 du modèle OSI. Cela signifie qu’ils pouvaient déterminer le type de connexion qu’ils traitent. Par exemple, si un paquet ouvre une nouvelle connexion ou si une connexion a déjà été établie, etc.

Pour autant, les pare-feu de deuxième génération avaient beaucoup de limitations dans le contrôle du trafic. Bien qu’au moins les administrateurs pouvaient créer des règles de pare-feu basées sur les statuts de connexion.

Pare-feu de troisième génération – Filtrage de la couche application

Les pare-feu d’aujourd’hui ont été introduits au milieu des années 90. La technologie moderne des pare-feu comprend les applications et les protocoles. Ainsi, les pare-feu de troisième génération peuvent comprendre si la charge utile d’un paquet est destinée à un serveur FTP et quelle est la demande, ou si c’est une demande de connexion HTTP et quelle est la demande.

Cette technologie a conduit au développement de pare-feu à portée unique, tels que les pare-feu d’application Web.

Pare-feu d’applications Web / pare-feu WordPress

Diagramme logique du pare-feu WordPress

Les pare-feu d’applications Web sont des pare-feu à portée unique. Leur rôle sur un réseau est de protéger un site web contre les attaques malveillantes des pirates.

Un pare-feu WordPress est un pare-feu d’application web spécifiquement conçu pour protéger WordPress. Lorsqu’un pare-feu WordPress est installé sur votre site WordPress, il s’exécute entre votre site et Internet pour analyser toutes les requêtes HTTP entrantes.

Lorsqu’une requête HTTP contient une charge utile malveillante, le pare-feu WordPress coupe la connexion.

Comment fonctionnent les pare-feu WordPress ?

La façon dont un pare-feu WordPress détecte les requêtes malveillantes est similaire à la façon dont les logiciels malveillants détectent les infections malveillantes. Ils utilisent une liste d’attaques connues appelées signatures, et lorsque la charge utile d’une requête HTTP correspond à une signature, cela signifie que la requête est malveillante.

La plupart des pare-feu WordPress ne vous permettent pas de modifier les signatures d’attaque. Mais les pare-feu d’applications web non centrés sur WordPress sont hautement configurables. Vous pouvez les adapter spécifiquement à votre site, que ce soit WordPress ou une solution personnalisée. Vous pouvez créer votre propre ensemble de règles de sécurité, d’exceptions, etc. Cependant, il faut être très prudent lors de la configuration d’un pare-feu d’application web pour ne pas bloquer le trafic légitime.

Certains pare-feu d’application web ont également une technologie d’apprentissage automatique. Cette technologie heuristique analyse le trafic de votre site web pour apprendre ce qui est un trafic légitime et ce qui ne l’est pas.

Différents types de pare-feu WordPress

Pare-feu WordPress Plugins

La majorité des pare-feu WordPress auto-hébergés sont des plugins WordPress. Lorsque vous installez un pare-feu à plugins, chaque requête HTTP envoyée à votre site web est traitée comme suit :

  • D’abord le service du serveur web (Apache ou Nginx) la reçoit.
  • Puis il déclenche le bootstrap/chargement de WordPress qui initialise WordPress (wp-config.php, initialise la connexion à la base de données, les paramètres de WordPress, etc).
  • Avant que la requête ne soit réellement traitée par WordPress, elle est analysée par le plugin de pare-feu WordPress.

Les plugins de pare-feu WordPress sont idéaux pour les PME car ils sont très abordables et faciles à utiliser. En outre, la plupart d’entre eux ont des scanners de logiciels malveillants incorporés en eux. Cependant, ces pare-feu fonctionnent sur votre site et sont initialisés par WordPress. Par conséquent, s’il y a une vulnérabilité sur votre site avant que le pare-feu soit initialisé, il y a de fortes chances que les attaquants puissent obtenir un accès complet à votre site WordPress.

Pare-feu d’application Web WordPress dédié sur site

Les pare-feu d’application Web génériques peuvent également être utilisés comme pare-feu WordPress. Il peut s’agir d’un appareil matériel dédié ou d’un logiciel.

Les pare-feu d’applications web génériques sont installés entre votre site WordPress et la connexion internet. Ainsi, chaque requête HTTP envoyée à votre site WordPress passe d’abord par le WAF. Ces WAFs sont certainement des solutions plus sécurisées que les plugins de pare-feu WordPress. Cependant, ils sont coûteux et leur gestion nécessite une expertise technique spécifique. Ils ne sont donc généralement pas utilisés par les petites entreprises.

Pare-feu en ligne pour site WordPress

Service de pare-feu WordPress en ligne

Contrairement à un plugin ou une appliance de pare-feu WordPress auto-hébergée, un pare-feu WordPress en ligne n’a pas besoin d’être installé sur le même réseau que votre serveur web. Il s’agit d’un service en ligne qui agit comme un serveur proxy – le trafic de votre site Web passe par lui pour être filtré et ensuite transmis à votre site Web.

Lorsque vous utilisez un pare-feu WordPress en ligne, vous configurez les enregistrements DNS de votre domaine pour pointer vers le WAF en ligne. Cela signifie que les visiteurs de votre site Web communiquent en fait avec le pare-feu WordPress en ligne et non directement avec votre site WordPress.

Typiquement, un pare-feu en ligne a plus d’une portée. Outre la protection de votre site WordPress contre les attaques de piratage, il peut également servir de serveur de mise en cache et de CDN. Les pare-feu d’applications Web en ligne sont également très abordables par rapport aux pare-feu d’applications Web génériques auto-hébergés.

Les pare-feu en ligne peuvent être contournés

Comment les utilisateurs peuvent contourner un service de pare-feu WordPress en ligne

Une limitation connue des pare-feu WordPress en ligne est que votre serveur Web doit être accessible sur Internet pour que le WAF transmette le trafic vers votre site WordPress. Cela signifie que tout le monde peut toujours communiquer directement avec votre serveur web s’il connaît son adresse IP.

Donc, lors d’une attaque WordPress non ciblée, au cours de laquelle les attaquants se contentent de scanner des réseaux entiers à la recherche de sites vulnérables, votre serveur web et votre site sont toujours joignables directement. Cependant, vous pouvez toujours configurer le pare-feu de votre serveur pour qu’il ne réponde qu’au trafic provenant du pare-feu WordPress en ligne afin de ne pas être victime de ce type d’attaque.

Limitations générales des pare-feu WordPress

Protection limitée contre les vulnérabilités de type « Zero Day »

L’une des techniques de protection WAF les plus courantes consiste à vérifier la charge utile d’une requête HTTP par rapport à une base de données de signatures. Ainsi, lorsque quelqu’un visite votre site web, le WAF vérifie la charge utile par rapport à une base de données d’attaques web connues. Si elle correspond, cela signifie qu’elle est malveillante, sinon elle la laisse passer.

Donc, en cas de vulnérabilité zero day de WordPress, il y a des chances que votre pare-feu WordPress ne bloque pas l’attaque. C’est pourquoi la réactivité des fournisseurs est cruciale et vous devriez toujours utiliser des logiciels d’entreprises réactives et de confiance. Plus vite le fournisseur peut mettre à jour les règles du pare-feu, mieux c’est.

Contournements de pare-feu d’applications Web

Les pare-feu d’applications Web sont comme tout autre logiciel. Ils ont leurs propres problèmes et peuvent avoir des vulnérabilités. En fait, vous pouvez trouver un assez grand nombre de livres blancs et d’articles parlant des techniques utilisées pour contourner la protection des pare-feu d’applications web. Mais là encore, tant que le fournisseur est réactif et remédie à ces problèmes en temps voulu, tout va bien.

Devriez-vous utiliser un pare-feu WordPress ?

Définitivement ! Quel pare-feu WordPress devriez-vous utiliser ? Chaque pare-feu WordPress a ses avantages et ses inconvénients, alors choisissez celui qui correspond le mieux à vos besoins. Cependant, même si vous avez un pare-feu WordPress, ne baissez pas vos gardes.

Il n’y a pas de solution infaillible quand il s’agit de la sécurité de WordPress. Vous devriez donc toujours durcir > surveiller > améliorer > tester. Tenez un journal d’activité sur votre site WordPress, mettez en place une solution de sauvegarde WordPress solide comme le roc et utilisez un pare-feu WordPress. Voici ceux que nous recommandons et avec lesquels nous aimons travailler :

  • Malcare WordPress firewall and malware scanner plugin
  • Sucuri online WordPress firewall and security platform
  • BBQ : Block Bad Queries WordPress firewall plugin

.