WordPressファイアウォールは、特にWordPressサイトを保護するために設計されたWebアプリケーションファイアウォール(WAFs)です。 私たちが使用し、推奨する WordPress ファイアウォールは、Sucuri、Malcare、および BBQ: Block Bad Queries です。
WAF は、Web セキュリティ業界では比較的新しいものです。 そこで、このガイドでは、ファイアウォールとは何か、そして、それがどのように WAF に発展したかを説明します。 また、市販されているさまざまな種類のWordPressファイアウォールとその仕組みについても紹介します。
- ファイアウォールの概念
- Web Application Firewallsへの進化
- First Generation Firewalls – Packet Filtering
- 第三世代ファイアウォール – アプリケーション層フィルタリング
- Web Application Firewalls / WordPress Firewalls
- WordPressファイアウォールはどのように機能するか? シグネチャと呼ばれる既知の攻撃のリストを使用し、HTTP リクエストのペイロードがシグネチャに一致すると、そのリクエストが悪質であることを意味します。
- Different Types of WordPress Firewalls
- WordPress Firewalls Plugins
- On-Site Dedicated WordPress Web Application Firewalls
- オンラインWordPressウェブサイトファイアウォール
- オンラインファイアウォールは回避可能
- General Limitations of WordPress Firewalls
- Limited Zero Day Vulnerability Protection
- Web Application Firewall Bypasses
- WordPress ファイアウォールを使うべきですか?
ファイアウォールの概念
ファイアウォールは、2つ以上のネットワークの間にインストールされるセキュリティソフトウェアまたはサービスで、各ネットワークの受信と送信の両方のトラフィックを制御するものです。 信頼できるネットワークと信頼できないネットワークの間の障壁として機能します。
典型的な設定では、ファイアウォールはインターネット接続と内部ネットワークの間にインストールされます。 これは、着信するインターネット攻撃からネットワークを保護するために使用されます。 また、誰がインターネットにアクセスできるかを制御するために使用されます。 自宅でWiFiルーターを使用している場合、ルーターが自宅のファイアウォールとなります。
Web Application Firewallsへの進化
First Generation Firewalls – Packet Filtering
もともと、ファイアウォールはネットワークトラフィックを制御しブロックするために設計されたものでした。 パケット フィルタリングを行うだけで、トラフィックのペイロードを理解することはできませんでした。
一度ポートを開くと、ファイアウォールは、悪意のあるトラフィックを含む、あらゆる種類の受信トラフィックをそのポートに通して許可します。 つまり、処理する接続の種類を判断することができました。 たとえば、パケットが新しい接続を開いているか、接続がすでに確立されているかなどです。
それでも、第2世代のファイアウォールは、トラフィックの制御において多くの制限事項がありました。 しかし、少なくとも管理者は、接続ステータスに基づいてファイアウォール ルールを作成できました。
第三世代ファイアウォール – アプリケーション層フィルタリング
今日のファイアウォールは、90 年代半ばに導入されました。 最新のファイアウォール技術は、アプリケーションとプロトコルを理解します。 そのため、第三世代のファイアウォールは、パケットのペイロードが FTP サーバーに対するものであるかどうか、また、HTTP 接続要求であるかどうか、また、その要求が何であるかを理解できます。
この技術により、Web Application Firewalls などの単一スコープファイアウォールを開発することに成功しました。
Web Application Firewalls / WordPress Firewalls
Webアプリケーションファイアウォールはシングルスコープのファイアウォールです。 ネットワーク上での役割は、悪意のあるハッカーの攻撃から Web サイトを保護することです。
WordPress ファイアウォールは、WordPress を保護するために特別に設計された Web アプリケーション ファイアウォールです。 WordPressファイアウォールがWordPressサイトにインストールされると、サイトとインターネットの間で動作し、受信するすべてのHTTPリクエストを分析します。
HTTPリクエストに悪意のあるペイロードが含まれている場合、WordPressファイアウォールは接続を切断します。
WordPressファイアウォールはどのように機能するか? シグネチャと呼ばれる既知の攻撃のリストを使用し、HTTP リクエストのペイロードがシグネチャに一致すると、そのリクエストが悪質であることを意味します。
ほとんどの WordPress ファイアウォールでは、攻撃シグネチャを変更することができません。 しかし、WordPress を中心とした Web アプリケーション ファイアウォール以外のファイアウォールは、高度に設定可能です。 WordPress やカスタム ソリューションなど、あなたのサイト専用にカスタマイズすることができます。 独自のセキュリティ・ルールや例外規定などを作成することができる。 しかし、Webアプリケーションファイアウォールを設定する際には、正当なトラフィックをブロックしないように十分に注意する必要があります。
一部のWebアプリケーションファイアウォールは、自動学習技術も備えています。
Different Types of WordPress Firewalls
WordPress Firewalls Plugins
セルフホスト型のWordPressファイアウォールの大半は、WordPressプラグインです。 プラグインファイアウォールをインストールすると、ウェブサイトに送信されたすべての HTTP リクエストは次のように処理されます:
- 最初にウェブサーバーサービス (Apache または Nginx) がそれを受信します
- 次に、WordPress を初期化する WordPress 起動/ロードをトリガーします (wp-config.php、データベース接続の初期化、WordPress の設定など)。
- WordPress によって実際にリクエストが処理される前に、WordPress ファイアウォールプラグインによって解析されます。 また、それらのほとんどは、それらに組み込まれたマルウェアスキャナを持っています。 しかし、これらのファイアウォールは、あなたのサイト上で実行され、WordPress によって初期化されます。
On-Site Dedicated WordPress Web Application Firewalls
Generic Web Application FirewallsもWordPressファイアウォールとして使用することができる。 これらは、専用のハードウェア アプライアンスまたはソフトウェアになります。
一般的な Web アプリケーション ファイアウォールは、WordPress サイトとインターネット接続の間にインストールされます。 そのため、WordPress サイトに送信されるすべての HTTP リクエストは、最初に WAF を通過します。 これらの WAF は、WordPress のファイアウォールプラグインよりも確かにより安全なソリューションです。 しかし、彼らは高価であり、1つは、それらを管理するための特定の技術的専門知識を必要とします. だから、彼らは一般的に中小企業では使用されていません。
オンラインWordPressウェブサイトファイアウォール
セルフホスト型のWordPressファイアウォールプラグインまたはアプライアンスとは異なり、オンラインWordPressファイアウォールはあなたのウェブサーバの同じネットワーク上にインストールする必要はありません. これは、プロキシサーバーのように動作するオンラインサービスです。Web サイトのトラフィックは、フィルタリングのためにこれを通過し、その後、Web サイトに転送されます。 これは、あなたの Web サイトの訪問者が、あなたの WordPress サイトと直接ではなく、オンラインの WordPress ファイアウォールと実際に通信することを意味します。
通常、オンラインのファイアウォールは、複数のスコープを持っています。 ハッキング攻撃から WordPress サイトを保護することとは別に、キャッシュ サーバーおよび CDN として機能することもできます。 オンライン Web アプリケーションファイアウォールは、セルフホスティングの汎用 Web アプリケーションファイアウォールと比較すると、非常に手頃な価格です。
オンラインファイアウォールは回避可能
オンライン WordPress ファイアウォールの制限として、WAF から WordPress サイトにトラフィックを転送するには Web サーバがインターネットを介してアクセスできなければならないことが知られています。 つまり、IP アドレスを知っていれば、誰でもあなたの Web サーバーと直接通信できます。
そのため、攻撃者が脆弱なサイトを求めてネットワーク全体をスキャンするだけの非標的の WordPress 攻撃では、あなたの Web サーバーとサイトはまだ直接到達可能な状態になっています。 733>
General Limitations of WordPress Firewalls
Limited Zero Day Vulnerability Protection
WAF の保護技術として最も一般的なもののひとつに、署名のデータベースに対して HTTP 要求のペイロードをチェックすることが挙げられます。 したがって、誰かがあなたの Web サイトにアクセスすると、WAF は既知の Web 攻撃のデータベースに対してペイロードをチェックします。
そのため、WordPress のゼロデイ脆弱性の場合、WordPress ファイアウォールが攻撃をブロックしない可能性があります。 このため、ベンダーの応答性は非常に重要であり、常に応答性の高い、信頼できる企業のソフトウェアを使用する必要があります。 ベンダーがファイアウォールのルールを更新するのが早ければ早いほどよいのです。
Web Application Firewall Bypasses
Webアプリケーションファイアウォールは、他のソフトウェアと同じようなものです。 それぞれに問題があり、脆弱性を持つことがあります。 実際、Web アプリケーション ファイアウォールの保護をバイパスするために使用されるテクニックについて述べたホワイトペーパーや記事は、かなり多く見受けられます。
WordPress ファイアウォールを使うべきですか?
間違いなくそうです。 どの WordPress ファイアウォールを使うべきでしょうか? どのWordPressファイアウォールにも長所と短所がありますので、あなたの要件に最も適したものを選択してください。 しかし、WordPressファイアウォールを使用していても、ガードを緩めてはいけません。
WordPressのセキュリティに関して、弾丸のような解決策は存在しません。 だから、常に>監視>改善>テストを強化する必要があります。 WordPressサイトのアクティビティログを保持し、ロックソリッドWordPressバックアップソリューションを実装し、WordPressファイアウォールを使用しています。 これらは、私たちが推奨し、一緒に仕事をしたいものです:
- Malcare WordPressファイアウォールとマルウェアスキャナプラグイン
- Sucuri online WordPressファイアウォールとセキュリティプラットフォーム
- BBQ: Block Bad Queries WordPress firewall plugin