WordPress firewalls zijn web applicatie firewalls (WAFs) speciaal ontworpen om WordPress sites te beschermen. De WordPress firewalls die wij gebruiken en aanbevelen zijn Sucuri, Malcare en BBQ: Block Bad Queries.

WAFs zijn relatief nieuw in de webbeveiligingsindustrie. Daarom hebben we deze gids geschreven om uit te leggen wat firewalls zijn en hoe ze zich ontwikkeld hebben tot WAFs. Het belicht ook de verschillende soorten WordPress firewalls die op de markt beschikbaar zijn en hoe ze werken.

Het concept van firewalls

Een firewall is een beveiligingssoftware of -dienst die tussen twee of meer netwerken wordt geïnstalleerd om zowel het inkomende als het uitgaande verkeer van elk netwerk te controleren. Hij fungeert als een barrière tussen een vertrouwd en een niet-vertrouwd netwerk.

In een typische opstelling wordt een firewall geïnstalleerd tussen een internetverbinding en een intern netwerk. Hij wordt gebruikt om het netwerk te beschermen tegen inkomende internetaanvallen. Hij wordt ook gebruikt om te controleren wie toegang heeft tot het internet. Als u thuis een WiFi-router gebruikt, is de router de firewall van uw huis. Tegenwoordig hebben bijna alle WiFi-routers thuis een ingebouwde firewall.

Ontwikkelend in Web Application Firewalls

First Generation Firewalls – Packet Filtering

Oorspronkelijk waren firewalls ontworpen om netwerkverkeer te controleren en te blokkeren. Ze deden alleen aan pakketfiltering en begrepen de payload van het verkeer niet. Dus als je een website op je netwerk hostte, moest je poort 80 door de firewall openzetten voor het publiek.

Als je eenmaal een poort hebt opengezet, laat de firewall elk type inkomend verkeer door, inclusief kwaadaardig verkeer.

De tweede generatie firewalls – Stateful Filtering

De tweede generatie firewalls werkte op Laag 4 van het OSI-model. Dit betekent dat ze konden bepalen welk type verbinding ze behandelden. Bijvoorbeeld of een pakket een nieuwe verbinding aan het openen is of dat er al een verbinding tot stand was gebracht, etc.

Toch had de tweede generatie firewalls veel beperkingen in het controleren van verkeer. Hoewel beheerders tenminste firewall-regels konden maken op basis van verbindingsstatussen.

Derde generatie firewalls – Applicatielaagfiltering

De firewalls van vandaag werden halverwege de jaren negentig geïntroduceerd. Moderne firewall technologie begrijpt toepassingen en protocollen. Zo kunnen firewalls van de derde generatie begrijpen of de payload van een pakket voor een FTP-server is en wat het verzoek is, of dat het een verzoek om een HTTP-verbinding is en wat het verzoek is.

Deze technologie heeft geleid tot de ontwikkeling van single scope firewalls, zoals de Web Application Firewalls.

Web Application Firewalls / WordPress Firewalls

Web application firewalls zijn single scope firewalls. Hun rol op een netwerk is het beschermen van een website tegen aanvallen van kwaadwillende hackers.

Een WordPress-firewall is een firewall voor webtoepassingen die speciaal is ontworpen om WordPress te beschermen. Wanneer een WordPress firewall op uw WordPress site is geïnstalleerd, loopt deze tussen uw site en het internet om alle inkomende HTTP-verzoeken te analyseren.

Wanneer een HTTP-verzoek kwaadaardige payload bevat, laat de WordPress firewall de verbinding vallen.

Hoe werken WordPress firewalls?

De manier waarop een WordPress firewall kwaadaardige verzoeken detecteert, is vergelijkbaar met hoe malware-software malware-infecties detecteert. Ze gebruiken een lijst van bekende aanvallen die handtekeningen worden genoemd, en wanneer de payload van een HTTP-verzoek overeenkomt met een handtekening, betekent dit dat het verzoek kwaadaardig is.

De meeste WordPress firewalls staan niet toe dat u de handtekeningen van de aanval wijzigt. Maar niet WordPress-centrische web applicatie firewalls zijn zeer configureerbaar. U kunt ze specifiek op uw site afstemmen, of het nu WordPress is of een aangepaste oplossing. U kunt uw eigen set van beveiligingsregels, uitzonderingen etc. maken. Echter, men moet heel voorzichtig zijn bij het configureren van een web applicatie firewall niet te legitiem verkeer te blokkeren.

Sommige web applicatie firewalls hebben ook auto leren technologie. Deze heuristische technologie analyseert het verkeer van uw website om te leren wat legitiem verkeer is en wat niet.

Verschillende soorten WordPress Firewalls

WordPress Firewalls Plugins

De meerderheid van de zelf gehoste WordPress firewalls zijn WordPress plugins. Wanneer u een plugin firewall installeert, wordt elk HTTP verzoek dat naar uw website wordt gestuurd als volgt verwerkt:

• Eerst ontvangt de webserver service (Apache of Nginx) het.
• Dan triggert het de WordPress bootstrap/load die WordPress initialiseert (wp-config.php, initialiseert de databaseverbinding, WordPress instellingen etc).
• Voordat het verzoek daadwerkelijk door WordPress wordt verwerkt, wordt het geparseerd door de WordPress firewall plugin.

WordPress firewall plugins zijn ideaal voor het MKB, omdat ze zeer betaalbaar en gemakkelijk te gebruiken zijn. Ook hebben de meeste van hen malware scanners ingebouwd in hen. Deze firewalls draaien echter op uw site, en worden door WordPress geïnitialiseerd. Mocht er dus een kwetsbaarheid op uw site zijn voordat de firewall is geïnitialiseerd, dan is de kans groot dat de aanvallers volledige toegang tot uw WordPress site kunnen krijgen.

On-Site Dedicated WordPress Web Application Firewalls

Generieke web applicatie firewalls kunnen ook worden gebruikt als WordPress firewalls. Dit kan een dedicated hardware appliance zijn of een software.

Generieke web applicatie firewalls worden geïnstalleerd tussen uw WordPress site en de internetverbinding. Dus elk HTTP verzoek dat naar uw WordPress site wordt gestuurd gaat eerst door de WAF. Deze WAFs zijn zeker een veiligere oplossing dan WordPress firewall plugins. Ze zijn echter duur en men heeft specifieke technische expertise nodig om ze te beheren. Daarom worden ze meestal niet door kleine bedrijven gebruikt.

Online WordPress Website Firewalls

In tegenstelling tot een zelf gehoste WordPress firewall plugins of appliance, hoeft een online WordPress firewall niet op hetzelfde netwerk als uw webserver te worden geïnstalleerd. Het is een online service die werkt als een proxyserver – het verkeer van uw website passeert het voor filtering en wordt vervolgens doorgestuurd naar uw website.

Wanneer u een online WordPress firewall gebruikt, configureert u de DNS-records van uw domein om naar de online WAF te wijzen. Dit betekent dat de bezoekers van uw website daadwerkelijk communiceren met de online WordPress firewall en niet rechtstreeks met uw WordPress site.

Typisch heeft een online firewall meer dan één toepassingsgebied. Afgezien van het beschermen van uw WordPress site tegen hack aanvallen kan het ook dienen als een caching server en CDN. Online web application firewalls zijn ook zeer betaalbaar in vergelijking met zelf gehoste generieke web application firewalls.

Online firewalls kunnen worden omzeild

Een bekende beperking van online WordPress firewalls is dat uw webserver via het internet bereikbaar moet zijn voor de WAF om het verkeer naar uw WordPress site door te sturen. Dit betekent dat iedereen nog steeds rechtstreeks met uw webserver kan communiceren als ze het IP-adres ervan kennen.

Dus in een niet-gerichte WordPress aanval, waarbij aanvallers gewoon hele netwerken scannen op kwetsbare sites, zijn uw webserver en site nog steeds rechtstreeks bereikbaar. U kunt echter altijd de firewall van uw server zo configureren dat deze alleen reageert op verkeer dat afkomstig is van de online WordPress firewall, zodat u niet het slachtoffer wordt van dit soort aanvallen.

Algemene beperkingen van WordPress Firewalls

Beperkte Zero Day Vulnerability Protection

Eén van de meest voorkomende WAF beschermingstechnieken is het controleren van de payload van een HTTP verzoek tegen een database van handtekeningen. Dus wanneer iemand uw website bezoekt, vergelijkt de WAF de payload met een database van bekende webaanvallen. Als het overeenkomt, betekent dit dat het kwaadaardig is, zo niet, dan laat het het door.

Daarom is er in het geval van een zero day WordPress kwetsbaarheid een kans dat uw WordPress firewall de aanval niet zal blokkeren. Dit is de reden waarom het reactievermogen van de leverancier van cruciaal belang is en u altijd software van responsieve en vertrouwde bedrijven moet gebruiken. Hoe sneller de leverancier de firewallregels kan bijwerken, hoe beter het is.

Web Application Firewall Bypasses

Web application firewalls zijn net als alle andere software. Ze hebben hun eigen problemen en kunnen kwetsbaarheden hebben. Er zijn zelfs heel wat white papers en artikelen te vinden over technieken om de bescherming van web application firewalls te omzeilen. Maar nogmaals, zolang de leverancier responsief is en dergelijke problemen tijdig verhelpt, is alles goed.

Moet je een WordPress firewall gebruiken?

Definitely! Welke WordPress firewall moet u gebruiken? Elke WordPress firewall heeft zijn voor- en nadelen, dus kies degene die het beste bij uw wensen past. Echter, zelfs wanneer u een WordPress firewall heeft, laat uw waakzaamheid dan niet zakken.

Er is geen bullet proof oplossing als het gaat om WordPress beveiliging. Dus moet u altijd > Behoeden > Verbeteren > Testen. Houd een activiteitenlogboek bij van uw WordPress site, implementeer een ijzersterke WordPress back-up oplossing en gebruik een WordPress firewall. Dit zijn degene die wij aanbevelen en waar wij graag mee werken:

• Malcare WordPress firewall en malware scanner plugin
• Sucuri online WordPress firewall en beveiligingsplatform
• BBQ: Block Bad Queries WordPress firewall plugin