WordPress firewalls to zapory aplikacji internetowych (WAFs) specjalnie zaprojektowane do ochrony witryn WordPress. Zapory WordPress, których używamy i popieramy to Sucuri, Malcare i BBQ: Block Bad Queries.
Zapory WAF są stosunkowo nowe w branży zabezpieczeń internetowych. Dlatego napisaliśmy ten przewodnik, aby wyjaśnić czym są firewalle i jak ewoluowały w WAF-y. Podkreśla również różne rodzaje zapór WordPress dostępnych na rynku i jak one działają.
- Koncepcja zapór
- Ewolucja w kierunku zapór sieciowych
- Pierwsza generacja zapór sieciowych – filtrowanie pakietów
- Zapory sieciowe drugiej generacji – filtrowanie stanowe
- Firewalle trzeciej generacji – filtrowanie warstwy aplikacji
- Web Application Firewalls / WordPress Firewalls
- How Do WordPress Firewalls Work?
- Różne rodzaje zapór WordPress
- WordPress Firewalls Wtyczki
- On-Site Dedicated WordPress Web Application Firewalls
- Online WordPress Website Firewalls
- Online Firewalls Can Be Bypassed
- Ogólne ograniczenia zapór WordPress
- Ochrona przed podatnościami dnia zerowego
- Web Application Firewall Bypasses
- Should You Use a WordPress Firewall?
Koncepcja zapór
Zapora to oprogramowanie zabezpieczające lub usługa, która jest zainstalowana między dwoma lub więcej sieciami, aby kontrolować zarówno przychodzące i wychodzące ruchu każdej sieci. Działa jako bariera między zaufaną i niezaufaną siecią.
W typowej konfiguracji, zapora jest zainstalowana między połączeniem internetowym a siecią wewnętrzną. Jest on używany do ochrony sieci przed przychodzącymi atakami internetowymi. Jest on również używany do kontrolowania, kto może uzyskać dostęp do Internetu. Jeśli używasz routera WiFi w swoim domu, router jest zaporą sieciową w Twoim domu. Obecnie prawie wszystkie domowe routery Wi-Fi mają wbudowaną zaporę sieciową.
Ewolucja w kierunku zapór sieciowych
Pierwsza generacja zapór sieciowych – filtrowanie pakietów
Początkowo zapory sieciowe były zaprojektowane do kontrolowania i blokowania ruchu sieciowego. Wykonywały one tylko filtrowanie pakietów i nie rozumiały ładunku ruchu. Więc jeśli hostowałeś witrynę w swojej sieci, musiałeś otworzyć port 80 przez zaporę sieciową dla publiczności.
Po otwarciu portu zapora sieciowa zezwala na każdy rodzaj ruchu przychodzącego przez niego, w tym ruch złośliwy.
Zapory sieciowe drugiej generacji – filtrowanie stanowe
Zapory sieciowe drugiej generacji działały na warstwie 4 modelu OSI. Oznacza to, że mogły określić typ połączenia, które obsługują. Na przykład, czy dany pakiet otwiera nowe połączenie, czy też połączenie zostało już nawiązane itp.
Wciąż jednak firewalle drugiej generacji miały wiele ograniczeń w kontrolowaniu ruchu. Choć przynajmniej administratorzy mogli tworzyć reguły firewalla w oparciu o statusy połączeń.
Firewalle trzeciej generacji – filtrowanie warstwy aplikacji
Współczesne firewalle zostały wprowadzone w połowie lat dziewięćdziesiątych. Nowoczesne technologie firewalli rozumieją aplikacje i protokoły. Tak więc zapory trzeciej generacji mogą zrozumieć, czy ładunek pakietu jest przeznaczony dla serwera FTP i jakie jest żądanie, czy jest to żądanie połączenia HTTP i jakie jest żądanie.
Ta technologia doprowadziła do rozwoju zapór jednozakresowych, takich jak Web Application Firewalls.
Web Application Firewalls / WordPress Firewalls
Web application firewalls są firewallami pojedynczego zakresu. Ich rolą w sieci jest ochrona witryny internetowej przed złośliwymi atakami hakerów.
Zapora WordPress to zapora aplikacji internetowej zaprojektowana specjalnie do ochrony WordPressa. Kiedy zapora WordPress jest zainstalowana na twojej witrynie WordPress, działa ona pomiędzy twoją witryną a internetem, aby przeanalizować wszystkie przychodzące żądania HTTP.
Gdy żądanie HTTP zawiera złośliwy ładunek, zapora WordPress upuszcza połączenie.
How Do WordPress Firewalls Work?
Sposób, w jaki zapora WordPress wykrywa złośliwe żądania, jest podobny do tego, w jaki sposób oprogramowanie wykrywa infekcje złośliwym oprogramowaniem. Wykorzystują one listę znanych ataków zwanych sygnaturami, a gdy ładunek żądania HTTP pasuje do sygnatury, oznacza to, że żądanie jest złośliwe.
Większość zapór sieciowych WordPress nie pozwala na modyfikację sygnatur ataków. Ale nie WordPress centric web application firewalls są wysoce konfigurowalne. Możesz dostosować je specjalnie dla swojej witryny, czy to WordPress lub niestandardowe rozwiązanie. Możesz stworzyć swój własny zestaw reguł bezpieczeństwa, wyjątków itp. Jednak jeden powinien być bardzo ostrożny podczas konfigurowania zapory aplikacji internetowych, aby nie blokować legalnego ruchu.
Niektóre zapory aplikacji internetowych mają również auto uczyć się technologii. Ta heurystyczna technologia analizuje ruch w witrynie, aby dowiedzieć się, co jest legalnym ruchem, a co nie.
Różne rodzaje zapór WordPress
WordPress Firewalls Wtyczki
Większość samo-hostowanych zapór WordPress to wtyczki WordPress. Po zainstalowaniu zapory sieciowej wtyczki każde żądanie HTTP wysłane do Twojej witryny jest przetwarzane w następujący sposób:
- Najpierw odbiera je usługa serwera WWW (Apache lub Nginx).
- Potem uruchamia bootstrap/load WordPressa, który inicjalizuje WordPressa (wp-config.php, inicjalizuje połączenie z bazą danych, ustawienia WordPress itp.).
- Zanim żądanie zostanie faktycznie przetworzone przez WordPress, jest ono parsowane przez wtyczkę zapory WordPress.
Wtyczki zapory WordPress są idealne dla SMB, ponieważ są bardzo przystępne i łatwe w użyciu. Ponadto, większość z nich ma skanery malware włączone w nich. Jednak te zapory są uruchomione na swojej stronie, i inicjowane przez WordPress. Dlatego nie powinno być luki w witrynie przed firewall jest inicjowany szanse są, że napastnicy mogą uzyskać pełny dostęp do witryny WordPress.
On-Site Dedicated WordPress Web Application Firewalls
Generic web application firewalls mogą być również wykorzystywane jako zapory WordPress. Mogą to być dedykowane urządzenia sprzętowe lub oprogramowanie.
Generyczne zapory aplikacji internetowych są instalowane między witryną WordPress a połączeniem internetowym. Tak więc każde żądanie HTTP wysłane do Twojej witryny WordPress najpierw przechodzi przez WAF. Te WAFs są z pewnością bardziej bezpieczne rozwiązania niż WordPress zapory wtyczek. Jednak są one drogie i jeden wymaga konkretnej wiedzy technicznej do zarządzania nimi. Więc nie są one zazwyczaj używane przez małe firmy.
Online WordPress Website Firewalls
W przeciwieństwie do samo-hostowanych wtyczek WordPress firewall lub appliance, online WordPress firewall nie musi być zainstalowany w tej samej sieci serwera internetowego. Jest to usługa online, która działa jak serwer proxy – ruch w Twojej witrynie przechodzi przez nią w celu filtrowania, a następnie jest przekazywany do Twojej witryny.
Gdy używasz zapory online WordPress, konfigurujesz rekordy DNS swojej domeny, aby wskazywały na WAF online. Oznacza to, że odwiedzający Twoją witrynę faktycznie komunikują się z zaporą online WordPress, a nie bezpośrednio z Twoją witryną WordPress.
Typowo zapora online ma więcej niż jeden zakres. Oprócz ochrony witryny WordPress przed atakami hakerów może również służyć jako serwer buforowania i CDN. Zapory online aplikacji internetowych są również bardzo przystępne cenowo w porównaniu do samodzielnego hostowania ogólnych zapór aplikacji internetowych.
Online Firewalls Can Be Bypassed
Znanym ograniczeniem zapór online WordPress jest to, że Twój serwer musi być dostępny przez Internet dla WAF do przekazywania ruchu do Twojej witryny WordPress. Oznacza to, że każdy może nadal komunikować się bezpośrednio z twoim serwerem internetowym, jeśli zna jego adres IP.
Więc w nie-targetowanych atakach WordPress, podczas których atakujący po prostu skanują całe sieci w poszukiwaniu podatnych witryn, twój serwer internetowy i witryna są nadal osiągalne bezpośrednio. Jednak zawsze możesz skonfigurować zaporę swojego serwera, aby reagowała tylko na ruch pochodzący z zapory WordPress online, aby nie paść ofiarą tego typu ataku.
Ogólne ograniczenia zapór WordPress
Ochrona przed podatnościami dnia zerowego
Jedną z najczęstszych technik ochrony WAF jest sprawdzanie ładunku żądania HTTP względem bazy sygnatur. Kiedy więc ktoś odwiedza Twoją witrynę, WAF sprawdza ładunek z bazą znanych ataków internetowych. Jeśli pasuje oznacza to, że jest złośliwy, jeśli nie to pozwala mu przejść.
W związku z tym w przypadku luki zero day WordPress są szanse, że zapora WordPress może nie blokować ataku. To dlatego reaktywność dostawcy jest kluczowa i zawsze należy używać oprogramowania z responsywnych i zaufanych firm. Im szybciej sprzedawca może zaktualizować zasady zapory, tym lepiej jest.
Web Application Firewall Bypasses
Web application firewall są jak każde inne oprogramowanie. Mają swoje własne problemy i mogą mieć luki w zabezpieczeniach. W rzeczywistości można znaleźć dość dużą liczbę białych ksiąg i artykułów mówiących o technikach używanych do obejścia ochrony firewalli aplikacji internetowych. Ale potem znowu, tak długo, jak sprzedawca jest responsywny i re-mediatorów takich problemów w sposób terminowy, wszystko jest dobrze.
Should You Use a WordPress Firewall?
Definitely! Którego firewalla WordPress powinieneś użyć? Każdy firewall WordPress ma swoje plusy i minusy, więc wybierz ten, który najlepiej pasuje do Twoich wymagań. Jednak nawet jeśli masz zaporę ogniową WordPress, nie pozwól swoim strażnikom się obniżyć.
Nie ma rozwiązania kuloodpornego, jeśli chodzi o bezpieczeństwo WordPress. Więc zawsze należy utwardzić > Monitoruj > Ulepsz > Testuj. Prowadzić dziennik aktywności na swojej stronie WordPress, wdrożyć solidne rozwiązanie do tworzenia kopii zapasowych WordPress i używać zapory WordPress. Oto te, które zalecamy i lubimy pracować z:
- Malcare WordPress firewall i wtyczka skanera malware
- Sucuri online WordPress firewall i platforma bezpieczeństwa
- BBQ: Block Bad Queries WordPress firewall plugin
.