WordPress brandväggar är brandväggar för webbapplikationer (WAF:er) som är särskilt utformade för att skydda WordPress-webbplatser. De WordPress-brandväggar vi använder och rekommenderar är Sucuri, Malcare och BBQ: Block Bad Queries.
WAFs är relativt nya inom webbsäkerhetsbranschen. Därför har vi skrivit den här guiden för att förklara vad brandväggar är och hur de utvecklats till WAF:er. Den belyser också de olika typerna av WordPress-brandväggar som finns på marknaden och hur de fungerar.
- Begreppet brandväggar
- Växling till brandväggar för webbapplikationer
- Första generationens brandväggar – paketfiltrering
- Den andra generationens brandväggar – Stateful Filtering
- Tredje generationens brandväggar – filtrering i applikationsskiktet
- Web Application Firewalls / WordPress Firewalls
- Hur fungerar WordPress-brandväggar?
- Olika typer av WordPress brandväggar
- WordPress brandväggar Plugins
- Dedikerade WordPress-brandväggar för webbapplikationer på plats
- Online WordPress webbplatsbrandväggar
- Onlinebrandväggar kan kringgås
- Generiska begränsningar hos WordPress-brandväggar
- Begränsat skydd mot Zero Day-sårbarheter
- Brandväggar för webbapplikationer kringgås
- Bör du använda en WordPress-brandvägg?
Begreppet brandväggar
En brandvägg är en säkerhetsprogramvara eller -tjänst som installeras mellan två eller flera nätverk för att kontrollera både den inkommande och utgående trafiken för varje nätverk. Den fungerar som en barriär mellan ett betrodd och ett icke betrodd nätverk.
I en typisk installation installeras en brandvägg mellan en internetanslutning och ett internt nätverk. Den används för att skydda nätverket från inkommande internetattacker. Den används också för att kontrollera vem som kan få tillgång till internet. Om du använder en WiFi-router i ditt hem är routern hemmets brandvägg. Numera har nästan alla WiFi-routrar för hemmet en inbyggd brandvägg.
Växling till brandväggar för webbapplikationer
Första generationens brandväggar – paketfiltrering
Ursprungligen var brandväggar utformade för att kontrollera och blockera nätverkstrafik. De gjorde endast paketfiltrering och förstod inte trafikens nyttolast. Så om du hade en webbplats i ditt nätverk var du tvungen att öppna port 80 genom brandväggen för allmänheten.
När du öppnar en port tillåter brandväggen alla typer av inkommande trafik genom den, inklusive skadlig trafik.
Den andra generationens brandväggar – Stateful Filtering
Den andra generationens brandväggar fungerade på lager 4 i OSI-modellen. Detta innebär att de kunde avgöra vilken typ av anslutning de hanterar. Till exempel om ett paket öppnar en ny anslutning eller om en anslutning redan har upprättats osv.
För andra generationens brandväggar fanns det ändå många begränsningar när det gällde att kontrollera trafiken. Även om administratörer åtminstone kunde skapa brandväggsregler baserade på anslutningsstatus.
Tredje generationens brandväggar – filtrering i applikationsskiktet
Dagens brandväggar introducerades i mitten av nittiotalet. Modern brandväggsteknik förstår tillämpningar och protokoll. Så tredje generationens brandväggar kan förstå om ett pakets nyttolast är för en FTP-server och vad det är för begäran, eller om det är en begäran om en HTTP-anslutning och vad det är för begäran.
Den här tekniken ledde till utvecklingen av brandväggar med en enda räckvidd, till exempel Web Application Firewalls.
Web Application Firewalls / WordPress Firewalls
Web Application Firewalls är single scope firewalls. Deras roll i ett nätverk är att skydda en webbplats från skadliga hackarattacker.
En WordPress-brandvägg är en brandvägg för webbtillämpningar som är särskilt utformad för att skydda WordPress. När en WordPress-brandvägg installeras på din WordPress-webbplats körs den mellan din webbplats och internet för att analysera alla inkommande HTTP-förfrågningar.
När en HTTP-förfrågan innehåller skadlig nyttolast avbryter WordPress-brandväggen anslutningen.
Hur fungerar WordPress-brandväggar?
Sättet som en WordPress-brandvägg upptäcker skadliga förfrågningar liknar det sätt på vilket program för skadlig kod upptäcker infektioner av skadlig kod. De använder en lista över kända attacker som kallas signaturer, och när nyttolasten i en HTTP-förfrågan matchar en signatur betyder det att förfrågan är skadlig.
De flesta WordPress-brandväggar tillåter inte att du ändrar attacksignaturerna. Men brandväggar för webbapplikationer som inte är inriktade på WordPress är mycket konfigurerbara. Du kan skräddarsy dem specifikt för din webbplats, oavsett om det är WordPress eller en anpassad lösning. Du kan skapa din egen uppsättning säkerhetsregler, undantag osv. Man bör dock vara mycket försiktig när man konfigurerar en brandvägg för webbapplikationer så att den inte blockerar legitim trafik.
En del brandväggar för webbapplikationer har också automatisk inlärningsteknik. Denna heuristiska teknik analyserar din webbplats trafik för att lära sig vad som är legitim trafik och vad som inte är det.
Olika typer av WordPress brandväggar
WordPress brandväggar Plugins
Majoriteten av självhostade WordPress brandväggar är WordPress plugins. När du installerar en pluginbrandvägg behandlas varje HTTP-förfrågan som skickas till din webbplats på följande sätt:
- Först tar webbservertjänsten (Apache eller Nginx) emot den.
- Därefter utlöses WordPress bootstrap/load som initialiserar WordPress (wp-config.php, initialiserar databasanslutningen, WordPress-inställningar etc).
- För att begäran faktiskt behandlas av WordPress analyseras den av WordPress brandväggspluginet.
WordPress brandväggsplugin är idealiska för små och medelstora företag eftersom de är mycket prisvärda och enkla att använda. Dessutom har de flesta av dem malware scanners inbyggda i dem. Dessa brandväggar körs dock på din webbplats och initieras av WordPress. Om det därför skulle finnas en sårbarhet på din webbplats innan brandväggen initieras är chansen stor att angriparna kan få full tillgång till din WordPress-webbplats.
Dedikerade WordPress-brandväggar för webbapplikationer på plats
Generiska brandväggar för webbapplikationer kan också användas som WordPress-brandväggar. Dessa kan vara en dedikerad hårdvaruapparat eller en programvara.
Generiska brandväggar för webbapplikationer installeras mellan din WordPress-webbplats och internetanslutningen. Så varje HTTP-förfrågan som skickas till din WordPress-webbplats passerar först genom WAF:en. Dessa WAF:er är säkert en säkrare lösning än WordPress brandväggstillägg. De är dock dyra och det krävs särskild teknisk expertis för att hantera dem. Därför används de vanligtvis inte av småföretag.
Online WordPress webbplatsbrandväggar
Till skillnad från en självhyst WordPress brandväggspluggsplugg eller apparat behöver en online WordPress brandvägg inte installeras i samma nätverk som din webbserver. Det är en onlinetjänst som fungerar som en proxyserver – trafiken från din webbplats passerar genom den för filtrering och vidarebefordras sedan till din webbplats.
När du använder en WordPress-brandvägg online konfigurerar du domänens DNS-poster så att de pekar på online WAF. Detta innebär att dina webbplatsbesökare faktiskt kommunicerar med WordPress-brandväggen online och inte direkt med din WordPress-webbplats.
Typiskt sett har en onlinebrandvägg mer än ett tillämpningsområde. Förutom att skydda din WordPress-webbplats från hackningsattacker kan den också fungera som en caching-server och CDN. Brandväggar för webbapplikationer online är också mycket prisvärda jämfört med generiska brandväggar för webbapplikationer med egen hosting.
Onlinebrandväggar kan kringgås
En känd begränsning för WordPress-brandväggar online är att din webbserver måste vara tillgänglig via internet för att WAF:en ska kunna vidarebefordra trafiken till din WordPress-webbplats. Detta innebär att alla fortfarande kan kommunicera direkt med din webbserver om de känner till dess IP-adress.
Så i en icke-målinriktad WordPress-attack, under vilken angriparna helt enkelt skannar hela nätverk efter sårbara webbplatser, kan din webbserver och webbplats fortfarande nås direkt. Du kan dock alltid konfigurera serverns brandvägg så att den endast svarar på trafik som kommer från WordPress-brandväggen online så att du inte faller offer för en sådan typ av attack.
Generiska begränsningar hos WordPress-brandväggar
Begränsat skydd mot Zero Day-sårbarheter
En av de vanligaste skyddsteknikerna för WAF:er är att kontrollera nyttolasten i en HTTP-förfrågan mot en databas med signaturer. När någon besöker din webbplats kontrollerar WAF-funktionen alltså nyttolasten mot en databas med kända webbattacker. Om den matchar betyder det att den är skadlig, om inte släpper den igenom den.
Det finns därför en chans att din WordPress-brandvägg inte blockerar attacken i händelse av en nolldagssårbarhet i WordPress. Det är därför leverantörens lyhördhet är avgörande och du bör alltid använda programvara från lyhörda och betrodda företag. Ju tidigare leverantören kan uppdatera brandväggsreglerna, desto bättre är det.
Brandväggar för webbapplikationer kringgås
Brandväggar för webbapplikationer är som vilken annan programvara som helst. De har sina egna problem och kan ha sårbarheter. Faktum är att du kan hitta ett ganska stort antal vitböcker och artiklar som talar om tekniker som används för att kringgå skyddet i brandväggar för webbapplikationer. Men så länge som leverantören är lyhörd och återförmedlar sådana problem i tid är allt bra.
Bör du använda en WordPress-brandvägg?
Det är absolut nödvändigt! Vilken WordPress-brandvägg ska du använda? Varje WordPress-brandvägg har sina för- och nackdelar, så välj den som bäst passar dina behov. Men även om du har en WordPress-brandvägg ska du inte släppa garden.
Det finns ingen skottsäker lösning när det gäller WordPress-säkerhet. Så du bör alltid härda > Övervaka > Förbättra > Testa. Håll en aktivitetslogg på din WordPress-webbplats, implementera en solid WordPress-säkerhetskopieringslösning och använd en WordPress-brandvägg. Dessa är de vi rekommenderar och gillar att arbeta med:
- Malcare WordPress brandvägg och malware scanner plugin
- Sucuri online WordPress brandvägg och säkerhetsplattform
- BBQ: Block Bad Queries WordPress brandvägg plugin