ما هو جدار حماية تطبيق الويب وكيف يحمي موقع WordPress الخاص بك؟

نشرت: 2020-02-17

تتعرض مواقع الويب للكثير من التهديدات. توجد عمليات حقن للبرامج الضارة ونقاط ضعف في المكونات الإضافية وهجمات الحرمان الموزع لهجمات dervice (DDoS) وهجمات القوة الغاشمة والعديد من الاحتمالات المخيفة الأخرى. بدون جدار حماية تطبيق الويب (WAF) أو إجراءات أمنية أخرى ، فإنك تترك موقع WordPress الخاص بك مفتوحًا لاحتمال فقد البيانات وعواقب أخرى خطيرة.

عندما يتعلق الأمر بتأمين موقع الويب الخاص بك ، فإن WAF هو أحد أفضل أنواع الحماية التي يمكنك تنفيذها. في هذه المقالة ، سنقوم بتفصيل ماهية هذه الأداة وكيف تعمل والأنواع المختلفة المتاحة. ثم سنستعرض بعض الطرق التي يمكنك من خلالها إعداد واحد لـ WordPress.

هيا بنا إلى العمل!

اشترك في قناتنا على اليوتيوب

ما هو WAF (وكيف يعمل)؟

يستخدم WAF "القواعد" للمساعدة في حماية موقع الويب الخاص بك من أنواع معينة من التهديدات. تتضمن هذه الاعتداءات المحتملة حقن SQL ، والبرمجة النصية عبر المواقع (XSS) ، والتلاعب بالجلسة ، وهجمات DDoS ، والمزيد. ومع ذلك ، فإن جدار الحماية هو مجرد جزء واحد من استراتيجية أمان كاملة.

تستخدم الأنواع المختلفة من WAFs إجراءات مختلفة قليلاً لردع حركة المرور الضارة. ومع ذلك ، لتلخيصها في أبسط المصطلحات الممكنة ، فإنها تعمل على النحو التالي:

  1. يحاول المستخدم الوصول إلى موقعك إما عن طريق النقر فوق ارتباط أو كتابة عنوان URL في المستعرض الخاص به. هذا يرسل طلب HTTP إلى الخادم الخاص بك.
  2. يعترض WAF هذا الطلب ويحلله لتحديد ما إذا كان المستخدم يخالف أيًا من القواعد المحددة مسبقًا الخاصة بك.
  3. إذا لم يتم انتهاك أي قواعد ، فسيتم تمرير طلب المستخدم إلى الخادم الخاص بك ، والذي يعرض المحتوى الذي طلبه. في حالة إدراج عنوان IP الخاص بهم في القائمة السوداء أو إذا كان نشاطهم مشبوهًا بطريقة أخرى ، فسيقوم WAF بحظرهم.

الميزة الأساسية لـ WAF هي القدرة على نشر قواعد جديدة بسرعة. في معظم الحالات ، تستخدم جدران الحماية الحديثة مزيجًا من القائمة البيضاء والقائمة السوداء ، والتي يشار إليها بالنموذج المختلط. ومع ذلك ، هناك البعض الذي يعتمد بشكل حصري على طريقة أو أخرى.

باستخدام نهج القائمة البيضاء ، سيرفض جدار الحماية الخاص بك جميع الطلبات باستثناء تلك التي تأتي من عناوين IP المعتمدة مسبقًا. ستسمح القائمة السوداء لمعظم المستخدمين بالمرور افتراضيًا ، باستثناء من تختار حظرهم. يمكن استخدام هذا لإبعاد حركة المرور التي تظهر سلوكًا متوافقًا مع حقن SQL و XSS والهجمات الأخرى.

شرح 3 أنواع مختلفة من WAFs

بالإضافة إلى أنواع القواعد التي يستخدمونها ، تعمل WAF أيضًا على ثلاثة مستويات مختلفة:

  • مستوى الشبكة. تعمل WAFs للشبكة على المستوى المحلي وعادةً ما تتضمن حلول أجهزة مخصصة ، لذلك تميل إلى أن تكون باهظة الثمن. ومع ذلك ، فإنها تسبب تأخرًا أقل للمستخدمين.
  • مستوى المضيف. يأتي هذا النوع من WAF عادةً كوحدة نمطية أو مكون إضافي مثبت على الخادم الخاص بك. إنها طريقة أرخص بكثير من الحلول على مستوى الشبكة ، ولكنها تستهلك بعض موارد الخادم الخاص بك.
  • مستوى السحابة. تميل WAFs السحابية إلى العمل باستخدام نموذج البرمجيات كخدمة (SaaS). عادة ما تدفع مقابل الاشتراك ، وبالتالي تحصل على حق الوصول إلى حل يمكنك نشره بسرعة من خلال نظام اسم المجال (DNS) الخاص بك. باستخدام هذا النهج ، لا ينبغي أن يتأثر أداء الخادم الخاص بك ، وعادة ما يعتني مزود الخدمة بتحديث القواعد نيابة عنك.

جميع أنواع WAFs الثلاثة متاحة لمستخدمي WordPress من خلال وسائل مختلفة ، كما سنستكشف أدناه.

كيفية تنفيذ WAF لموقع WordPress الخاص بك (3 طرق ممكنة)

هناك العديد من الطرق التي يمكنك من خلالها تنفيذ WAF لموقعك على الويب دون الحاجة إلى إعداد حل للأجهزة. فيما يلي ثلاث طرق قد ترغب في وضعها في الاعتبار.

1. قم بتثبيت وتنشيط ملحق أمان WordPress

تندرج إضافات أمان WordPress التي تقدم وظائف WAF ضمن فئة الحلول على مستوى المضيف. بمعنى آخر ، إنها برامج تقوم بإعدادها على الخادم الخاص بك لاعتراض حركة مرور موقعك وتصفيتها.

الجانب السلبي لهذا النهج هو أنه يتطلب استخدام موارد الخادم الخاص بك. لقد اكتشفنا تأثير أداء المكونات الإضافية في الماضي ، لذلك يمكننا القول بكل تأكيد أن هذا النهج سيؤدي إلى إبطاء موقع الويب الخاص بك.

ومع ذلك ، فإن هذه الطريقة عادة ما تكون أيضًا ميسورة التكلفة نسبيًا وسهلة الإعداد إذا كنت تفتقر إلى الخبرة الفنية. يتضمن كل من Wordfence Security و All-In-One WP Security & Firewall حلول WAF الصديقة للمبتدئين.

يتيح Wordfence ، على سبيل المثال ، إدراج الاتصالات في القائمة السوداء باستخدام مجموعة من القواعد عالية التخصيص:

تكوين Wordfence لحظر الاتصالات.

من ناحية أخرى ، يتضمن أمان WP متعدد الإمكانات وظائف القائمة البيضاء والقائمة السوداء بحيث يمكنك استخدام نهج مختلط. لتحقيق أقصى قدر من الفعالية ، ستحتاج إلى إجراء بعض الأبحاث حول أنواع الاتصالات التي يجب أن تسمح بها أو تحظرها.

2. قم بالتسجيل للحصول على حل WAF لجهة خارجية

غالبًا ما تتكامل خدمات WAF للجهات الخارجية مع موقع الويب الخاص بك من خلال تكوين DNS الخاص به ، مما يعني أنها تميل إلى أن تندرج تحت فئة حل على مستوى السحابة. Cloudflare هو مثال ممتاز على ذلك.

إذا كنت تستخدم خطة Cloudflare المميزة ، فلن تحصل فقط على حق الوصول إلى شبكة توصيل المحتوى (CDN) ، ولكن أيضًا WAF مدمج:

جدول تسعير Cloudflare.

إذا كنت تستخدم WAF الذي يعمل تحت نموذج SaaS ، فمن المحتمل أنك تحصل على حل جاهز. هذا يعني أنها تهتم بإعداد قواعد مخصصة وتحتفظ بقاعدة بيانات التهديدات الخاصة بها للتأكد من أنها تغطي أكبر عدد ممكن من أنواع الهجمات. بشكل عام ، تقدم Cloudflare أيضًا قواعد خاصة بـ WordPress ، مما يجعلها خيارًا رئيسيًا.

الجانب السلبي لهذا النهج هو السعر بالطبع. WAFs على مستوى السحابة هي نفقات مستمرة. بالنسبة للبعض ، هذا يعني أنهم عادة ما يستحقون ذلك فقط للمواقع التي تدر دخلاً متكررًا.

3. اختر موفر استضافة يقدم WAF

يذهب بعض مضيفي الويب إلى أبعد من ذلك ويقدمون إما WAFs على مستوى الشبكة مضمنة في خططهم أو حلول الجهات الخارجية كإضافات. وكقاعدة عامة من الإبهام، وسوف تدفع علاوة سعرية لهذا النوع من الخدمة، بطريقة أو بأخرى.

خذ Pagely ، على سبيل المثال. إنه أحد أفضل الخيارات لاستضافة WordPress المُدارة ، ويوفر حماية WAF لمستخدميه. ومع ذلك ، فإن خططها ليست ما تسميه صديقة للميزانية:

بعض الأمثلة على خطط Pagely.

يقدم المضيفون الآخرون ، مثل Liquid Web ، دمج WAFs التابعة لجهات خارجية في خطة الاستضافة الخاصة بك كإضافية شهرية. إذا كنت تبحث عن شركة تمكّنك من إعداد WAF يدويًا دون أن تكلف ذراعًا وساقًا ، فإن أفضل رهاناتك هي الخادم الافتراضي الخاص (VPS) أو موفري الاستضافة السحابية.

تتيح لك Amazon Web Services (AWS) ، على سبيل المثال ، نشر WAF. ومع ذلك ، فإنه يفرض عليك رسومًا اعتمادًا على عدد القواعد التي تنشرها وعدد الطلبات التي تتلقاها.

استنتاج

في الممارسة العملية ، يعمل WAF كحاجز بين موقع الويب الخاص بك وأنواع الهجمات المختلفة. يمكنك إدراج حركة المرور في القائمة السوداء أو القائمة البيضاء ، بناءً على النموذج الذي تريد استخدامه. ومع ذلك ، فإن النتيجة النهائية هي نفسها - لديك موقع أكثر أمانًا.

بصفتك مستخدم WordPress ، هناك ثلاث طرق أساسية يمكنك اتباعها لحماية موقع الويب الخاص بك باستخدام WAF:

  1. قم بتثبيت مكون إضافي للأمان في WordPress: أرخص طريقة ، ولكنه يتطلب منك عادةً إعداد القواعد بنفسك.
  2. قم بالتسجيل للحصول على حل WAF لجهة خارجية: عليك أن تدفع رسومًا شهرية ، لكن الخدمة عادةً ما تتولى جميع الأعمال نيابة عنك.
  3. اختر موفر استضافة يقدم WAF: يميل مقدمو الاستضافة الذين يقدمون WAFs إلى أن يكونوا باهظين إلى حد ما ، لكن بعض الخيارات تمكنك من إعداد خياراتك الخاصة.

هل لديك أي أسئلة حول كيفية تنفيذ WAF في WordPress؟ دعنا نتحدث عنها في قسم التعليقات أدناه!

صور مصغرة للمادة بواسطة Ico Maker / shutterstock.com