• Homepage
  • Articoli
  • Tema
  • Che cos'è un firewall per applicazioni Web e come protegge il tuo sito WordPress?

Che cos'è un firewall per applicazioni Web e come protegge il tuo sito WordPress?

Pubblicato: 2020-02-17

I siti web sono esposti a molte minacce. Esistono iniezioni di malware, vulnerabilità dei plug-in, attacchi DDoS (Distributed Denial of Dervice) e attacchi di forza bruta e molte altre possibilità spaventose. Senza un Web Application Firewall (WAF) o altre misure di sicurezza, lasci il tuo sito WordPress aperto alla possibilità di perdita di dati e altre gravi ripercussioni.

Quando si tratta di proteggere il tuo sito web, un WAF è uno dei migliori tipi di protezione che puoi implementare. In questo articolo, analizzeremo cos'è questo strumento, come funziona e i diversi tipi disponibili. Quindi esamineremo alcuni modi in cui puoi configurarne uno per WordPress.

Andiamo a lavorare!

Iscriviti al nostro canale Youtube

Che cos'è un WAF (e come funziona)?

Un WAF utilizza "regole" per proteggere il tuo sito Web da tipi specifici di minacce. Questi potenziali attacchi includono SQL injection, cross-site scripting (XSS), manomissione della sessione, attacchi DDoS e altro ancora. Detto questo, un firewall è solo una parte di una strategia di sicurezza completa.

I vari tipi di WAF utilizzano procedure leggermente diverse per scoraggiare il traffico dannoso. Tuttavia, per ridurlo ai termini più semplici possibili, funziona così:

  1. Un utente tenta di accedere al tuo sito facendo clic su un collegamento o digitando un URL nel browser. Questo invia una richiesta HTTP al tuo server.
  2. Il tuo WAF intercetta questa richiesta e la analizza per determinare se l'utente infrange una qualsiasi delle tue regole predeterminate.
  3. Se nessuna regola viene violata, la richiesta dell'utente viene inoltrata al tuo server, che restituisce il contenuto richiesto. Nel caso in cui il loro indirizzo IP sia nella lista nera o la loro attività sia altrimenti sospetta, il tuo WAF li bloccherà.

Il vantaggio principale di un WAF è la possibilità di distribuire rapidamente nuove regole. Nella maggior parte dei casi, i firewall moderni utilizzano una combinazione di whitelist e blacklist, denominata modello ibrido. Tuttavia, ce ne sono alcuni che si affidano esclusivamente a un metodo o all'altro.

Con un approccio whitelist, il tuo firewall rifiuterà tutte le richieste tranne quelle che provengono da indirizzi IP pre-approvati. La blacklist consentirà alla maggior parte degli utenti di passare per impostazione predefinita, ad eccezione di quelli che scegli di bloccare. Questo può essere usato per allontanare il traffico che mostra un comportamento coerente con SQL injection, XSS e altri attacchi.

Spiegazione di 3 diversi tipi di WAF

Oltre ai tipi di regole che utilizzano, i WAF funzionano anche a tre diversi livelli:

  • Livello di rete. I WAF di rete funzionano a livello locale e di solito comportano soluzioni hardware personalizzate, quindi tendono ad essere molto costosi. Tuttavia, causano meno ritardi per gli utenti.
  • Livello dell'ospite. Questo tipo di WAF di solito viene fornito come modulo o plug-in installato sul tuo server. È un approccio molto più economico rispetto alle soluzioni a livello di rete, ma occupa alcune delle risorse del tuo server.
  • Livello delle nuvole. I cloud WAF tendono a funzionare utilizzando un modello SaaS (Software as a Service). Di solito paghi un abbonamento e, a sua volta, ottieni l'accesso a una soluzione che puoi implementare rapidamente tramite il tuo Domain Name System (DNS). Con questo approccio, le prestazioni del tuo server non dovrebbero risentirne e il fornitore di servizi di solito si occupa dell'aggiornamento delle regole per te.

Tutti e tre i tipi di WAF sono disponibili per gli utenti di WordPress con mezzi diversi, come esploreremo di seguito.

Come implementare un WAF per il tuo sito WordPress (3 possibili approcci)

Esistono molti modi per implementare un WAF per il tuo sito Web senza dover configurare una soluzione hardware. Ecco tre metodi che potresti prendere in considerazione.

1. Installa e attiva un plugin di sicurezza per WordPress

I plug-in di sicurezza di WordPress che offrono funzionalità WAF rientrano nella categoria delle soluzioni a livello di host. In altre parole, sono software che imposti sul tuo server per intercettare e filtrare il traffico del tuo sito.

Lo svantaggio di questo approccio è che richiede l'uso delle risorse del server. Abbiamo esplorato l'impatto sulle prestazioni dei plugin in passato, quindi possiamo dire con certezza che questo approccio rallenterà il tuo sito web.

Detto questo, questo metodo è anche di solito relativamente conveniente e molto facile da configurare se ti manca l'esperienza tecnica. Sia Wordfence Security che All-In-One WP Security & Firewall includono soluzioni WAF per principianti.

Wordfence, ad esempio, ti consente di inserire nella lista nera le connessioni utilizzando un set di regole altamente personalizzabile:

Configurazione di Wordfence per bloccare le connessioni.

All-In-One WP Security, d'altra parte, include sia la funzionalità di whitelist che quella di blacklist in modo da poter utilizzare un approccio ibrido. Per la massima efficacia, ti consigliamo di fare qualche ricerca su quali tipi di connessioni dovresti consentire o bloccare.

2. Iscriviti a una soluzione WAF di terze parti

I servizi WAF di terze parti spesso si integrano con il tuo sito Web attraverso la sua configurazione DNS, il che significa che tendono a rientrare nella categoria di una soluzione a livello di cloud. Cloudflare ne è un ottimo esempio.

Se utilizzi un piano premium Cloudflare, non solo ottieni l'accesso a una Content Delivery Network (CDN), ma anche a un WAF integrato:

La tabella dei prezzi di Cloudflare.

Se stai utilizzando un WAF che opera con un modello SaaS, è probabile che tu abbia accesso a una soluzione chiavi in ​​mano. Ciò significa che si occupa di impostare regole personalizzate e mantiene il proprio database delle minacce per assicurarsi che copra il maggior numero possibile di tipi di attacchi. Cloudflare, in generale, offre anche regole specifiche per WordPress, il che lo rende un'opzione privilegiata.

Lo svantaggio di questo approccio è il prezzo, ovviamente. I WAF a livello di cloud sono una spesa continua. Per alcuni, questo significa che di solito ne vale la pena solo per i siti Web che generano entrate ricorrenti.

3. Scegli un provider di hosting che offra un WAF

Alcuni host web fanno il possibile e offrono WAF a livello di rete integrati nei loro piani o soluzioni di terze parti come extra. Come regola generale, si pagherà un premio per questo tipo di servizio, in un modo o in un altro.

Prendi Pagely, per esempio. È una delle migliori opzioni per l'hosting WordPress gestito e offre protezione WAF per i suoi utenti. I suoi piani, tuttavia, non sono quelli che chiameresti economici:

Alcuni esempi di piani Pagely.

Altri host, come Liquid Web, offrono l'integrazione di WAF di terze parti nel tuo piano di hosting come extra mensile. Se stai cercando un'azienda che ti permetta di configurare manualmente un WAF senza costi aggiuntivi, la soluzione migliore sono Virtual Private Server (VPS) o provider di cloud hosting.

Amazon Web Services (AWS), ad esempio, ti consente di distribuire un WAF. Tuttavia, ti addebita a seconda del numero di regole che distribuisci e del numero di richieste che ricevi.

Conclusione

In pratica, un WAF funge da barriera tra il tuo sito Web e diversi tipi di attacchi. Puoi inserire nella lista nera o nella lista bianca il traffico, a seconda del modello che desideri utilizzare. Tuttavia, il risultato finale è più o meno lo stesso: hai un sito più sicuro.

Come utente di WordPress, ci sono tre modi principali per proteggere il tuo sito web utilizzando un WAF:

  1. Installa un plug-in di sicurezza per WordPress: l'approccio più economico, ma di solito richiede l'impostazione autonoma delle regole.
  2. Iscriviti a una soluzione WAF di terze parti: devi pagare una tariffa mensile, ma il servizio di solito si occupa di tutto il lavoro per te.
  3. Scegli un provider di hosting che offre un WAF: i provider di hosting che offrono WAF tendono ad essere piuttosto costosi, ma alcune opzioni ti consentono di configurarne uno tuo.

Hai domande su come implementare un WAF in WordPress? Parliamo di loro nella sezione commenti qui sotto!

Immagini in miniatura dell'articolo di Ico Maker / shutterstock.com