Что такое брандмауэр веб-приложений и как он защищает ваш сайт WordPress?

Опубликовано: 2020-02-17

Веб-сайты подвержены множеству угроз. Существуют инъекции вредоносного ПО, уязвимости плагинов, распределенные атаки типа «отказ от устройств» (DDoS) и атаки методом грубой силы, а также многие другие пугающие возможности. Без брандмауэра веб-приложений (WAF) или других мер безопасности вы оставляете свой сайт WordPress открытым для возможности потери данных и других серьезных последствий.

Когда дело доходит до защиты вашего веб-сайта, WAF - один из лучших типов защиты, которые вы можете реализовать. В этой статье мы разберем, что это за инструмент, как он работает и какие типы доступны. Затем мы рассмотрим несколько способов, которыми вы можете настроить его для WordPress.

Давай приступим к работе!

Подпишитесь на наш канал Youtube

Что такое WAF (и как он работает)?

WAF использует «правила», чтобы помочь защитить ваш сайт от определенных типов угроз. Эти потенциальные атаки включают SQL-инъекции, межсайтовые сценарии (XSS), фальсификацию сеанса, DDoS-атаки и многое другое. Тем не менее, брандмауэр - это лишь часть полной стратегии безопасности.

Различные типы WAF используют несколько разные процедуры для предотвращения вредоносного трафика. Однако, чтобы свести это к простейшим возможностям, это работает так:

  1. Пользователь пытается получить доступ к вашему сайту, щелкнув ссылку или введя URL-адрес в своем браузере. Это отправляет HTTP-запрос на ваш сервер.
  2. Ваш WAF перехватывает этот запрос и анализирует его, чтобы определить, нарушает ли пользователь какое-либо из ваших предопределенных правил.
  3. Если правила не нарушены, запрос пользователя передается на ваш сервер, который возвращает запрошенный контент. Если их IP-адрес занесен в черный список или их действия вызывают подозрения, ваш WAF заблокирует их.

Основное преимущество WAF - возможность быстро развертывать новые правила. В большинстве случаев современные межсетевые экраны используют сочетание белого и черного списков, что называется гибридной моделью. Однако есть такие, которые полагаются исключительно на тот или иной метод.

При использовании белого списка ваш брандмауэр будет отклонять все запросы, кроме тех, которые поступают с предварительно утвержденных IP-адресов. Внесение в черный список по умолчанию разрешает доступ большинству пользователей, кроме тех, которых вы решите заблокировать. Это можно использовать для предотвращения трафика, демонстрирующего поведение, соответствующее SQL-инъекции, XSS-атакам и другим атакам.

Объяснение 3 различных типов WAF

Помимо типов правил, которые они используют, WAF также работают на трех разных уровнях:

  • Сетевой уровень. Сетевые WAF функционируют на локальном уровне и обычно включают специализированные аппаратные решения, поэтому они, как правило, очень дороги. Однако они вызывают меньшую задержку для пользователей.
  • Уровень хоста. Этот тип WAF обычно поставляется в виде модуля или подключаемого модуля, установленного на вашем сервере. Это гораздо более дешевый подход, чем решения на уровне сети, но он требует некоторых ресурсов вашего сервера.
  • Уровень облачности. Облачные WAF обычно работают с использованием модели «программное обеспечение как услуга» (SaaS). Обычно вы платите за подписку и, в свою очередь, получаете доступ к решению, которое можно быстро развернуть через свою систему доменных имен (DNS). При таком подходе производительность вашего сервера не должна пострадать, и поставщик услуг обычно заботится об обновлении правил за вас.

Все три типа WAF доступны пользователям WordPress разными способами, как мы рассмотрим ниже.

Как реализовать WAF для вашего сайта WordPress (3 возможных подхода)

Существует множество способов реализовать WAF для своего веб-сайта без необходимости настраивать аппаратное решение. Вот три метода, которые вы, возможно, захотите рассмотреть.

1. Установите и активируйте плагин безопасности WordPress.

Плагины безопасности WordPress, которые предлагают функциональность WAF, подпадают под категорию решений на уровне хоста. Другими словами, это программное обеспечение, которое вы устанавливаете на своем сервере для перехвата и фильтрации трафика вашего сайта.

Обратной стороной этого подхода является то, что он требует использования ресурсов вашего сервера. В прошлом мы исследовали влияние плагинов на производительность, поэтому можем с уверенностью сказать, что такой подход замедлит работу вашего сайта.

Тем не менее, этот метод также обычно относительно доступен и очень прост в настройке, если вам не хватает технического опыта. И Wordfence Security, и All-In-One WP Security & Firewall включают удобные для новичков решения WAF.

Wordfence, например, позволяет вносить подключения в черный список с помощью настраиваемого набора правил:

Настройка Wordfence для блокировки соединений.

С другой стороны, All-In-One WP Security включает в себя как белые, так и черные списки, так что вы можете использовать гибридный подход. Для максимальной эффективности вам нужно будет изучить, какие типы подключений следует разрешить или заблокировать.

2. Подпишитесь на стороннее решение WAF.

Сторонние сервисы WAF часто интегрируются с вашим веб-сайтом через конфигурацию DNS, что означает, что они, как правило, подпадают под категорию облачного решения. Cloudflare - отличный тому пример.

Если вы используете премиум-план Cloudflare, вы не только получаете доступ к сети доставки контента (CDN), но и к встроенному WAF:

Таблица цен Cloudflare.

Если вы используете WAF, работающий по модели SaaS, скорее всего, вы получаете доступ к готовому решению. Это означает, что он заботится о настройке пользовательских правил и ведет собственную базу данных угроз, чтобы гарантировать, что она охватывает как можно больше типов атак. Cloudflare, как правило, также предлагает специальные правила для WordPress, что делает его отличным вариантом.

Обратной стороной такого подхода, конечно же, является цена. WAF на уровне облака - это постоянные расходы. Для некоторых это означает, что они обычно окупаются только для веб-сайтов, которые приносят постоянный доход.

3. Выберите хостинг-провайдера, который предлагает WAF.

Некоторые веб-хосты делают все возможное и предлагают либо встроенные в свои планы WAF сетевого уровня, либо сторонние решения в качестве дополнительных услуг. Как правило, вы будете платить за этот вид услуг, так или иначе.

Возьмем, к примеру, Пейдж. Это один из лучших вариантов управляемого хостинга WordPress, который предлагает своим пользователям защиту WAF. Однако его планы не такие уж бюджетные:

Некоторые примеры планов Pagely.

Другие хосты, такие как Liquid Web, предлагают интегрировать сторонние WAF в ваш план хостинга в качестве ежемесячной дополнительной платы. Если вы ищете компанию, которая позволяет вам настроить WAF вручную, не требуя больших затрат, лучше всего выбрать виртуальный частный сервер (VPS) или провайдеров облачного хостинга.

Например, Amazon Web Services (AWS) позволяет развернуть WAF. Однако с вас взимается плата в зависимости от того, сколько правил вы развертываете и количества получаемых запросов.

Заключение

На практике WAF действует как барьер между вашим сайтом и различными типами атак. Вы можете занести в черный или белый список трафик, в зависимости от того, какую модель вы хотите использовать. Однако конечный результат во многом такой же - у вас более безопасный сайт.

Как пользователь WordPress, вы можете защитить свой сайт с помощью WAF тремя основными способами:

  1. Установите плагин безопасности WordPress: самый дешевый подход, но обычно он требует, чтобы вы устанавливали правила самостоятельно.
  2. Подпишитесь на стороннее решение WAF: вы должны платить ежемесячную плату, но служба обычно берет на себя всю работу за вас.
  3. Выберите хостинг-провайдера, который предлагает WAF: хостинг-провайдеры, предлагающие WAF, как правило, довольно дороги, но некоторые варианты позволяют вам настроить свои собственные.

У вас есть вопросы о том, как реализовать WAF в WordPress? Давайте поговорим о них в разделе комментариев ниже!

Миниатюры статей от Ico Maker / shutterstock.com