• 主页
  • 文章
  • 主题
  • 什么是 Web 应用程序防火墙以及它如何保护您的 WordPress 站点?

什么是 Web 应用程序防火墙以及它如何保护您的 WordPress 站点?

已发表: 2020-02-17

网站面临很多威胁。 恶意软件注入、插件漏洞、分布式拒绝服务 (DDoS) 攻击和蛮力攻击以及许多其他可怕的可能性都存在。 如果没有 Web 应用程序防火墙 (WAF) 或其他安全措施,您的 WordPress 网站可能会面临数据丢失和其他严重后果的风险。

在保护您的网站时,WAF 是您可以实施的最佳保护类型之一。 在本文中,我们将分解此工具是什么、它是如何工作的以及可用的不同类型。 然后我们将介绍一些可以为 WordPress 设置的方法。

让我们开始工作吧!

订阅我们的 YouTube 频道

什么是 WAF(以及它是如何工作的)?

WAF 使用“规则”来帮助保护您的网站免受特定类型的威胁。 这些潜在的攻击包括 SQL 注入、跨站点脚本 (XSS)、会话篡改、DDoS 攻击等。 也就是说,防火墙只是完整安全策略的一部分。

各种类型的 WAF 使用略有不同的程序来阻止恶意流量。 然而,把它归结为最简单的术语,它的工作原理是这样的:

  1. 用户尝试通过单击链接或在浏览器中输入 URL 来访问您的站点。 这会向您的服务器发送 HTTP 请求。
  2. 您的 WAF 会拦截此请求并对其进行分析,以确定用户是否违反了您预定的任何规则。
  3. 如果没有违反任何规则,则用户的请求将传递到您的服务器,该服务器返回他们请求的内容。 如果他们的 IP 地址被列入黑名单或他们的活动可疑,您的 WAF 将阻止他们。

WAF 的主要优势是能够快速部署新规则。 在大多数情况下,现代防火墙使用白名单和黑名单的组合,这被称为混合模型。 但是,有些方法完全依赖于一种方法或另一种方法。

使用白名单方法,您的防火墙将拒绝所有请求,但来自预先批准的 IP 地址的请求除外。 默认情况下,黑名单将允许大多数用户通过,但您选择阻止的用户除外。 这可用于阻止流量表现出与 SQL 注入、XSS 和其他攻击一致的行为。

3 种不同类型的 WAF 解释

除了它们使用的规则类型之外,WAF 还可以在三个不同的级别上工作:

  • 网络层面。 网络 WAF 在本地级别运行,通常涉及自定义硬件解决方案,因此它们往往非常昂贵。 但是,它们对用户造成的延迟较小。
  • 主机级别。 这种类型的 WAF 通常作为安装在服务器上的模块或插件提供。 这是一种比网络级解决方案便宜得多的方法,但会占用您服务器的一些资源。
  • 云层。 云 WAF 倾向于使用软件即服务 (SaaS) 模型工作。 您通常需要支付订阅费用,然后才能访问可以通过域名系统 (DNS) 快速部署的解决方案。 使用这种方法,您的服务器性能不应该受到影响,并且服务提供商通常会为您更新规则。

WordPress 用户可以通过不同的方式使用所有三种类型的 WAF,我们将在下面进行探讨。

如何为您的 WordPress 网站实施 WAF(3 种可能的方法)

有很多方法可以为您的网站实施 WAF,而无需设置硬件解决方案。 以下是您可能需要考虑的三种方法。

1. 安装并激活 WordPress 安全插件

提供 WAF 功能的 WordPress 安全插件属于主机级解决方案类别。 换句话说,它们是您在服务器上设置的用于拦截和过滤站点流量的软件。

这种方法的缺点是它需要使用您的服务器资源。 我们过去曾研究过插件对性能的影响,因此我们可以肯定地说,这种方法会减慢您的网站速度。

也就是说,如果您缺乏技术经验,这种方法通常也相对实惠且易于设置。 Wordfence 安全和多合一 WP 安全与防火墙都包含适合初学者的 WAF 解决方案。

例如,Wordfence 使您可以使用一组高度可定制的规则将连接列入黑名单:

配置 Wordfence 以阻止连接。

另一方面,一体化 WP Security 包括白名单和黑名单功能,因此您可以采用混合方法。 为了获得最大效率,您需要对应该允许或阻止的连接类型进行一些研究。

2. 注册第三方 WAF 解决方案

第三方 WAF 服务通常通过其 DNS 配置与您的网站集成,这意味着它们往往属于云级解决方案的范畴。 Cloudflare 就是一个很好的例子。

如果您使用 Cloudflare 高级计划,您不仅可以访问内容交付网络 (CDN),还可以访问内置 WAF:

Cloudflare 的定价表。

如果您使用的是在 SaaS 模型下运行的 WAF,那么您很有可能会获得交钥匙解决方案。 这意味着它负责设置自定义规则并保留自己的威胁数据库,以确保它涵盖尽可能多的攻击类型。 一般来说,Cloudflare 还提供特定于 WordPress 的规则,这使其成为主要选择。

当然,这种方法的缺点是价格。 云级 WAF 是一项持续费用。 对于某些人来说,这意味着它们通常只对产生经常性收入的网站有价值。

3. 选择提供 WAF 的托管服务提供商

一些网络主机更进一步,提供内置于其计划中的网络级 WAF 或第三方解决方案作为附加功能。 根据经验,您以某种方式为此类服务支付额外费用。

以 Pagely 为例。 它是托管 WordPress 托管的最佳选择之一,并为其用户提供 WAF 保护。 然而,它的计划并不是你所说的预算友好型:

Pagely 计划的一些示例。

其他主机(例如 Liquid Web)提供将第三方 WAF 集成到您的托管计划中的服务,作为每月的额外费用。 如果您正在寻找一家能够让您手动设置 WAF 而无需花费一臂之力的公司,那么您最好的选择是虚拟专用服务器 (VPS) 或云托管提供商。

例如,Amazon Web Services (AWS) 使您能够部署 WAF。 但是,它会根据您部署的规则数量和收到的请求数量向您收费。

结论

在实践中,WAF 充当您的网站和不同类型攻击之间的屏障。 您可以将流量列入黑名单或白名单,具体取决于您要使用的模型。 但是,最终结果大体相同——您拥有一个更安全的站点。

作为 WordPress 用户,您可以通过三种主要方式使用 WAF 保护您的网站:

  1. 安装 WordPress 安全插件:最便宜的方法,但通常需要您自己设置规则。
  2. 注册第三方 WAF 解决方案:您必须支付月费,但该服务通常会为您处理所有工作。
  3. 选择提供 WAF 的托管服务提供商:提供 WAF 的托管服务提供商往往相当昂贵,但有些选项可让您自行设置。

您对如何在 WordPress 中实现 WAF 有任何疑问吗? 让我们在下面的评论部分中讨论它们!

Ico Maker/shutterstock.com 的文章缩略图