Как сохранить ваш сайт безопасным с помощью веб-приложения брандмауэра (WAF)

Если есть одна фраза более распространена, чем ‘веб-сайт безопасности” в разговорах о запуске WordPress сайт, мы еще не нашли его. Возможно, вы уже знаете все, что нужно сделать, защищая ваш сайт с помощью плагинов безопасности. Тем не менее, это не единственный шаг, который вы можете предпринять, особенно если вы хотите оставить камня на камне, когда дело доходит до блокировки вашего сайта.

Например, веб-приложение Firewall (WAF) является жизненно важным инструментом для обеспечения того, чтобы ваш сайт может противостоять вредоносным пользователям и ботам. Однако на многих сайтах он либо не реализован наиболее оптимальным образом, либо даже хуже, вообще не рассматривается. Это прискорбно, так как это ценное решение безопасности удивительно легко воспользоваться.

В этой статье мы обсудим WAFs и вариации, в которые они поступят. Мы также поговорим о важности использования одного, и объяснить, как вы можете реализовать технологию на вашем сайте. Давайте прыгнем прямо!

Как большинство пользователей WordPress в настоящее время безопасные свои веб-сайты

Есть много способов для обеспечения WordPress сайт, и различные пользователи применяют различные стратегии. Тем не менее, самый популярный метод shoring до защиты веб-сайта, конечно, плагины.

WordPress пользователи хорошо привыкли к укреплению функциональности своих сайтов с помощью плагинов, в конце концов, и безопасность является прекрасным примером. Это связано с тем, что один плагин может реализовать ряд решений, таких как предотвращение атак грубой силы, блокировка IP, мониторинг простоев и многое другое.

В самом деле, Jetpack включает в себя один клик инструменты для каждого из этих исправлений, и совершенно бесплатно:

The Jetpack plugin.

Другие плагины, такие как Wordfence и iThemes Security,предлагают набор инструментов, которые выходят за рамки обычного набора функций. Последний даже заботится о некоторых передовых под капотом задач безопасности, таких как сброс солей.

Конечно, вам даже не нужен плагин для реализации определенных методов безопасности. WordPress дает вам легкий доступ к некоторым мощным вариантам из коробки. Например, можно легко менять соли через файл wp-config.php, а файл .htaccess также может быть использован для добавления перенаправления URL, изменения настроек разрешения файлов, сокрытия папок и файлов и многое другое.

Наконец, политика безопасности содержимого (CSP) технически относится к категории методов шифрования. Тем не менее, это все еще стоит упомянуть здесь, так как это код-ориентированный способ проверки подлинности файлов и скриптов для более безопасного использования на вашем сайте. Это чрезвычайно мощный и гибкий инструмент, так что если вы еще не реализуете CSP, это хорошо стоит рассмотреть.

Важность защиты сервера вашего сайта

Вы заметите, что до сих пор мы говорили о плагинах, настройках файлов и пользовательском кодировании. Как вы, несомненно, поймете, все это решения уровня приложений для обеспечения безопасности. Это не обязательно проблема, и они имеют важное значение для бесперебойного работы вашего сайта. Однако, в то время как ваша конечная проблема заключается в том, чтобы убедиться, что вредоносные пользователи не могут получить доступ к вашему сайту, только предоставление безопасности на уровне приложения не решит проблему полностью.

Ввод “нравственности” конкретного пользователя в одну сторону на мгновение, все посетители будут иметь влияние на серверные ресурсы, когда они получают доступ к вашему веб-сайту. Например, рассмотрим страницу входа в сайт. Просмотр этого раздела вашего сайта займет пропускную способность и ресурсы (например, скрипты, листы стилей и шрифты) – тем более, если вы решите отказаться от кэширования для бэк-эндстраниц.

Для законных пользователей это не является проблемой как таковой. Вы все еще хотите, чтобы поощрять, как многие из этих людей, чтобы войти в ваш сайт, как это возможно. Проблемы возникают, когда вредоносные пользователи также начинают получать доступ к вашим страницам. Общие грубой силы или прямой отказ в обслуживании (DDoS) атака может калечить в противном случае стабильный сайт. Это потому, что Есть так много “пользователей” доступ к вашему сайту, что его ресурсы полностью съедены.

Другими словами, в то время как ваш сайт может быть заблокирован плотно, его сервер по-прежнему остается доступным, если вы не сделаете что-то о нем. Мы уже упоминали решение этой проблемы, которое мы будем смотреть более внимательно на данный момент.

Представляем веб-приложение Firewall (WAF)

Вы, вероятно, уже знаете, что брандмауэр в общем смысле. Это по существу барьер между двумя элементами – в данном случае, между “внешним” миром и сервером вашего сайта. В очень основных терминах, веб-приложение firewall (WAF) останавливает плохой трафик, но позволяет хороший трафик до конца.

Для сравнения, WAFs являются серверы, как прокси для клиентов. В самом деле, WAF можно считать “обратный прокси”. Он предназначен для защиты веб-приложений – отсюда и название – и остановить атаки, такие как кросс-сайт сценариев (XSS) и инъекций S’L, применяя правила для всех передач HTTP.

Этот тип брандмауэра обычно может быть настроен с панели мониторинга, или даже может быть встроен под капотом. Независимо от формы, это реальное решение для остановки вредного трафика от достижения вашего сайта. Тем не менее, важно убедиться, что вы используете “правильный” вид WAF.

Разница между AF-сервером и уровнем приложений

Все WAF не созданы равными. Есть две версии технологии, и вот краткое изложение каждой из них:

  • Брандмауэр уровня приложения. WAF уровня приложения действует только на вашем сайте и оказывает минимальное (если такого себе) влияние на ваш сервер. Он также не обеспечивает каких-либо средств защиты для вашего сервера.
  • Брандмауэр на стороне сервера. Этот стиль WAF выступает в качестве барьера первой линии между трафиком и вашим сервером. Таким образом, это более дорогостоящим для реализации, но предлагает большую безопасность.

С точки зрения неспециалиста, сервер стороне WAF останавливает трафик от попадания в файлы вашего сайта – например, ваша страница входа – на основе правил, которые вы установили. Это сохраняет ваши ресурсы свободными, аналитические метрики “чистые”и пользователи хорошо защищены.

В отличие от этого, WAF уровня приложения все еще может принести пользу вашему сайту, но он не защищает ваш сервер. Проще говоря, это означает, что трафик фильтруется на более поздней точке, потенциально предоставляя злоумышленникам доступ к самому серверу. Это делает его менее идеальным, чем решение на стороне сервера, так как все эти посетители (хорошие или плохие) по-прежнему используют ресурсы вашего сервера.

В двух словах, плагин на основе брандмауэров, добавленных решениями, такими как Wordfence, являются WAF уровня приложений, в то время как серверные WAF могут быть реализованы через такие компании, как Sucuri или Cloudflare. Это важное различие, чтобы сделать, так как многие пользователи устанавливают плагин WAF и предположить, что они полностью защищены, когда это не может быть так вообще.

Как установить WAF на вашем сайте

Установка любого типа WAF, как правило, очень проста. В случае брандмауэров уровня приложения они обычно делаются в прямом эфире после активации плагина. В Wordfence, например, есть переключатель для этой опции в специализированных настройках плагина в WordPress:

Wordfence's firewall settings.

Что касается сервера стороне WAFs, они, как правило, имеют аналогичные настройки в пределах своих собственных панелей управления, хотя они не всегда могут быть доступны через WordPress. Независимо от вашего выбора решения WAF,он должен быть простым в настройке. После того, как ваш WAF на месте, ваш сайт будет как водонепроницаемый и адаптируемый, в случае, если вам нужно readdress трафика вы ограничиваете в будущем.

Заключение

Мы не оправдываемся для воспитания безопасности сайта еще раз, так как это такой жизненно важный компонент для любого сайта. Если вы работаете какой-то бизнес-сайт, безопасность еще более необходима. В конце концов, промежуток с участием пользовательских данных может посадить вас в сильно горячей воде.

На протяжении этого поста, мы смотрели на линии фронта оборонительной тактики, которая, к сожалению, низкий приоритет для многих владельцев веб-сайта. WAF является жизненно важным инструментом, который можно найти в плагинах, таких как Wordfence, но не если вы хотите полностью защитить свой сайт. Решение на стороне сервера от подобных Sucuri или Cloudflare является лучшим решением и может защитить вас в считанные минуты с небольшой настройкой требуется.

Есть ли у вас какие-либо вопросы о том, как реализовать WAF в WordPress? Поделитесь своими мыслями в разделе комментариев ниже!

Рекомендуемые изображения: Pexels.

Источник: torquemag.io

Добавить комментарий

%d такие блоггеры, как: