Chroń swoją witrynę WordPress za pomocą zapory internetowej

Opublikowany: 2020-08-25
Protect Your WordPress Site With a Website Firewall

Ogromna popularność WordPressa uczyniła z niego ogromny cel dla przestępców i hakerów, którzy próbują wykorzystać Twoją witrynę WordPress, aby szybko zarobić. Mogą to być nawet dzieciaki skryptowe, które chcą zdobyć zaufanie w Internecie ze swoimi rówieśnikami, szpecąc Twoją witrynę. Nie ma znaczenia, jak to się stanie, każda forma włamania do witryny spowoduje poważną utratę zaufania klientów i może łatwo oznaczać koniec Twojej marki.

Ochrona witryny, klientów i marki jest zatem priorytetem, gdy wdrażasz instancję WordPress. Niestety, hakerzy opracowali wyrafinowane narzędzia i techniki do wykorzystywania WordPressa i niszczenia tego, co stworzyłeś. Jedynym sposobem, aby pozostać na czele, jest zrozumienie, w jaki sposób Twoja witryna WordPress może być celem ataków i jak chronić się przed tymi zagrożeniami.

W tym artykule przyjrzymy się wszystkim sposobom, w jakie hakerzy mogą wykorzystać sposób, w jaki Twoja witryna WordPress komunikuje się z Internetem, oraz obronie, które możesz wznieść, aby powstrzymać je, zanim wyrządzą jakiekolwiek szkody.

Filtrowanie bitów i bajtów — zapora sieciowa

Przesyłanie danych przez Internet to zaskakująco skomplikowany proces. Istnieje wiele „warstw” od warstwy sprzętowej na dole, która definiuje infrastrukturę fizyczną, po kilka warstw oprogramowania powyżej, z których każda zależy od poniższych. Warstwy, które są dla nas interesujące w tej sekcji, to warstwy host-host. Na tych warstwach dane, takie jak obraz, który wysyłasz znajomemu, są dzielone na małe porcje zwane pakietami. Są one przesyłane przez Internet od Ciebie (źródła) do znajomego (miejsca docelowego), gdzie są ponownie składane w oryginalny obraz, który wysłałeś.

Wszystkie te pakiety danych mają kilka cech, które obejmują:

  • Protokół – np. TCP, UDP, ICMP i więcej
  • Port – np. WWW 80/443, e-mail 110/25
  • Adresy IP — źródłowy i docelowy adres IP komputerów wysyłających i odbierających pakiety

Zapora sieciowa znajduje się między interfejsem sieciowym a systemem operacyjnym i sprawdza każdy pakiet, który dociera do serwera. Zezwala lub odrzuca pakiet, aby przejść do systemu operacyjnego w oparciu o zestaw reguł zezwalania i blokowania. Pakiety są odrzucane, jeśli naruszają którąkolwiek z reguł zapory.

Zapora sieciowa jest nieodzowną częścią instalacji serwera i WordPressa, ponieważ blokuje wszelką nieautoryzowaną komunikację z procesami, które przypadkowo lub celowo nasłuchują złośliwego ruchu. Jedyny ruch, który jest przepuszczany do systemu operacyjnego i dalej do WordPressa, musi być zgodny z surowymi regułami narzucanymi przez zaporę ogniową.

Prawidłowo skonfigurowana zapora sieciowa jest standardową częścią każdego serwera podłączonego do Internetu. Niestety nie oznacza to, że są łatwe w instalacji i zarządzaniu. W rzeczywistości, jeśli masz dostęp tylko do swojej instancji WordPress, zarządzanie zaporą jest niemożliwe, ponieważ skuteczna zapora nie będzie dostępna z poziomu WordPressa.

Filtrowanie żądań internetowych — zapora aplikacji internetowej

Hakerzy poszerzyli swój arsenał o wyrafinowaną metodę ataków sieciowych, w której tworzą złośliwe żądania internetowe w celu zaatakowania witryny WordPress. Te żądania internetowe nie naruszają żadnych reguł zapory sieciowej, więc będą mogły wchodzić w interakcję z witryną WordPress, gdzie mogą spowodować poważne szkody.

Aby zrozumieć, jak działają złośliwe żądania internetowe, najpierw zastanów się, jak złożoność żądań internetowych wzrosła na przestrzeni lat. Przed aktywnymi technologiami sieciowymi, takimi jak PHP, żądanie sieciowe było bardzo proste i wyglądało następująco:

 http://www.example.com/index.php

To żądanie dzieli się na części w następujący sposób:

  • http:// — żądanie korzysta z protokołu HTTP.
  • www.example.com — nazwa hosta, która jest tłumaczona na adres IP serwera WWW.
  • index.php — żądany plik.

Jak widać, ta prośba jest bardzo prosta. Kiedy chciałeś zabezpieczyć witrynę, po prostu utworzyłeś listę bloków plików, które były prywatne, aby serwer WWW odmówił ich obsługi. Nie było w tym nic więcej.

Ponieważ technologia stron internetowych stała się bardziej skomplikowana, zwiększyły się również możliwości wykorzystania tych złożoności.

Jednym z przykładów takiego złośliwego żądania jest atak typu SQL Injection. Ten typ ataku ma na celu odczytanie poufnych informacji z bazy danych WordPress lub zmodyfikowanie jej. Robi to poprzez spreparowanie żądania internetowego, które zostanie uruchomione przez skrypt PHP, a jeśli skrypt nie został napisany w celu sprawdzenia danych wejściowych, umożliwi atakującemu odczytanie lub zapisanie w bazie danych WordPress.

Przyjrzyjmy się prostemu żądaniu internetowemu ataku typu SQL injection. Na przykład wyobraź sobie, że formularz logowania jest wysyłany do przeglądarki klienta. Kiedy wypełnią formularz, wysyła żądanie internetowe z powrotem do serwera, który zawiera wprowadzoną nazwę użytkownika konta. W tym przykładowym żądaniu identyfikator użytkownika to JohnSmith , co daje nam żądanie internetowe, które wygląda tak:

 http://www.example.com/accountView?id=JohnSmith

Jeśli skrypt PHP na serwerze pobiera te dane wejściowe i nie sprawdza ich poprawności, może to prowadzić do poważnych problemów. Na przykład haker może próbować wysłać następujący zniekształcony adres URL, który w ogóle nie ma identyfikatora, np.:

 http://www.example.com/app/accountView? ma szczególne znaczenie w SQL, języku baz danych. Może to spowodować, że źle napisany skrypt odeśle pełną listę bazy danych klientów, być może zawierającą hasła i inne poufne informacje. To oczywiście katastrofa.


Jak więc chronić się przed tymi formami ataku?


W tym miejscu pojawia się zapora aplikacji internetowej (WAF). WAF jest umieszczany między Internetem a WordPress i sprawdza każde żądanie sieciowe, gdy dociera do serwera. Jeśli znajdzie jakieś żądanie, które jest zniekształcone, jak to powyżej, lub narusza listę reguł, zablokuje to żądanie przed wysłaniem go do WordPressa. WAF skutecznie pokonuje całe klasy typowych błędów programistycznych, które mogą łatwo narazić witrynę WordPress, która w innym przypadku wymagałaby sprawdzenia każdego pliku PHP w Twojej witrynie.
		




Oczywiście jest to tylko jeden przykład złośliwego żądania z ogromnej i szybko ewoluującej gamy możliwych. To sprawia, że ​​naprawdę skuteczny WAF jest ciągłym wyzwaniem dodawania reguł, które dotrzymują kroku hakerom. Podobnie jak zapora sieciowa, WAF jest technicznie wymagającą propozycją do skonfigurowania i, co ważniejsze, utrzymania.


Zatrzymywanie botów – ochrona przed Bruteforce i reCAPTCHA


Ostatnią warstwą skutecznej ochrony sieci jest zatrzymanie automatycznych ataków na stronę logowania do panelu administracyjnego WordPress. Ataki te są uruchamiane przez programy powszechnie nazywane „botami” zaczerpniętymi od słowa robot. Boty są wykorzystywane przez hakerów, ponieważ pracują niestrudzenie i w ogromnych ilościach, aby przeprowadzać skoordynowane ataki.
		




Najczęstszą metodą ataku jest atakowanie strony logowania za pomocą ataku brute-force. To próbuje odgadnąć nazwy użytkownika i hasła, aby mogli zalogować się do Twojej witryny WordPress.


Atak bruteforce polega na próbowaniu wielu różnych kombinacji nazw użytkownika i haseł. Zazwyczaj będą to kombinacje najpopularniejszych nazw użytkowników, takich jak admin lub root wraz z najczęstszymi hasłami, takimi jak „123456”. Atak bruteforce rozpocznie się od przesłania następujących kombinacji nazwy użytkownika i hasła:


    

  • Administrator : 123456
    • 

  • Administrator : hasło 0rd
    • 

  • Administrator : letmein
    • 

  • Administrator : qwerty
    • 

  • korzeń: 123456
    • 

  • korzeń : passw0rd
    • 

  • korzeń : letmein
    • 

  • korzeń : qwerty
    • 



I kontynuuj od tego miejsca, próbując coraz mniej popularnych kombinacji.
		




Bot spróbuje od kilkuset do wielu tysięcy w zależności od konfiguracji. Ochrona przed bruteforcem zauważy wszystkie nieudane logowania, a następnie zablokuje wszelkie dalsze żądania pochodzące z adresów IP przesyłających fałszywe żądania logowania. Jest to niezbędne zabezpieczenie przed użytkownikami WordPressa, którzy często wybierają słabsze hasła, gdy mogą wybrać własne hasła.


Ataki Bruteforce nie są jedynym zastosowaniem botów. Są one również wykorzystywane do sondowania Twojej witryny pod kątem słabości, ujawnionych poufnych plików lub wtyczek i motywów, które mogą zostać naruszone.


Te boty mogą zostać zatrzymane przez standardowe w branży narzędzie Google do zwalczania oszustw reklamowych o nazwie reCAPTCHA. reCAPTCHA automatycznie oddziela ludzi od złośliwych botów, umożliwiając ludziom odwiedzanie Twojej witryny i odrzucanie botów. Zwykle dzieje się to niewidocznie i bezproblemowo dla użytkownika, podczas gdy bot nie jest w stanie przedostać się do Twojej witryny, gdzie próbowałby się włamać.
		




Ale jak to wszystko zrobić?


Jeśli nie masz czasu, specjalistycznej wiedzy technicznej lub budżetu na konfigurację i utrzymanie zapory sieciowej, WAF, detektora bruteforce i reCAPTCHA, powinieneś zostawić to ekspertom, takim jak Rocket. Rocket to zarządzany dostawca hostingu, który zapewnia bezpieczeństwo WordPress. Zawierają wszystkie te niezbędne narzędzia bezpieczeństwa jako standard przy każdej instalacji WordPressa.


Wszystko, co musisz zrobić, to zarejestrować się, uruchomić witrynę WordPress i kilka sekund później zacząć tworzyć.


Lub sprawdź Jak skonfigurować uwierzytelnianie bez hasła w WordPress