Защитите свой сайт WordPress с помощью брандмауэра веб-сайта

Опубликовано: 2020-08-25
Protect Your WordPress Site With a Website Firewall

Огромная популярность WordPress сделала его огромной мишенью для преступников и хакеров, которые пытаются использовать ваш сайт WordPress, чтобы быстро заработать. Это могут быть даже просто детишки-сценаристы, желающие завоевать авторитет в Интернете у своих сверстников, испортив ваш сайт ради забавы. Неважно, как это произойдет, любая форма компрометации сайта вызовет серьезную потерю доверия со стороны ваших клиентов и может легко означать конец вашего бренда.

Поэтому защита вашего веб-сайта, ваших клиентов и вашего бренда является главным приоритетом при развертывании экземпляра WordPress. К сожалению, хакеры разработали сложные инструменты и методы, чтобы использовать WordPress и разрушать то, что вы создали. Единственный способ оставаться впереди — понять, как ваш сайт WordPress может быть атакован и как защититься от этих угроз.

В этой статье мы рассмотрим все способы, которыми хакеры могут воспользоваться способами, которыми ваш сайт WordPress взаимодействует с Интернетом, и средства защиты, которые вы можете создать, чтобы остановить их, прежде чем они нанесут какой-либо ущерб.

Фильтрация битов и байтов — сетевой брандмауэр

Отправка данных через Интернет — удивительно сложный процесс. Существует множество «уровней» от аппаратного уровня внизу, определяющего физическую инфраструктуру, до нескольких программных уровней выше, каждый из которых зависит от нижележащих. Слои, которые представляют для нас интерес в этом разделе, — это межхостовые слои. В этих слоях данные, такие как изображение, которое вы отправляете другу, разбиваются на небольшие фрагменты, называемые пакетами. Они направляются через Интернет от вас (источника) к вашему другу (пункту назначения), где они повторно собираются в исходное изображение, которое вы отправили.

Все эти пакеты данных имеют несколько характеристик, в том числе:

  • Протокол — например, TCP, UDP, ICMP и др.
  • Порт — например, Интернет 80/443, электронная почта 110/25
  • IP-адреса — исходный и конечный IP-адреса компьютеров, которые отправляют и получают пакеты.

Сетевой брандмауэр находится между сетевым интерфейсом и операционной системой и проверяет каждый пакет, когда он поступает на сервер. Он разрешает или запрещает прохождение пакета в операционную систему на основе набора правил разрешения и блокировки. Пакеты отбрасываются, если они нарушают какие-либо правила брандмауэра.

Сетевой брандмауэр является неотъемлемой частью установки сервера и WordPress, поскольку он блокирует любую несанкционированную связь с процессами, которые случайно или преднамеренно прослушивают вредоносный трафик. Единственный трафик, который разрешен для операционной системы и за ее пределами для WordPress, должен соответствовать строгим правилам, которые накладывает брандмауэр.

Правильно настроенный сетевой брандмауэр является стандартной частью каждого сервера, подключенного к Интернету. К сожалению, это не означает, что они просты в установке и управлении. На самом деле, если у вас есть доступ только к вашему экземпляру WordPress, то управление брандмауэром невозможно сделать правильно, потому что эффективный брандмауэр не будет доступен изнутри WordPress.

Фильтрация веб-запросов — брандмауэр веб-приложений

Хакеры расширили свой арсенал изощренным методом сетевой атаки, когда они создают вредоносные веб-запросы для атаки на ваш сайт WordPress. Эти веб-запросы не будут нарушать какие-либо правила сетевого брандмауэра, поэтому им будет разрешено взаимодействовать с вашим сайтом WordPress, где они могут причинить серьезный вред.

Чтобы понять, как работают вредоносные веб-запросы, сначала рассмотрим, как с годами усложнялись веб-запросы. До появления активных веб-технологий, таких как PHP, веб-запрос был очень простым и выглядел следующим образом:

 http://www.example.com/index.php

Этот запрос разбивается на части следующим образом:

  • http:// — запрос использует протокол HTTP.
  • www.example.com — имя хоста, которое разрешается в IP-адрес веб-сервера.
  • index.php — запрашиваемый файл.

Как видите, запрос очень простой. Когда вы хотели защитить веб-сайт, вы просто создавали черный список файлов, которые были приватными, чтобы веб-сервер отказывался их обслуживать. В этом не было ничего другого.

По мере усложнения технологии веб-сайтов возможности использования этих сложностей также увеличились.

Один из примеров такого злонамеренного запроса известен как атака SQL Injection. Этот тип атаки пытается прочитать конфиденциальную информацию или изменить базу данных WordPress. Он делает это, создавая веб-запрос, который запустит PHP-скрипт, и, если скрипт не был написан для проверки его входных данных, позволит злоумышленнику читать или записывать в базу данных WordPress.

Давайте взглянем на простой веб-запрос атаки SQL-инъекцией. Например, представьте, что у вас есть форма входа, отправленная в браузер клиентов. Когда они заполняют форму, он отправляет веб-запрос обратно на сервер, который содержит введенное ими имя пользователя учетной записи. В этом примере запроса идентификатор имени пользователя — JohnSmith , что дает нам веб-запрос, который выглядит следующим образом:

 http://www.example.com/accountView?id=JohnSmith

Если PHP-скрипт на сервере примет этот ввод и не проверит его достоверность, это может привести к серьезным проблемам. Например, хакер может попытаться отправить следующий искаженный URL-адрес, который вообще не имеет идентификатора, например:

 http://www.example.com/app/accountView? имеет особое значение в SQL, языке баз данных. Это может привести к тому, что плохо написанный сценарий отправит обратно полный список базы данных клиентов, возможно, включая пароли и другую конфиденциальную информацию. Это явно катастрофа.


Так как же защитить себя от этих форм нападения?
		




Именно здесь вступает в действие брандмауэр веб-приложений (WAF). WAF размещается между Интернетом и WordPress и проверяет каждый веб-запрос, когда он поступает на сервер. Если он обнаружит какой-либо запрос, который имеет неправильный формат, например тот, что приведен выше, или нарушает его список правил, он заблокирует отправку этого запроса на ваш WordPress. WAF эффективно устраняет целые классы распространенных ошибок программирования, которые могут легко скомпрометировать сайт WordPress, что в противном случае потребовало бы проверки каждого файла PHP на вашем сайте.


Очевидно, что это только один пример вредоносного запроса из огромного и быстро развивающегося диапазона возможных. Это делает по-настоящему эффективный WAF постоянным вызовом для добавления правил, которые идут в ногу с хакерами. Подобно сетевому брандмауэру, WAF технически сложно настроить и, что более важно, поддерживать.
		




Остановка ботов — защита от перебора и reCAPTCHA


Последний уровень эффективной защиты сети — остановить автоматические атаки на страницу входа в панель администратора WordPress. Эти атаки запускаются программами, которые обычно называют «ботами» от слова «робот». Боты используются хакерами, потому что они работают не покладая рук и в огромном количестве для запуска скоординированных атак.


Наиболее распространенным методом атаки является атака на страницу входа с помощью грубой силы. Это пытается угадать имена пользователей и пароли, чтобы они могли войти на ваш сайт WordPress.


Атака грубой силы работает, перебирая очень много разных комбинаций имени пользователя и пароля. Обычно это будут комбинации самых популярных имен пользователей, таких как admin или root , вместе с наиболее распространенными паролями, такими как «123456». Атака грубой силы начнется с отправки следующих комбинаций имени пользователя и пароля:
		




    

  • админ : 123456
    • 

  • админ: пароль0rd
    • 

  • Админ: Letmein
    • 

  • Админ: qwerty
    • 

  • корень: 123456
    • 

  • корень: пароль
    • 

  • корень: летмейн
    • 

  • корень: qwerty
    • 



И продолжайте оттуда, пробуя все менее и менее распространенные комбинации.


Бот попробует от нескольких сотен до многих тысяч, в зависимости от того, как он настроен. Защита от грубой силы заметит все неудачные попытки входа в систему, а затем заблокирует любые дальнейшие запросы, поступающие с IP-адресов, отправляющих поддельные запросы на вход. Это важная защита от того, что пользователи WordPress часто выбирают более слабые пароли, когда им разрешено выбирать свои собственные пароли.
		




Атаки методом грубой силы — не единственное применение ботов. Они также используются для проверки вашего сайта на наличие уязвимостей, открытых конфиденциальных файлов или плагинов и тем, которые могут быть скомпрометированы.


Этих ботов можно остановить с помощью стандартного в отрасли инструмента Google для борьбы с мошенничеством в рекламе под названием reCAPTCHA. reCAPTCHA автоматически отделяет людей от вредоносных ботов, позволяя людям посещать ваш сайт и отталкивая ботов. Обычно это происходит незаметно и незаметно для человека-пользователя, в то время как бот не может добраться до вашего веб-сайта, где он изо всех сил пытается проникнуть.


Но как мне все это?


Если у вас нет времени, экспертных технических знаний или бюджета для настройки и обслуживания сетевого брандмауэра, WAF, детектора грубой силы и reCAPTCHA, вы должны оставить это экспертам, таким как Rocket. Rocket — это провайдер управляемого хостинга, который обеспечивает безопасность WordPress. Включите все эти основные инструменты безопасности в стандартную комплектацию каждой установки WordPress.


Все, что вам нужно сделать, это зарегистрироваться, запустить сайт WordPress и через несколько секунд начать создавать.


Или оформите заказ Как настроить беспарольную аутентификацию в WordPress