使用網站防火牆保護您的 WordPress 網站

已發表: 2020-08-25
Protect Your WordPress Site With a Website Firewall

WordPress 的巨大普及使其成為試圖利用您的 WordPress 網站快速賺錢的犯罪分子和黑客的巨大目標。 它甚至可能只是腳本小子,他們希望通過破壞您的網站來獲得一些互聯網信譽。 不管它是如何發生的,任何形式的網站妥協都會導致您對客戶的信任嚴重喪失,並且很容易導致您的品牌終結。

因此,無論何時部署 WordPress 實例,保護您的網站、客戶和品牌都是首要任務。 不幸的是,黑客已經開發出複雜的工具和技術來利用 WordPress 並破壞您創建的內容。 保持領先的唯一方法是了解您的 WordPress 網站如何成為目標以及如何防範這些威脅。

在本文中,我們將研究黑客可以利用您的 WordPress 網站與互聯網通信的方式的所有方式,以及您可以建立的防禦措施以在他們造成任何損害之前阻止它們。

過濾比特和字節——網絡防火牆

通過互聯網發送數據是一個非常複雜的過程。 從定義物理基礎設施的底層硬件層到上面的幾個軟件層,有許多“層”,每個層都依賴於下面的層。 本節中我們感興趣的層是主機到主機層。 在這些層中,數據(例如您發送給朋友的圖像)被分成稱為數據包的小塊。 這些通過互聯網從您(源)路由到您的朋友(目的地),在那裡它們被重新組合成您發送的原始圖像。

這些數據包都具有幾個特徵,其中包括:

  • 協議——例如,TCP、UDP、ICMP 等
  • 端口 – 例如,Web 80/443、電子郵件 110/25
  • IP 地址 – 發送和接收數據包的計算機的源 IP 和目標 IP

網絡防火牆位於網絡接口和操作系統之間,並在每個數據包到達服務器時對其進行檢查。 它將根據一組允許和阻止規則允許或拒絕數據包繼續進入操作系統。 如果數據包違反任何防火牆規則,則數據包將被丟棄。

網絡防火牆是服務器和 WordPress 安裝中不可或缺的一部分,因為它會阻止與意外或故意監聽惡意流量的進程進行任何未經授權的通信。 唯一允許通過操作系統和超過 WordPress 的流量必須符合防火牆強加的嚴格規則。

正確配置的網絡防火牆是每台聯網服務器的標準部分。 不幸的是,這並不意味著它們易於安裝和管理。 事實上,如果您只能訪問您的 WordPress 實例,那麼管理防火牆是不可能正確的,因為無法從 WordPress 內部訪問有效的防火牆。

過濾 Web 請求 - Web 應用程序防火牆

黑客通過一種複雜的網絡攻擊方法擴展了他們的武器庫,他們發出惡意網絡請求來攻擊您的 WordPress 網站。 這些 Web 請求不會違反任何網絡防火牆的規則,因此它們將被允許與您的 WordPress 站點進行交互,從而可能造成嚴重傷害。

要了解惡意 Web 請求的工作原理,首先要考慮 Web 請求多年來的複雜性如何增長。 在 PHP 等活躍的 Web 技術之前,Web 請求非常簡單,如下所示:

 http://www.example.com/index.php

此請求分為以下幾部分:

  • http:// – 請求使用 HTTP 協議。
  • www.example.com – 解析為網絡服務器 IP 地址的主機名。
  • index.php – 被請求的文件。

如您所見,此請求非常簡單。 當你想保護一個網站時,你只需創建一個私有文件的阻止列表,這樣網絡服務器就會拒絕為它們提供服務。 沒有什麼其他的了。

隨著網站技術變得越來越複雜,利用這些複雜性的機會也越來越多。

這種惡意請求的一個示例稱為 SQL 注入攻擊。 這種類型的攻擊試圖從 WordPress 數據庫中讀取敏感信息或修改其數據庫。 它通過製作一個 PHP 腳本將運行的 Web 請求來做到這一點,如果沒有編寫腳本來檢查其輸入,它將允許攻擊者讀取或寫入 WordPress 數據庫。

我們來看一個簡單的 SQL 注入攻擊 web 請求。 例如,假設您有一個登錄表單被發送到客戶端瀏覽器。 當他們填寫表格時,它會向服務器發送一個 Web 請求,其中包含他們輸入的帳戶用戶名。 在這個示例請求中,用戶名 ID 是JohnSmith ,它為我們提供了一個如下所示的 Web 請求:

 http://www.example.com/accountView?id=JohnSmith

如果服務器上的 PHP 腳本接受此輸入並且不檢查其有效性,則可能會導致問題嚴重。 例如,黑客可能會嘗試發送以下完全沒有 ID 的畸形 URL,例如:

 http://www.example.com/app/accountView? 在數據庫語言 SQL 中具有特殊的意義。 它可能會導致編寫錯誤的腳本發回客戶數據庫的完整列表,可能包括密碼和其他敏感信息。 這顯然是一場災難。


那麼,您如何保護自己免受這些形式的攻擊呢?


這就是 Web 應用程序防火牆 (WAF) 的用武之地。WAF 放置在 Internet 和 WordPress 之間,並在每個 Web 請求到達服務器時對其進行檢查。 如果它發現任何格式錯誤的請求(如上述請求)或違反其規則列表,它將阻止該請求發送到您的 WordPress。 WAF 有效地解決了所有常見的編程錯誤,這些錯誤很容易危及 WordPress 網站,否則需要檢查網站上的每個 PHP 文件。
		




顯然,這只是來自大量且快速發展的可能性範圍的惡意請求的一個示例。 這使得真正有效的 WAF 成為添加規則以跟上黑客步伐的持續挑戰。 就像網絡防火牆一樣,WAF 是一個技術上具有挑戰性的提議,要設置和更重要的是維護。


阻止機器人——蠻力保護和 reCAPTCHA


有效網絡防禦的最後一層是阻止針對您的 WordPress 管理面板登錄頁面的自動攻擊。 這些攻擊是由通常稱為“機器人”的程序發起的,這些程序取自機器人一詞。 殭屍程序被黑客使用,因為它們不知疲倦地大量工作以發起協同攻擊。


最常見的攻擊方法是針對登錄頁面進行暴力攻擊。 這會嘗試猜測用戶名和密碼,以便他們可以登錄您的 WordPress 網站。
		




蠻力攻擊通過嘗試許多不同的用戶名和密碼組合來進行。 通常,這些將是最流行的用戶名(如adminroot )與最常見的密碼(如“123456”)的組合。 暴力攻擊將從提交以下用戶名和密碼組合開始:


    

  • 管理員:123456
    • 

  • 管理員:密碼
    • 

  • 管理員:讓我
    • 

  • 管理員:qwerty
    • 

  • 根:123456
    • 

  • 根:passw0rd
    • 

  • 根:讓我
    • 

  • 根:qwerty
    • 



並從那裡繼續嘗試越來越少的常見組合。


該機器人將嘗試數百到數千次,具體取決於它的配置方式。 蠻力保護將注意到所有失敗的登錄,然後阻止來自提交虛假登錄請求的 IP 地址的任何進一步請求。 這是 WordPress 用戶在被允許選擇自己的密碼時通常會選擇較弱的密碼的基本保障措施。
		




蠻力攻擊並不是機器人的唯一用途。 它們還用於探測您的網站是否存在弱點、暴露的敏感文件或可能受到破壞的插件和主題。


谷歌行業標準的反欺詐廣告濫用工具 reCAPTCHA 可以阻止這些機器人的踪跡。 reCAPTCHA 自動將人類與惡意機器人分類,允許人類通過訪問您的網站並將機器人拒之門外。 這通常對人類用戶無形且無縫地發生,而機器人不可能進入您的網站,並會盡力闖入。


但是我該怎麼做呢?


如果你沒有時間、專業的技術知識或預算來配置和維護網絡防火牆、WAF、暴力檢測器reCAPTCHA,那麼你應該把它留給像 Rocket 這樣的專家。 Rocket 是獲得 WordPress 安全性的託管託管服務提供商。 包括所有這些基本安全工具作為每個 WordPress 安裝的標準。
		




您需要做的就是註冊,啟動一個 WordPress 網站,幾秒鐘後開始創建。


或查看如何在 WordPress 中設置無密碼身份驗證