使用Web应用程序防火墙(WAF)保护您的站点安全
Web应用程序防火墙(WAF)是确保您的站点可以抵抗恶意用户和机器人攻击的重要工具。但是,在许多站点上,它要么没有以最佳方式实施,要么甚至没有被考虑,甚至更糟。这是不幸的,因为这个有价值的安全解决方案非常容易利用。
在本文中,我们将讨论WAF及其引入的变体。我们还将讨论使用WAF的重要性,并说明如何在网站上实施该技术。让我们跳进去吧!
当前大多数WordPress用户如何保护自己的网站
有很多方法可以保护WordPress网站,并且不同的用户会采用各种策略。但是,支持网站防御的最流行方法当然是插件。
毕竟,WordPress用户已经习惯于通过插件增强其网站的功能,而安全性就是一个很好的例子。这是因为单个插件可以实现许多解决方案,例如,防止暴力攻击,IP阻塞,停机监控等等。
实际上,Jetpack包括针对这些修复程序的一键式工具,并且是完全免费的:
其他插件,例如Wordfence 和iThemes Security,提供了一套超出常规功能集的工具。后者甚至负责一些高级的机下安全任务,例如重置盐。
当然,您甚至不需要插件即可实现某些安全技术。WordPress提供了开箱即用的便捷功能。例如,您可以通过wp-config.php文件轻松更改盐,并且.htaccess文件还可以用于添加URL重定向,更改文件权限设置,隐藏文件夹和文件等等。
最后,内容安全策略(CSP)从 技术上讲属于加密技术的范畴。但是,这里仍然值得一提,因为它是一种以代码为中心的方式来验证文件和脚本,以便在您的站点上更安全地使用。这是一个功能强大且灵活的工具,因此,如果您尚未实施CSP,则值得考虑。
保护站点服务器的重要性
您会注意到,到目前为止,我们已经讨论了插件,文件调整和自定义编码。毫无疑问,这些都是安全性的应用程序级解决方案。这不一定是问题,它们对于网站的平稳运行至关重要。但是,虽然最终的问题是确保恶意用户无法访问您的站点,但仅提供应用程序级安全性并不能完全解决问题。
将特定用户的“道德”放在一边,所有访问者在访问您的网站时都会对服务器资源产生影响。例如,考虑您站点的登录页面。浏览到站点的此部分将占用带宽和资源(例如脚本,样式表和字体),甚至在您选择放弃为后端页面缓存时也是如此。
对于合法用户,这本身不是问题。您仍然会鼓励尽可能多的人登录到您的网站。当恶意用户也开始访问您的页面时,就会出现问题。通用暴力破解或直接拒绝服务(DDoS)攻击可能会使原本稳定的站点瘫痪。这是因为有太多的“用户”访问您的站点,以致其资源被完全耗尽。
换句话说,尽管您的站点可能被锁定,但除非您对其进行任何操作,否则其服务器仍然可以访问。我们已经提到了该问题的解决方案,现在我们将对其进行更仔细的研究。
您可能已经知道一般意义上的防火墙。从本质上讲,这是两个元素之间的障碍–在这种情况下,是在“外部”世界与您的网站服务器之间。用最基本的术语来说,Web应用程序防火墙(WAF)可以阻止不良流量,但可以让良好流量通过。
为了进行比较,WAF是服务器,代理是客户端。实际上,WAF可以被视为“反向代理”。它旨在通过将规则应用于所有HTTP传输来保护Web应用程序(因此而得名)和停止攻击(例如跨站点脚本(XSS)和SQL注入)。
通常可以从仪表板设置这种类型的防火墙,或者甚至可以将其内置在内部。无论采用哪种形式,这都是阻止有害流量到达您站点的真正解决方案。但是,重要的是要确保您使用的是“正确”的WAF。
服务器端和应用程序级WAF之间的区别
不是所有WAF都是一样的。该技术有两个版本,下面是每个版本的快速摘要:
应用程序级防火墙。应用程序级WAF仅在您的站点上起作用,并且对服务器的影响很小(如果有的话)。它也不为您的服务器提供任何防御措施。
服务器端防火墙。这种WAF样式是流量与服务器之间的第一线障碍。这样,它的实施成本更高,但提供了更高的安全性。
用外行的术语来说,服务器端WAF会根据您设置的规则阻止流量访问您站点文件(例如,登录页面)。这样可以使您的资源免费,分析指标“干净”,并为用户提供良好的保护。
相比之下,应用程序级WAF仍然可以使您的站点受益,但不能保护您的服务器。简而言之,这意味着流量将在以后进行过滤,从而可能使恶意用户访问服务器本身。这使得它不如服务器端解决方案理想,因为所有这些访问者(好的或坏的)都仍在使用服务器的资源。
简而言之,诸如Wordfence之类的解决方案添加的基于插件的防火墙是应用程序级WAF,而服务器端WAF可以通过Sucuri或Cloudflare等公司实现 。这是一个重要的区别,因为许多用户安装了插件WAF并假设他们可能受到了完全的保护,而他们根本没有受到任何保护。
如何在您的网站上安装WAF
安装这两种WAF通常非常简单。对于应用程序级防火墙,通常在激活相关插件后即可启用它们。例如,在Wordfence中,WordPress的专用插件设置中有一个针对此选项的切换:
至于服务器端WAF,尽管不一定总是可以通过WordPress访问它们,但它们通常在自己的控制面板中具有相似的设置。无论选择哪种WAF解决方案,它都应该易于设置。一旦设置好WAF,您的站点将既防水又适应性强,以防万一您需要重新解决将来限制的流量。
结论:
我们没有理由再次提出网站安全性,因为它对于任何网站都是至关重要的组成部分。如果您正在运行某种业务站点,那么安全性就显得尤为必要。毕竟,涉及用户数据的失误会使您陷入严重的热水中。
在这篇文章中,不幸的是,对于许多网站所有者来说,我们一直都在关注前线防御策略。WAF是一个至关重要的工具,可以在Wordfence之类的插件中找到,但如果您要完全保护自己的网站,则不能使用。来自Sucuri或Cloudflare之类的服务器端解决方案是更好的解决方案,可以在几分钟内为您提供保护,而无需进行任何设置。
您对如何在WordPress中实现WAF有任何疑问吗?在下面的评论部分分享您的想法!