Saprai sicuramente che è meglio proteggere in modo proattivo il tuo sito WordPress piuttosto che aspettare di ripulirlo dopo un attacco. Una violazione della sicurezza è una questione seria e costosa e in cui non vuoi essere coinvolto.. webARX spiega perfettamente il problema:
“Con i siti web moderni, la sicurezza dei componenti di terze parti è diventata un grosso problema. WordPress è un buon esempio, nel 2018 la quantità di vulnerabilità dei plugin scoperte è cresciuta di 3 volte rispetto al 2017”.
Questo è il motivo per cui dovresti sviluppare un piano di sicurezza a tutto tondo che tenga conto di tutti i diversi punti di ingresso da cui un hacker potrebbe attaccare il tuo sito. Molte volte, tuttavia, diamo per scontate queste strategie e strumenti di sicurezza automatizzati senza mai comprendere veramente la tecnologia che mantiene sicuri i nostri siti web.
Quindi, oggi, vogliamo approfondire i firewall di WordPress. Più specificamente, cos’è un firewall, in generale, e perché ogni sito web ne ha bisogno. Dal momento che non sono nati con WordPress, c’è ancora qualcosa da capire su questa tecnologia di sicurezza e su come possiamo massimizzarla per i nostri scopi.
Iniziamo.
Cosa fa un firewall WordPress?
Nel mondo fisico, un firewall è costruito allo scopo di contenere gli incendi e prevenirne la diffusione attraverso gli edifici. Poiché sono progettati in base alla comprensione delle limitazioni termiche e di altri fattori prestazionali, il firewall ha spesso successo nella sua missione. Questo non è davvero diverso da come funziona un firewall nell’informatica.
Un firewall è molto simile agli altri tipi di software di sicurezza che utilizziamo. È uno strato di protezione che si trova tra noi e loro. Il modo in cui funziona un firewall, tuttavia, è leggermente diverso da qualcosa come un certificato SSL che codifica lo scambio di dati, nascondendolo da occhi indiscreti.
Un firewall funziona invece come una sorta di filtro basato su regole. Esamina la persona che tenta di accedere al sito, valuta il suo “carattere” in base a ciò che sa sulle minacce alla sicurezza e quindi concede o nega l’accesso. Sono disponibili tre generazioni di firewall per il web:
1a generazione: filtri a pacchetto
Questa prima generazione di firewall è stata creata allo scopo di filtrare i pacchetti trasmessi tra computer (quindi il trasferimento di file rientrerebbe in questo). A differenza dei firewall moderni, questi filtri di pacchetti non sono stati realmente creati per rispettare le regole. Si trattava più semplicemente di consentire il traffico in entrata o in uscita da un’applicazione. Non distingueva se si trattava o meno di traffico buono o cattivo, ma solo se l’accesso doveva essere concesso o negato.
2a generazione: filtri stateful
La seconda generazione di firewall è stata sviluppata da AT&T Bell Laboratories . Questi filtri stateful erano noti anche come gateway a livello di circuito . Erano il passo successivo rispetto ai filtri di pacchetto. In sostanza, funzionavano ancora come checkpoint, concedendo o negando l’accesso alla destinazione dell’applicazione desiderata. Detto questo, gli amministratori sono stati in grado di programmare regole nel firewall che lo hanno aiutato a determinare il livello di minaccia dell’entità che cercava di ottenere l’accesso.
3a generazione: filtri a livello di applicazione
L’ultima generazione del firewall è quella che usiamo ancora oggi E regole più specifiche possono essere programmate per espellere entità dannose in base al comportamento e alla storia sul web.
Come funziona un firewall?
I firewall per applicazioni web (WAF), come quelli che otteniamo dai plugin di sicurezza di WordPress, sono una forma di filtri a livello di applicazione. Il loro unico obiettivo è proteggere il server e l’installazione di WordPress. Lo fanno agendo come una sorta di server proxy.
Quando in genere viene ricevuta una richiesta HTTPS, il tuo server impacchetta i file necessari e poi li consegna ai browser dei visitatori. Tuttavia, ciò che vuoi che un firewall faccia è impedire a quella richiesta di raggiungere il tuo server se il richiedente rappresenta una minaccia .
Quindi, il firewall deve sedersi di fronte al server per rivedere tutto il traffico rispetto ai suoi dati e alle regole che ha per filtrare il traffico. Una volta che hai configurato i tuoi record DNS per indirizzare tutte le richieste HTTPS attraverso il WAF, questo accadrà ogni volta.
Agli utenti nella black list (cioè hacker e bot noti ) viene immediatamente negato l’accesso. Man mano che l’amministratore del firewall rileva nuove minacce, queste vengono aggiunte all’elenco in modo che possa rispondere in modo più efficace a infezioni da malware, SQL injection e minacce DDoS.
Un firewall WordPress non si limita a esaminare il traffico che visita i siti web. Può essere configurato per esaminare il traffico che visita anche la pagina di login WordPress. Programmando regole che stabiliscono una ragionevole quantità di tempo trascorso o tentativi di accesso effettuati per la pagina, il tuo firewall può fare in modo che il tuo sito stia lontano anche dagli attacchi brute force.
Alcuni firewall monitoreranno anche ciò che sta accadendo sul tuo sito web. Se viene rilevata una attività che si adatta ai criteri di una minaccia, quegli utenti verranno rimbalzati fuori dal sito. In realtà, c’è molto che puoi realizzare con un singolo firewall. Detto questo, poiché un firewall WordPress funziona solo come le regole che è programmato per seguire, devi assicurarti di utilizzare il firewall WordPress giusto per il tuo sito web e uno da una fonte affidabile. Ma vediamo prima i tipi di firewall.
Livello di applicazione
Questo tipo di firewall WordPress funziona come filtro per il traffico una volta atterrato sul tuo sito WordPress. Il visitatore, in questo caso, riceverebbe i file richiesti dal server, ma prima che tutto abbia la possibilità di caricarsi, il firewall si mette in funzione.
Confronta i dati dei visitatori con le sue regole e determina se devono essere espulsi o meno. Questa non è una cattiva opzione per i firewall in quanto ti consente comunque di filtrare il traffico buono e cattivo attraverso il tuo sito. Tuttavia, il firewall di WordPress consente comunque a tutto il traffico di arrivare prima che esegua qualsiasi tipo di valutazione.
Livello DNS
Questo tipo di firewall WordPress instrada il traffico attraverso un server proxy cloud. Poiché funziona al di fuori del tuo server, aiuta anche a migliorare le prestazioni del sito web . Pensa al processo in questo modo:
- Qualcuno tenta di visitare il tuo sito web.
- Prima che arrivi da qualche parte, il firewall a livello DNS li ferma.
- È un po’ come un buttafuori in un club. Controlla l’ID dell’utente e qualsiasi cronologia di espulsione o inserimento nella black list dalla comunità. Quindi, concede o nega l’ingresso di conseguenza.
- A seconda di quante minacce colpiscono il tuo sito web al giorno, questo potrebbe risparmiare molto tempo al tuo server nella gestione di richieste HTTPS non necessarie.
Quindi, il firewall WordPress a livello DNS non protegge solo il tuo sito web a distanza, ma salva anche il tuo server da una pressione eccessiva.
Firewall Apache
Anche il tuo server Apache potrebbe utilizzare la protezione firewall. Per installarlo, dovrai utilizzare il modulo mod_security e aggiungere quanto segue al file .htaccess :
# yum install mod_security # /etc/init.d/httpd restart
In questo modo, ridurrai la possibilità che il tuo sito venga colpito da scripting tra siti, dirottamenti di sessione e altri attacchi che prendono di mira il server.
Quali sono i migliori strumenti firewall per WordPress?
Come puoi vedere, ci sono diversi modi in cui puoi utilizzare un firewall per proteggere il tuo sito WordPress. Ma in termini di strumenti, quali è meglio usare? Bene, consideriamo le varie opzioni.
I migliori plugin firewall per WordPress
Per iniziare, concentriamoci sui migliori plugin firewall di WordPress.
MalCare
MalCare è un plugin di sicurezza e firewall all-in-one per WordPress. Se il tuo sito web è già completamente blindato e stai semplicemente cercando un componente aggiuntivo del firewall, dai un’occhiata al plugin premium di MalCare .
Gli algoritmi di MalCare vanno ben oltre la corrispondenza delle firme per rilevare anche gli hack più complessi che generalmente non vengono rilevati in altri popolari plugin di sicurezza.
Oltre a fornire una copertura firewall istantanea, hai il controllo totale su come funziona, rendendo questo uno dei firewall più semplici ed efficaci disponibili per WordPress.
All in one security and firewall
All In One WP Security & Firewall è un plugin di sicurezza WordPress completo. Oltre a fornire una copertura rigorosa sulla sicurezza del tuo sito, questo firewall WordPress ti offre anche la possibilità di scegliere quanto controllo desideri, con impostazioni da Base ad Avanzate.
Una volta configurate le regole personalizzate che desideri applicare al firewall, questo scriverà il codice nel file .htaccess e rimuoverà le minacce dal sito prima che abbiano la possibilità di causare danni.
webARX
webARX non è solo un plugin, è anche una piattaforma che puoi utilizzare per aggiungere un firewall leggero per applicazioni web al tuo sito web. Puoi anche usarlo per aggiornare plugin e software, visualizzare l’attività, aggiungere 2FA e un avviso sui cookie, aggiungere reCaptcha, bloccare malware e altro ancora.
WebARX può anche essere utilizzato per visualizzare tutti i siti web all’interno di un’unica dashboard, bloccare il traffico dannoso e abilitare il monitoraggio dei tempi di attività.
BulletProof Security
BulletProof Security è un plugin di sicurezza WordPress all-in-one con un firewall incluso. Ciò che rende questo particolarmente speciale, tuttavia, è il rilevamento e il blocco immediato delle minacce on site. Quindi, cose come spam e SQL injection sono attentamente monitorate oltre al lavoro di filtraggio generale svolto da un firewall.
Inoltre, controlla le minacce note dei plugin (come la vulnerabilità timthumb), che protegge il tuo sito da una delle aree che tende a renderlo debole quando non viene tenuto sotto controllo.
NinjaFirewall
Se stai cercando un plugin per WordPress che sposti il firewall dal server e nel cloud, NinjaFirewall è una buona scelta. Questo plugin monitora tutte le richieste HTTPS prima del tuo sito WordPress, impedendo alle minacce note di metterci piede. Inoltre viene fornito con protezione da brute force, monitoraggio dei file e avvisi sul traffico in tempo reale.
Shield Security
Un altro plugin da raccomandare è Shield Security . Questo firewall per applicazioni web, specifico per WordPress, ovviamente, si concentra solo sul filtraggio del traffico a livello di WordPress.
Non otterrai alcuna protezione Apache tramite .htaccess né impedirai a tutte le minacce di arrivare a livello di server proxy cloud. Detto ciò, questo plugin firewall funziona ancora bene insieme alle sue altre funzionalità di sicurezza e semplifica anche la configurazione del firewall.
Il miglior firewall software
Come puoi vedere, gran parte di ciò che ottieni con i plugin firewall di WordPress è protezione a livello di applicazione e server. Tuttavia, ci sono altre soluzioni che possono stare salvaguardare il tuo sito e proteggerlo molto prima nel processo. Ecco alcune buone soluzioni software di firewall WordPress:
Cloudflare WAF
Cloudflare WAF ha un enorme spazio di archiviazione di dati da cui estrarre (2,9 milioni di richieste HTTP vengono elaborate ogni secondo), il che lo rende una soluzione firewall ultra potente per i siti web WordPress.
Oltre ad aiutarti a filtrare il traffico dannoso, puoi utilizzare questo strumento per la protezione da brute force e monitoraggio dello spam. Fornisce anche un servizio che interviene se si verifica un attacco DDoS.
SiteLock WAF
Vuoi un firewall WordPress che non solo fermi il traffico dannoso, ma migliori anche le prestazioni del tuo sito web? In tal caso controlla il firewall TrueShield di SiteLock. Richiede solo pochi minuti di configurazione, ma poi avrai una protezione firewall premium insieme al supporto 24 ore su 24, 7 giorni su 7 nel caso qualcosa dovesse andare storto.
Sucuri WAF
Sucuri WAF è un’altra raccomandazione per un firewall di WordPress. Sebbene Sucuri offra un plugin di sicurezza WordPress scaricabile gratuitamente, il firewall basato su cloud richiede un aggiornamento premium. Ma c’è una buona ragione per questo.
Oltre ad avere un firewall, ottieni anche un certificato SSL, software antivirus, protezione da malware e DDoS, una CDN, patch virtuali, monitoraggio del brand e altro ancora. ss che consigliano di utilizzare in aggiunta alla loro soluzione.
I firewall di WordPress mantengono davvero sicuro il tuo sito?
Ovviamente, qui si è parlato molto di cosa fanno i firewall di WordPress in termini di protezione del tuo sito web. I vantaggi sono evidenti:
- I firewall di WordPress sono generalmente facili da configurare . Anche con la configurazione personalizzata, non dovrebbero volerci più di qualche minuto.
- Con i plugin di WordPress e i provider di terze parti compatibili con WordPress, non mancano le opzioni per installare un firewall sul tuo server .
- Puoi implementare firewall nei punti di controllo chiave che ritieni abbiano bisogno di protezione: il server, l’applicazione, la porta d’ingresso e il backend.
- Poiché i fornitori di sicurezza monitorano grandi quantità di minacce , fare affidamento su di loro per alimentare le regole del firewall garantisce che il tuo sito web sia in una buona posizione per proteggersi.
Detto questo, un firewall WordPress non può essere l’unica soluzione del tuo sito. Gli hacker sono molto intelligenti e conoscono troppi metodi per entrare in WordPress, e questo implica ingannare i firewall mascherando le loro identità.
Questo è il motivo per cui le vulnerabilità zero-day sono un evento così spaventoso quando compaiono. C’è anche la questione delle prestazioni. Alcuni firewall a livello di applicazione sono semplicemente troppo drenanti. Se vuoi proteggere il tuo sito e preservare le prestazioni, dovrai inversite per farlo nel cloud.
In conclusione: un firewall WordPress è un elemento essenziale della sicurezza del tuo sito. Ma fai attenzione a chi lo affidi e come lo sostieni con altre misure di sicurezza.
Buon lavoro.
