How WordPress Firewalls Work And Improve The Security Of Your Website

वर्डप्रेस फायरवॉल वेब एप्लिकेशन फायरवॉल (WAF) हैं जो मुख्य रूप से वर्डप्रेस वेबसाइटों की सुरक्षा के लिए बनाए गए हैं।

WAF वेब सुरक्षा उद्योग के लिए अपेक्षाकृत नए हैं। यह गाइड बताता है कि फ़ायरवॉल क्या हैं और वे WAF कैसे बन गए। यह बाज़ार में उपलब्ध विभिन्न प्रकार के वर्डप्रेस फ़ायरवॉल और उनके संचालन के तरीके का भी वर्णन करता है।

‎

फ़ायरवॉल के पीछे का विचार

फ़ायरवॉल दो या दो से अधिक नेटवर्क के बीच स्थापित किया जाता है ताकि प्रत्येक नेटवर्क के आने वाले और जाने वाले ट्रैफ़िक को प्रबंधित किया जा सके। यह एक विश्वसनीय नेटवर्क और एक असुरक्षित नेटवर्क के बीच एक अवरोध के रूप में कार्य करता है।

फ़ायरवॉल को आम तौर पर पारंपरिक कॉन्फ़िगरेशन में इंटरनेट कनेक्शन और आंतरिक नेटवर्क के बीच लागू किया जाता है। इसका उपयोग नेटवर्क को आने वाले इंटरनेट खतरों से बचाने के लिए किया जाता है। इसके अलावा, इसका उपयोग यह नियंत्रित करने के लिए किया जाता है कि कौन इंटरनेट एक्सेस कर सकता है। अगर आप घर पर WiFi राउटर का इस्तेमाल करते हैं, तो राउटर आपके घर के फ़ायरवॉल के रूप में भी काम करता है। आज लगभग सभी आवासीय वाई-फाई राउटर में फ़ायरवॉल शामिल है।

‎

पहली पीढ़ी के फ़ायरवॉल - पैकेट फ़िल्टरिंग का वेब एप्लिकेशन फ़ायरवॉल में विकास

शुरुआत में, फ़ायरवॉल का उद्देश्य नेटवर्क ट्रैफ़िक को प्रतिबंधित और नियंत्रित करना था। वे केवल पैकेट फ़िल्टरिंग करते थे और ट्रांसमिशन के पेलोड को नहीं समझते थे। यदि आपने अपने नेटवर्क पर कोई वेबसाइट होस्ट की है, तो आपको फ़ायरवॉल के माध्यम से पोर्ट 80 को सार्वजनिक रूप से दिखाना होगा।

एक बार पोर्ट खुल जाने पर, फ़ायरवॉल किसी भी प्रकार के आने वाले ट्रैफ़िक को, जिसमें दुर्भावनापूर्ण ट्रैफ़िक भी शामिल है, उससे होकर गुजरने की अनुमति देता है।

‎

दूसरी पीढ़ी – स्टेटफुल फ़िल्टरिंग

दूसरी पीढ़ी के फायरवॉल OSI मॉडल की परत 4 पर काम करते थे। इससे पता चलता है कि वे यह निर्धारित करने में सक्षम हैं कि वे किस तरह के कनेक्शन का प्रबंधन कर रहे हैं। उदाहरण के लिए, यदि कोई पैकेट नया कनेक्शन स्थापित कर रहा है या यदि कनेक्शन पहले ही स्थापित हो चुका है, आदि।

इसके बावजूद, दूसरी पीढ़ी के फ़ायरवॉल में ट्रैफ़िक को विनियमित करने में कई समस्याएँ हैं। व्यवस्थापक कम से कम कनेक्शन स्थिति के आधार पर फ़ायरवॉल नियम निर्धारित कर सकते हैं।

‎

‎‎

‎तीसरी पीढ़ी के फ़ायरवॉल में एप्लीकेशन लेयर फ़िल्टरिंग

आज के फ़ायरवॉल 1990 के दशक के मध्य में शुरू किए गए थे। आधुनिक फ़ायरवॉल तकनीक प्रोटोकॉल और ऐप्स के बारे में जानती है। इसलिए, तीसरी पीढ़ी के फ़ायरवॉल यह निर्धारित कर सकते हैं कि पैकेट का पेलोड FTP सर्वर के लिए है या नहीं और अनुरोध क्या है, या यह HTTP कनेक्शन अनुरोध है या नहीं और अनुरोध क्या है।

इस प्रौद्योगिकी के कारण सीमित दायरे वाले फायरवॉल का निर्माण हुआ, जैसे वेब अनुप्रयोग फायरवॉल।

‎ ‎

‎

वर्डप्रेस फ़ायरवॉल / वेब एप्लिकेशन फ़ायरवॉल

वर्डप्रेस फ़ायरवॉल योजनाबद्ध

वेब एप्लीकेशन फायरवॉल का दायरा सीमित है। नेटवर्क पर, उनका काम वेबसाइट को खतरनाक हैकर हमलों से बचाना है।

वर्डप्रेस फ़ायरवॉल एक वेब एप्लिकेशन फ़ायरवॉल है जिसे विशेष रूप से वर्डप्रेस की सुरक्षा के लिए बनाया गया है। जब वर्डप्रेस फ़ायरवॉल को वर्डप्रेस साइट पर लागू किया जाता है, तो यह इंटरनेट से आने वाले सभी HTTP अनुरोधों का विश्लेषण करता है।

जब HTTP अनुरोध का पेलोड दुर्भावनापूर्ण होता है, तो वर्डप्रेस फ़ायरवॉल कनेक्शन को समाप्त कर देता है।

‎

वर्डप्रेस फ़ायरवॉल कैसे कार्यान्वित किए जाते हैं?

वर्डप्रेस फ़ायरवॉल हानिकारक अनुरोधों को एंटी-मैलवेयर सॉफ़्टवेयर के समान तरीके से पहचानता है। हस्ताक्षर ज्ञात हमलों का एक संग्रह हैं, और जब HTTP अनुरोध का पेलोड हस्ताक्षर से मेल खाता है, तो अनुरोध दुर्भावनापूर्ण होता है।

अधिकांश वर्डप्रेस फ़ायरवॉल हमले के हस्ताक्षरों के संशोधन की अनुमति नहीं देते हैं। लेकिन, वेब एप्लिकेशन फ़ायरवॉल जो वर्डप्रेस-केंद्रित नहीं हैं, वे अत्यधिक समायोज्य हैं। आप उन्हें अपनी वेबसाइट के लिए सटीक रूप से अनुकूलित कर सकते हैं, चाहे आप वर्डप्रेस या कस्टम समाधान का उपयोग कर रहे हों। आप अपनी खुद की सुरक्षा नीतियाँ, अपवाद आदि डिज़ाइन कर सकते हैं। वेब एप्लिकेशन फ़ायरवॉल को कॉन्फ़िगर करते समय, वैध ट्रैफ़िक को रोकने के लिए सावधानी बरतनी चाहिए।

इसके अलावा, कुछ वेब एप्लिकेशन फ़ायरवॉल में ऑटो-लर्न तकनीकें होती हैं। यह हेयुरिस्टिक तकनीक आपकी वेबसाइट के ट्रैफ़िक की जांच करके यह निर्धारित करती है कि कौन से विज़िटर वैध हैं और कौन से नहीं।

‎

विभिन्न वर्डप्रेस फ़ायरवॉल प्रकार

फ़ायरवॉल वर्डप्रेस प्लगइन्स

अधिकांश वर्डप्रेस फ़ायरवॉल जो स्वयं-होस्ट किए गए हैं, वे वर्डप्रेस प्लगइन हैं। जब प्लगइन फ़ायरवॉल स्थापित होता है, तो आपकी वेबसाइट पर प्राप्त प्रत्येक HTTP अनुरोध को निम्न प्रकार से संभाला जाता है:

सबसे पहले, इसे वेब सर्वर सेवा (Apache या Nginx) द्वारा प्राप्त किया जाता है।
इसके बाद यह वर्डप्रेस बूटस्ट्रैप/लोड प्रक्रिया आरंभ करता है, जो वर्डप्रेस को आरंभीकृत करता है (wp-config.php, डेटाबेस कनेक्शन, वर्डप्रेस सेटिंग्स आदि को आरंभीकृत करता है)।
इससे पहले कि वर्डप्रेस वास्तव में अनुरोध को संसाधित करे, वर्डप्रेस फ़ायरवॉल प्लगइन इसे पार्स करता है।

वर्डप्रेस फ़ायरवॉल प्लगइन्स अपनी कम लागत और उपयोगकर्ता-मित्रता के कारण SMBs के लिए एकदम सही हैं। साथ ही, उनमें से अधिकांश में मैलवेयर स्कैनर एकीकृत हैं। फिर भी, ये फ़ायरवॉल आपकी साइट पर सक्रिय हैं और वर्डप्रेस द्वारा शुरू किए गए थे। इसलिए, यदि फ़ायरवॉल सक्रिय होने से पहले आपकी साइट पर कोई भेद्यता है, तो संभावना है कि हमलावर आपकी वर्डप्रेस साइट तक पूरी पहुँच प्राप्त कर सकते हैं।

‎

वर्डप्रेस वेब अनुप्रयोग के लिए फ़ायरवॉल उपकरण

सामान्य रूप से वेब अनुप्रयोगों के लिए फ़ायरवॉल का उपयोग वर्डप्रेस फ़ायरवॉल के रूप में भी किया जा सकता है। यह हार्डवेयर या सॉफ़्टवेयर का एक समर्पित टुकड़ा हो सकता है।

अपनी वर्डप्रेस वेबसाइट और इंटरनेट कनेक्शन के बीच जेनेरिक वेब एप्लिकेशन फ़ायरवॉल स्थापित करना। इसलिए, आपकी वर्डप्रेस साइट पर भेजे जाने वाले प्रत्येक HTTP अनुरोध को पहले WAF के माध्यम से जाना चाहिए। ये WAF निस्संदेह वर्डप्रेस फ़ायरवॉल प्लगइन्स की तुलना में अधिक सुरक्षित हैं। दुर्भाग्य से, वे महंगे हैं और उन्हें प्रबंधित करने के लिए विशेष तकनीकी ज्ञान की आवश्यकता होती है। इसलिए, उनका उपयोग छोटे उद्यमों द्वारा शायद ही कभी किया जाता है।

‎

वर्डप्रेस वेबसाइट क्लाउड फ़ायरवॉल (SaaS)

वर्डप्रेस क्लाउड फ़ायरवॉल, स्व-होस्टेड फ़ायरवॉल प्लगइन्स या उपकरणों के विपरीत, आपके वेब सर्वर के समान नेटवर्क पर तैनात करने की आवश्यकता नहीं है। यह एक इंटरनेट सेवा है जो प्रॉक्सी सर्वर के रूप में कार्य करती है, जो आपके डोमेन पर अग्रेषित करने से पहले आपकी वेबसाइट के ट्रैफ़िक को फ़िल्टर करती है।

ऑनलाइन वर्डप्रेस फ़ायरवॉल का उपयोग करके, आपके डोमेन के DNS रिकॉर्ड ऑनलाइन WAF को इंगित करने के लिए कॉन्फ़िगर किए जाते हैं। इसका मतलब है कि आपकी वेबसाइट के विज़िटर ऑनलाइन वर्डप्रेस फ़ायरवॉल से बात करते हैं, न कि सीधे आपकी वर्डप्रेस साइट से।

एक सामान्य ऑनलाइन फ़ायरवॉल के कई क्षेत्र होते हैं। आपकी वर्डप्रेस साइट को हैक हमलों से सुरक्षित रखने के अलावा, यह कैशिंग सर्वर और कंटेंट डिलीवरी नेटवर्क (CDN) के रूप में भी काम कर सकता है। ऑनलाइन वेब एप्लिकेशन फ़ायरवॉल की तुलना स्व-होस्टेड जेनेरिक वेब एप्लिकेशन फ़ायरवॉल से करने पर पता चलता है कि ऑनलाइन वेब एप्लिकेशन फ़ायरवॉल भी बहुत किफ़ायती हैं।

‎

क्लाउड फ़ायरवॉल/WAF को बायपास किया जा सकता है।

WAF द्वारा आपके WordPress साइट पर ट्रैफ़िक अग्रेषित करने के लिए, ऑनलाइन WordPress फ़ायरवॉल की एक बाध्यता है कि आपका वेब सर्वर इंटरनेट पर उपलब्ध होना चाहिए। इसका मतलब यह है कि जो कोई भी आपके वेब सर्वर का IP पता जानता है, वह अभी भी सीधे उससे संवाद कर सकता है।

इसलिए, गैर-लक्षित वर्डप्रेस हमलों में, जिसमें हमलावर संवेदनशील साइटों के लिए पूरे नेटवर्क को स्कैन करते हैं, आपका वेब सर्वर और वेबसाइट सीधे पहुंच योग्य रहते हैं। ऐसे हमले का शिकार होने से बचने के लिए, आप अपने सर्वर के फ़ायरवॉल को केवल ऑनलाइन वर्डप्रेस फ़ायरवॉल से आने वाले ट्रैफ़िक का जवाब देने के लिए कॉन्फ़िगर कर सकते हैं।

‎

वर्डप्रेस फ़ायरवॉल के सामान्य प्रतिबंधों को सीमित करना शून्य-दिन भेद्यता रक्षा

HTTP अनुरोध के पेलोड को हस्ताक्षरों के डेटाबेस के विरुद्ध जाँचना सबसे प्रचलित WAF सुरक्षा तकनीकों में से एक है। इसलिए, जब कोई उपयोगकर्ता आपकी वेबसाइट तक पहुँचता है, तो WAF ज्ञात वेब हमलों के डेटाबेस के विरुद्ध पेलोड की तुलना करता है। यदि यह मेल खाता है, तो यह हानिकारक है; यदि नहीं, तो इसे अनुमति दी जाती है।

जीरो-डे वर्डप्रेस भेद्यता की स्थिति में, संभावना है कि आपका वर्डप्रेस फ़ायरवॉल हमले को रोक नहीं पाएगा। इस वजह से, विक्रेता की जवाबदेही महत्वपूर्ण है, और आपको केवल उत्तरदायी और प्रतिष्ठित कंपनियों के सॉफ़्टवेयर का उपयोग करना चाहिए। यह बेहतर है कि विक्रेता जितनी जल्दी हो सके फ़ायरवॉल नियमों को बदल सके।

‎

वेब अनुप्रयोग फ़ायरवॉल को बायपास करना

वेब एप्लीकेशन फ़ायरवॉल किसी भी अन्य सॉफ़्टवेयर की तरह ही है। उनकी अपनी समस्याएँ हैं और उनमें कमज़ोरियाँ भी हो सकती हैं। वास्तव में, वेब एप्लीकेशन फ़ायरवॉल सुरक्षा को दरकिनार करने के लिए इस्तेमाल की जाने वाली रणनीतियों पर चर्चा करने वाले बहुत सारे श्वेत पत्र और लेख हैं। फिर भी, जब तक विक्रेता चौकस है और समय पर ऐसी समस्याओं का समाधान करता है, तब तक सब ठीक है।

‎

क्या आपको वर्डप्रेस के साथ फ़ायरवॉल का उपयोग करना चाहिए?

निश्चित रूप से! आपको WordPress के साथ किस फ़ायरवॉल का उपयोग करना चाहिए? प्रत्येक WordPress फ़ायरवॉल के अपने फायदे और नुकसान हैं, इसलिए अपनी ज़रूरतों के हिसाब से सबसे अच्छा फ़ायरवॉल चुनें। इसलिए, भले ही आपके पास WordPress फ़ायरवॉल हो, आपको सतर्क रहना चाहिए।

वर्डप्रेस सुरक्षा के संबंध में, कोई भी फेलसेफ समाधान नहीं है। इसलिए, आपको हमेशा कठोर > निगरानी > बेहतर > परीक्षण करना चाहिए। वर्डप्रेस साइट गतिविधि रिकॉर्ड बनाए रखें, एक ठोस वर्डप्रेस बैकअप समाधान बनाएं, और वर्डप्रेस फ़ायरवॉल का उपयोग करें। ये संगठन वे हैं जिनका हम समर्थन करते हैं और जिनके साथ काम करना पसंद करते हैं:

वर्डप्रेस फ़ायरवॉल कैसे काम करते हैं और आपकी वेबसाइट की सुरक्षा में सुधार करते हैं

फ़ायरवॉल के पीछे का विचार