WordPress 防火墙是 Web 应用程序防火墙 (WAF),主要用于保护 WordPress 网站。
WAF 在网络安全行业中相对较新。本指南解释了防火墙是什么以及它们是如何成为 WAF 的。它还介绍了市场上各种类型的 WordPress 防火墙及其工作原理。
防火墙背后的想法
防火墙建立在两个或多个网络之间,用于管理每个网络的传入和传出流量。它充当可信任网络与不安全网络之间的屏障。
防火墙通常在传统配置中实现在互联网连接和内部网络之间。它用于保护网络免受传入的互联网威胁。此外,它还用于控制谁可以访问互联网。如果您在家中使用 WiFi 路由器,则路由器还可用作您家的防火墙。如今,几乎所有家用 Wi-Fi 路由器都包含防火墙。
第一代防火墙 — 数据包过滤演进为 Web 应用程序防火墙
最初,防火墙旨在限制和控制网络流量。它们仅执行数据包过滤,并不理解传输的有效负载。如果您在网络上托管网站,则必须通过防火墙将端口 80 公开给公众。
一旦端口打开,防火墙就会允许任何类型的传入流量(包括恶意流量)通过。
第二代——状态过滤
第二代防火墙在 OSI 模型的第 4 层工作。这意味着它们能够确定所管理的连接类型。例如,数据包是否正在建立新连接或连接是否已建立等。
尽管如此,第二代防火墙在流量管控方面仍存在很多问题,管理员至少可以根据连接状态定义防火墙规则。
第三代防火墙中的应用层过滤
当今的防火墙是在 20 世纪 90 年代中期推出的。现代防火墙技术能够识别协议和应用程序。因此,第三代防火墙可以确定数据包的有效负载是否用于 FTP 服务器以及请求的内容,或者它是否是 HTTP 连接请求以及请求的内容。
这项技术导致了范围有限的防火墙的创建,例如 Web 应用程序防火墙。
WordPress 防火墙 / Web 应用程序防火墙
WordPress 防火墙示意图
Web 应用程序防火墙的作用范围有限。在网络上,它们的职责是保护网站免受危险的黑客攻击。
WordPress 防火墙是专为保护 WordPress 而创建的 Web 应用程序防火墙。在 WordPress 网站上实施 WordPress 防火墙时,它会分析来自互联网的所有传入 HTTP 请求。
当 HTTP 请求的有效负载是恶意的时,WordPress 防火墙会终止连接。
WordPress 防火墙是如何实现的?
WordPress 防火墙以与反恶意软件类似的方式识别有害请求。签名是已知攻击的集合,当 HTTP 请求的有效负载与签名匹配时,该请求就是恶意的。
大多数 WordPress 防火墙不允许修改攻击签名。但是,不以 WordPress 为中心的 Web 应用程序防火墙具有高度可调整性。您可以根据您的网站精确地自定义它们,无论您使用的是 WordPress 还是自定义解决方案。您可以设计自己的安全策略、例外等。配置 Web 应用程序防火墙时,必须注意不要阻止合法流量。
此外,一些 Web 应用程序防火墙还具有自动学习技术。这种启发式技术会检查您网站的流量,以确定哪些访问者是合法的,哪些不是。
各种 WordPress 防火墙类型
防火墙 WordPress 插件
大多数自托管的 WordPress 防火墙都是 WordPress 插件。安装插件防火墙后,您的网站收到的每个 HTTP 请求都会按如下方式处理:
- 首先,它由 Web 服务器服务(Apache 或 Nginx)接收。
- 接下来,它启动 WordPress 引导/加载过程,初始化 WordPress(wp-config.php,初始化数据库连接、WordPress 设置等)。
- 在 WordPress 实际处理请求之前,WordPress 防火墙插件会对其进行解析。
WordPress 防火墙插件非常适合中小型企业,因为它们成本低廉且易于使用。此外,大多数防火墙都集成了恶意软件扫描程序。然而,这些防火墙在您的网站上处于活动状态,并且由 WordPress 启动。因此,如果在防火墙激活之前您的网站上存在漏洞,攻击者就有可能完全访问您的 WordPress 网站。
适用于 WordPress Web 应用程序的防火墙设备
一般情况下,Web 应用程序的防火墙也可用作 WordPress 防火墙。这可以是专用的硬件或软件。
在 WordPress 网站和 Internet 连接之间安装通用 Web 应用程序防火墙。因此,发送到 WordPress 网站的每个 HTTP 请求都必须首先通过 WAF。这些 WAF 无疑比 WordPress 防火墙插件更安全。不幸的是,它们成本高昂,需要专门的技术知识才能管理。因此,小型企业很少使用它们。
WordPress 网站云防火墙 (SaaS)
与自托管防火墙插件或设备不同,WordPress Cloud Firewall 不需要部署在与您的 Web 服务器相同的网络上。它是一种充当代理服务器的互联网服务,在将您的网站流量转发到您的域之前对其进行过滤。
通过使用在线 WordPress 防火墙,您的域名的 DNS 记录将配置为指向在线 WAF。这意味着您的网站访问者与在线 WordPress 防火墙对话,而不是直接与您的 WordPress 网站对话。
典型的在线防火墙具有多种用途。除了保护您的 WordPress 网站免受黑客攻击外,它还可以用作缓存服务器和内容交付网络 (CDN)。将在线 Web 应用程序防火墙与自托管通用 Web 应用程序防火墙进行比较,可以发现在线 Web 应用程序防火墙也非常具有成本效益。
可以绕过云防火墙/WAF。
为了让 WAF 将流量转发到您的 WordPress 网站,在线 WordPress 防火墙有一个限制,即您的 Web 服务器必须在互联网上可用。这意味着任何知道您的 Web 服务器 IP 地址的人仍然可以直接与其通信。
因此,在非针对性的 WordPress 攻击中,攻击者会扫描整个网络以查找易受攻击的网站,您的 Web 服务器和网站仍然可以直接访问。为了避免成为此类攻击的受害者,您可以将服务器的防火墙配置为仅回复来自在线 WordPress 防火墙的流量。
限制 WordPress 防火墙的通用限制 零日漏洞防御
根据签名数据库检查 HTTP 请求的有效负载是最流行的 WAF 保护技术之一。因此,当用户访问您的网站时,WAF 会将有效负载与已知网络攻击的数据库进行比较。如果匹配,则表示该请求是有害的;如果不匹配,则允许其通过。
如果出现零日 WordPress 漏洞,您的 WordPress 防火墙可能无法阻止攻击。因此,供应商的响应能力至关重要,您应该只使用响应迅速且信誉良好的公司的软件。如果供应商能够尽快更改防火墙规则,那就更好了。
绕过Web应用程序防火墙
Web 应用程序防火墙和其他软件一样,都有自己的问题,也可能存在弱点。事实上,有大量白皮书和文章讨论了用于规避 Web 应用程序防火墙保护的策略。不过,只要供应商细心并及时修复这些问题,一切就都没问题。
您是否应该在 WordPress 中使用防火墙?
当然!您应该使用哪种防火墙来管理 WordPress?每种 WordPress 防火墙都有优点和缺点,因此请选择最符合您需求的防火墙。因此,即使您有 WordPress 防火墙,也必须保持警惕。
关于 WordPress 安全,没有万无一失的解决方案。因此,您必须始终强化 > 监控 > 增强 > 测试。维护 WordPress 网站活动记录,创建坚如磐石的 WordPress 备份解决方案,并使用 WordPress 防火墙。我们支持并喜欢与以下组织合作: