Jak dodatkowo chronić swoją stronę przed atakami hakerów?

Ten artykuł powstał dla:

Według badań przeprowadzonych przez dostawcę domen i hostingu: cyber_Folks przeciętna liczba ataków na stronę w Polsce to ok. 500 prób miesięcznie. Oznacza to, że twoja strona może być celem cyberprzestępców aż 6 tysięcy razy w roku. Sporo, prawda? A pamiętajmy, że te dane odnoszą się do wykrytych i zatrzymanych prób ataku. Realnie może być ich zdecydowanie więcej. Statystyki mówią same za siebie, dlatego o zagrożeniach oraz roli, jaką w tym całym procesie chronienia się przed nimi odgrywa dobra firma hostingowa, pisaliśmy na Spider's Webie już nie raz, chociażby przy okazji mojego tekstu o trzech zagrożeniach dla domeny, z których większość nie zdawała sobie sprawy, do którego w tym miejscu odsyłam.

Jak widać, niebezpieczeństw, które tylko czyhają na nasze potknięcia, jest każdego dnia nawet kilkaset. Co zatem zrobić, żeby jako właściciel strony lub jej twórca móc w końcu spać spokojnie? Warto próbować się przed atakami chronić na kilku płaszczyznach, począwszy od ochrony danych (częste aktualizacje WordPressa, regularne kopie zapasowe, dedykowane wtyczki security, silne hasła, certyfikaty SSL - pisałem o tym szczegółowo tutaj) aż po dokładne zaznajomienie się z pojęciami cybersquattingu, typosquattingu czy ataku homograficznego.

Lista zagrożeń jest długa, ale spokojnie! Nie jesteś w tym sam. Bezpieczeństwo strony to też zadanie dla twojego dostawcy hostingu. Rzetelna firma powinna nie tylko zapewnić odpowiednią wydajność strony, ale też wesprzeć cię merytorycznie i co najważniejsze - dostarczyć odpowiednie narzędzia, dzięki którym będziesz mógł zadbać lepiej o jej bezpieczeństwo. Jednym z takich narzędzi jest właśnie aplikacja WAF, czyli Web Application Firewall.

Web Application Firewall to system dodatkowej ochrony strony, bloga lub sklepu internetowego, który współpracuje m.in. z WordPressem, Joomla! i innymi popularnymi systemami opartymi o PHP.

Jego zadaniem jest wykrywanie niepożądanych żądań i budowanie na ich podstawie listy niebezpiecznych adresów IP. WAF analizuje przychodzące żądania i ocenia, czy stanowią one zagrożenie dla strony. Synchronizuje także listy wiele razy dziennie.

O jakie ataki chodzi? Są to przede wszystkim:

W wypadku wykrycia złamanej reguły adres atakującego trafia na czarną listę. Stworzone przez WAF tzw. czarne listy są współdzielone i wystarczy, że atakujący zostanie przyłapany na jednej próbie ataku, a wszyscy korzystający z aplikacji będą mogli się przed nim ustrzec, nawet jeśli wcześniej nie mieli z nim żadnej styczności.

A co z brute force? Dla tych, którzy nie wiedzą, jest to jedna z popularniejszych technik łamania haseł. Ta prosta metoda polega na wielokrotnym sprawdzeniu wszystkich możliwych kombinacji zabezpieczenia, która w efekcie (przynajmniej teoretycznie) pozwala na odgadnięcie haseł. Na szczęście WAF oprócz wspomnianego filtrowania żądań na podstawie ich treści i pochodzenia, weryfikuje również ich częstotliwość i od razu wykrywa tego rodzaju próby ataku. System chroni przed atakami brute force na wszelkie aplikacje, w tym na WordPress, PrestaShop, Joomla!, Drupal. W ten sposób zmniejszasz szanse na włamanie się np. do kokpitu.

Wiesz już, że każdego dnia w kierunku naszych stron wysyłane jest mnóstwo różnego rodzaju żądań. Oczywiście zdecydowana większość z nich to nasi użytkownicy, którzy poszukują ciekawej treści lub dotarli tu, żeby coś kupić. Wiesz również, że tych niebezpiecznych żądań również nie brakuje. WAF potrafi je umiejętnie odróżnić. W jaki sposób?

Ruch w pierwszej kolejności trafia na serwer, skąd jest kierowany do docelowej strony internetowej. Zanim jednak tam dotrze, do akcji wkracza system WAF, który analizuje dokładnie pochodzenie ruchu, częstotliwość i zawartość poszczególnego żądania. W pierwszej kolejności wychwytuje on niepokojące IP, które następnie jest oceniane. WAF skanuje całe żądanie, analizując źródłowy adres IP, badając revDNS, adres url, skanując całą tablicę GET i POST. Jeśli budzi ono jakiekolwiek wątpliwości jest automatycznie blokowane, a w niektórych przypadkach adres IP zostaje wpisany na czarną listę, o której pisałem wcześniej.

To działanie świetnie obrazuje poniższy schemat.

Aplikacja w ramach hostingu cyber_Folks nie wymaga żadnych dodatkowych opłat, podobnie jak mod_security (pierwszoetapowy mechanizm filtrujący żądania) i jest dostępna w ramach pakietów hostingowych WordPressa i PrestaShop. Niepotrzebna jest również specjalna instalacja, bo kiedy już korzystasz z ich hostingu, to aktywować ją możesz w kilka sekund z poziomu DirectAdmin.

Dzięki temu korzystanie z WAF nie wymaga żadnej zaawansowanej wiedzy programistycznej, a wszystko robi się w panelu. Znajdziesz tam też dostęp do statystyk z mapą, która przedstawia kierunki ataków na twoją stronę www. Dzięki temu wiesz, kiedy i skąd wykryto podejrzany ruch i co dalej się z nim stało.

Konsekwencje ataku hakerskiego mogą być naprawdę dotkliwe i wie to każdy, kto choć raz stał się jego ofiarą. Począwszy od poniesienia sporych strat finansowych, przez czas poświęcony na czyszczenie strony ze spamerskich komentarzy, a na karach za ujawnione danych osobowych kończąc.

Muszę cię jednak zmartwić, ponieważ żadna technologia nie gwarantuje stuprocentowej ochrony przed atakiem. WAF też nie da ci tej pewności. To narzędzie, które (razem z innymi działaniami po twojej stronie, jak i po stronie twojego hostingodawcy) pomoże znacznie poprawić barierę ochronną twojej strony i zmniejszyć jej ekspozycję na ataki.

Materiał powstał we współpracy z marką Cyberfolks.