Jak dodatkowo chronić swoją stronę przed atakami hakerów?

Lokowanie produktu

Wg WordFence samych tylko ataków na WordPress na świecie notuje się 90.000 na minutę. W Polsce wg cyberfolks.pl - strona www jest wystawiana na średnio 6 tysięcy ataków rocznie. Wystarczy jeden skuteczny. Dlaczego, mimo że wiemy o tych atakach, bezpieczeństwo w sieci nadal jest trywializowanie? 

ładna pani

Ten artykuł powstał dla:

  • właścicieli stron, którzy chcą zmniejszyć ryzyko naruszenia bezpieczeństwa swojej strony,
  • zakładających nowy biznes, którzy chcą od samego początku wdrożyć skuteczne zabezpieczenia na stronie w WordPressie,
  • początkujących twórcach stron, którzy nie mają jeszcze wysokiego poziomu wiedzy o bezpieczeństwie, ale udaje im się już realizować pierwsze zarobkowe projekty i chcą poprawić poziom bezpieczeństwa.

Ataki w sieci cię nie dotyczą? Przykro nam - jesteś w błędzie.

Według badań przeprowadzonych przez dostawcę domen i hostingu: cyber_Folks przeciętna liczba ataków na stronę w Polsce to ok. 500 prób miesięcznie. Oznacza to, że twoja strona może być celem cyberprzestępców aż 6 tysięcy razy w roku. Sporo, prawda? A pamiętajmy, że te dane odnoszą się do wykrytych i zatrzymanych prób ataku. Realnie może być ich zdecydowanie więcej. Statystyki mówią same za siebie, dlatego o zagrożeniach oraz roli, jaką w tym całym procesie chronienia się przed nimi odgrywa dobra firma hostingowa, pisaliśmy na Spider's Webie już nie raz, chociażby przy okazji mojego tekstu o trzech zagrożeniach dla domeny, z których większość nie zdawała sobie sprawy, do którego w tym miejscu odsyłam.


Przykładowe powody, dla których Twoja strona może być atakowana

- wykradzenie bazy danych i żądanie okupu,
- podszywanie się pod Ciebie (phishing),
- umieszczanie na Twojej stronie złośliwych linków,
- umieszczenie złośliwych przekierowań,
- instalacja wirusa atakującego użytkowników strony,
- niszczenie Twojej reputacji przez nieuczciwą konkurencję

Bezpieczeństwo na kilku płaszczyznach

Jak widać, niebezpieczeństw, które tylko czyhają na nasze potknięcia, jest każdego dnia nawet kilkaset. Co zatem zrobić, żeby jako właściciel strony lub jej twórca móc w końcu spać spokojnie? Warto próbować się przed atakami chronić na kilku płaszczyznach, począwszy od ochrony danych (częste aktualizacje WordPressa, regularne kopie zapasowe, dedykowane wtyczki security, silne hasła, certyfikaty SSL - pisałem o tym szczegółowo tutaj) aż po dokładne zaznajomienie się z pojęciami cybersquattingu, typosquattingu czy ataku homograficznego.

Lista zagrożeń jest długa, ale spokojnie! Nie jesteś w tym sam. Bezpieczeństwo strony to też zadanie dla twojego dostawcy hostingu. Rzetelna firma powinna nie tylko zapewnić odpowiednią wydajność strony, ale też wesprzeć cię merytorycznie i co najważniejsze - dostarczyć odpowiednie narzędzia, dzięki którym będziesz mógł zadbać lepiej o jej bezpieczeństwo. Jednym z takich narzędzi jest właśnie aplikacja WAF, czyli Web Application Firewall.

Przed czym chroni WAF?

Web Application Firewall to system dodatkowej ochrony strony, bloga lub sklepu internetowego, który współpracuje m.in. z WordPressem, Joomla! i innymi popularnymi systemami opartymi o PHP.

Jego zadaniem jest wykrywanie niepożądanych żądań i budowanie na ich podstawie listy niebezpiecznych adresów IP. WAF analizuje przychodzące żądania i ocenia, czy stanowią one zagrożenie dla strony. Synchronizuje także listy wiele razy dziennie.

O jakie ataki chodzi? Są to przede wszystkim:

  • ataki spamerskie na formularze (tzw. spam przez formularz),
  • sql injection (próby manipulacji bazami),
  • cross site scripting (próby uruchamiania wrogiego skryptu),
  • czy próby dotarcia do plików nieprzeznaczonych do publicznego dostępu np. do plików systemowych lub konfiguracyjnych,
  • próby łamania haseł np. do kokpitu WordPress

W wypadku wykrycia złamanej reguły adres atakującego trafia na czarną listę. Stworzone przez WAF tzw. czarne listy są współdzielone i wystarczy, że atakujący zostanie przyłapany na jednej próbie ataku, a wszyscy korzystający z aplikacji będą mogli się przed nim ustrzec, nawet jeśli wcześniej nie mieli z nim żadnej styczności.

 class="wp-image-1607339"
Źródło: Panel hostingowy cyberfolks.pl, interfejs WAF

Nie daj im złamać hasła!

A co z brute force? Dla tych, którzy nie wiedzą, jest to jedna z popularniejszych technik łamania haseł. Ta prosta metoda polega na wielokrotnym sprawdzeniu wszystkich możliwych kombinacji zabezpieczenia, która w efekcie (przynajmniej teoretycznie) pozwala na odgadnięcie haseł. Na szczęście WAF oprócz wspomnianego filtrowania żądań na podstawie ich treści i pochodzenia, weryfikuje również ich częstotliwość i od razu wykrywa tego rodzaju próby ataku. System chroni przed atakami brute force na wszelkie aplikacje, w tym na WordPress, PrestaShop, Joomla!, Drupal. W ten sposób zmniejszasz szanse na włamanie się np. do kokpitu.

Schemat działania? Dokładna weryfikacja każdego żądania

Wiesz już, że każdego dnia w kierunku naszych stron wysyłane jest mnóstwo różnego rodzaju żądań. Oczywiście zdecydowana większość z nich to nasi użytkownicy, którzy poszukują ciekawej treści lub dotarli tu, żeby coś kupić. Wiesz również, że tych niebezpiecznych żądań również nie brakuje. WAF potrafi je umiejętnie odróżnić. W jaki sposób?

Ruch w pierwszej kolejności trafia na serwer, skąd jest kierowany do docelowej strony internetowej. Zanim jednak tam dotrze, do akcji wkracza system WAF, który analizuje dokładnie pochodzenie ruchu, częstotliwość i zawartość poszczególnego żądania. W pierwszej kolejności wychwytuje on niepokojące IP, które następnie jest oceniane. WAF skanuje całe żądanie, analizując źródłowy adres IP, badając revDNS, adres url, skanując całą tablicę GET i POST. Jeśli budzi ono jakiekolwiek wątpliwości jest automatycznie blokowane, a w niektórych przypadkach adres IP zostaje wpisany na czarną listę, o której pisałem wcześniej.

To działanie świetnie obrazuje poniższy schemat.

 class="wp-image-1606778"
źródło: cyber_Folks

Chcę to mieć. Jak zacząć korzystać z WAF?

Aplikacja w ramach hostingu cyber_Folks nie wymaga żadnych dodatkowych opłat, podobnie jak mod_security (pierwszoetapowy mechanizm filtrujący żądania) i jest dostępna w ramach pakietów hostingowych WordPressa i PrestaShop. Niepotrzebna jest również specjalna instalacja, bo kiedy już korzystasz z ich hostingu, to aktywować ją możesz w kilka sekund z poziomu DirectAdmin.

Dzięki temu korzystanie z WAF nie wymaga żadnej zaawansowanej wiedzy programistycznej, a wszystko robi się w panelu. Znajdziesz tam też dostęp do statystyk z mapą, która przedstawia kierunki ataków na twoją stronę www. Dzięki temu wiesz, kiedy i skąd wykryto podejrzany ruch i co dalej się z nim stało.

WAF to 100% ochrony?

Konsekwencje ataku hakerskiego mogą być naprawdę dotkliwe i wie to każdy, kto choć raz stał się jego ofiarą. Począwszy od poniesienia sporych strat finansowych, przez czas poświęcony na czyszczenie strony ze spamerskich komentarzy, a na karach za ujawnione danych osobowych kończąc.

Muszę cię jednak zmartwić, ponieważ żadna technologia nie gwarantuje stuprocentowej ochrony przed atakiem. WAF też nie da ci tej pewności. To narzędzie, które (razem z innymi działaniami po twojej stronie, jak i po stronie twojego hostingodawcy) pomoże znacznie poprawić barierę ochronną twojej strony i zmniejszyć jej ekspozycję na ataki.

Materiał powstał we współpracy z marką Cyberfolks.

Lokowanie produktu
Najnowsze