Assegurar la seguretat de WordPress és més crucial que mai. Segons w3techs, WordPress ja representa el 63% del mercat de llocs web gestionats.
Aquest ús generalitzat de WordPress presenta un objectiu lucrat per a actors maliciosos que empleen eines automatitzades (bots) per identificar vulnerabilitats i realitzar atacs.
Com destaca el 10è informe anual d’Imperva sobre Bots Maliciosos, el percentatge de trànsit no humà ha augmentat significativament l’últim any, assolint el trànsit automatitzat de Bots Mals un 30% del total:
Però no et preocupis! La infraestructura de tallafocs de Wetopi està dissenyada per protegir-te d’aquests actors maliciosos.
En aquesta entrada describim les estratègies implementades en la nostra infraestructura de tallafocs per protegir el teu lloc.
Table of Contents
- Com bloquejar el trànsit de bots a WordPress
- Tallafocs d’Infraestructura per a WordPress
- Bunker Guard: Un gestor de polítiques de seguretat compartit
- Regles de blocatge de tallafocs per a WordPress
- Mitigació d’atacs DDoS
Com bloquejar el trànsit de bots a WordPress
Hi ha alguns extensions per a WordPress capaços de filtrar el trànsit, com ara WordFence, iThemes Security, All In One WP Security & Firewall, etc. Tanmateix, el seu principal problema és l’eficiència. Per què?
¡WordPress no està dissenyat per filtrar el trànsit!
Les extensions de tallafocs de WordPress depenen del motor PHP i la base de dades. Tot i que són efectius en el filtrat, no poden fer-ho eficientment a causa del seu consum de recursos, especialment sota la pressió d’un atac.
Si vols que el teu lloc de WordPress funcioni ràpidament, no pots delegar-li una tasca tan intensiva com gestionar el control de cada sol·licitud de trànsit.
A Wetopi, abordem aquesta tasca proporcionant una infraestructura equipada amb tallafocs de frontend específicament dissenyats per a la seguretat de WordPress.
Tallafocs d’Infraestructura per a WordPress
Les tasques de filtrat i blocatge del trànsit es realitzen en els tallafocs de frontend. Sempre en una etapa prèvia, abans d’arribar al teu servidor de WordPress. A més, aquests trallafocs són redundants en cadascuna de les múltiples xarxes d’accés.
Bunker Guard: Un gestor de polítiques de seguretat compartit
A Wetopi, hem desenvolupat el nostre propi sistema de polítiques de seguretat, Bunker Guard, dissenyat per centralitzar regles i decisions tant de la nostra xarxa de servidors de WordPress com de fonts externes dedicades a la seguretat.
Bunker Guard analitza el trànsit dirigit a tots els servidors de WordPress de Wetopi.
Aquest coneixement es comparteix a tota la nostra xarxa.
Els tallfocs adopten mesures de seguretat de forma dinàmica, basades en sol·licituds, i proactives, a partir d’experiències prèvies i de fonts externes dedicades a la seguretat.
I aquí hi ha un aspecte valuós: tota la nostra xarxa de servidors de WordPress comparteix i es beneficia d’aquest coneixement. En altres paraules, quan s’identifica i bloqueja un atac a un lloc web de WordPress, la regla de filtrat creada protegirà tots els llocs web allotjats a Wetopi.
Regles de blocatge de tallafocs per a WordPress
El nostre Bunker Guard treballa amb dues tècniques de blocatge: el “Perfil d’Aplicació”, basat en el trànsit actiu actual, i la “Llista Negra externa” basada en fonts de seguretat externes.
Perfilat d’aplicació heurística
Analitzem totes les sol·licituds de trànsit per blocar aquelles que no s’ajustin al perfil de el teu WordPress. La clau és que Wetopi serveix exclusivament trànsit de WordPress.
Exemple: Si un cercador maliciós realitza sol·licituds per veure si el teu lloc web fa servir Joomla, el bloquegem directament.
A wetopi només servim WordPress!
Servir exclusivament trànsit de WordPress és un dels nostres avantatges competitius.
Detecció de signatures
Una altra tècnica comuna per bloquejar sol·licituds malicioses és la Detecció de Signatures. Tot el nostre trànsit d’entrada de xarxa s’inspecciona abans d’arribar a un servidor de WordPress. Utilitzant tècniques basades en patrons i signatures, bloquegem sol·licituds malicioses i patrons d’atac.
Protecció contra atacs de força bruta
Per defecte, WordPress permet intents d’inici de sessió il·limitats, la qual cosa pot deixar el teu lloc vulnerable a atacs de força bruta i de diccionari. El nostre tallafocs t’ajuda a mitigar aquest risc llimitant el nombre d’intents d’inici de sessió.
Llista negra de fonts externes
Gràcies als Llistats d’IP de Ciberdelictes de FireHOL, mantenim llistes de blocatge de trànsit permanentment actualitzades. Aquestes llistes negres estan relacionades principalment amb atacs, serveis en línia abusius, malwares, botnets, intrusió en servidors i altres activitats relacionades amb el ciberdelicte.
Les llistes negres s’actualitzen minut a minut, contenint una mitjana de 850,255,680 IPs.
Mitigació d’atacs DDoS
Els nostres centres de dades compten amb cobertura per a la mitigació d’atacs DDoS mitjançant l’ús de tecnologia de filtrat selectiu.
El mètode selectiu filtra el trànsit rebut, permetent que només els paquets legítims arribin als servidors de WordPress, bloquejant el trànsit il·legítim.
Fase d’anàlisi de DDoS
Per detectar atacs, el trànsit enviat pels encaminadors es monitoritza en temps real. Es realitza una comparació contínua de les signatures dels atacs. Si es detecten similituds, la mitigació s’activa automàticament.
L’anàlisi de les signatures es realitza en diversos protocols, com ara: DNS, ICMP, “fragmentació IP”, “nul·la” i “privada”, “nul·la TCP”, RST, SYN , ACK, UDP, …
Fase d’aspiració de DDoS
Per canalitzar un atac de denegació de servei, es requereix una gran capacitat de xarxa per a suportar la càrrega. Gràcies a la xarxa de 15 Tbit/s del nostre proveïdor de centre de dades, la infraestructura és capaç d’absorbir una gran quantitat de trànsit en atacs. La capacitat total de mitigació és superior a 4 Tbit/s.
Fase de mitigació de DDoS
La mitigació són els mitjans i mesures preses per mitigar els efectes negatius d’un atac DDoS en un servidor. Mitigar consisteix en filtrar el trànsit per permetre només el trànsit legítim.
La mitigació combina diferents filtres, cadascun dels quals té una funció específica. Aquesta tecnologia desvia el trànsit per analitzar-lo i només permet el pas del trànsit legítim.
Garantia “Lliure de Hackejos”
Com si tot això no fos suficient, a wetopi ens comprometem a resoldre qualsevol problema de seguretat de forma gratuïta i immediata amb la garantia “Lliure de Hackejos” inclosa a la nostra política de servei.
Per accedir a la cobertura d’aquesta garantia, és necessari:
- Contractar un pla que inclogui servidors de mida “Medium” o superior.
- Adoptar precaucions bàsiques per protegir-te a tu i al teu lloc web de qualsevol contingut nociu o perjudicial: és necessari mantenir actualitzades les actualitzacions que contenen parches de seguretat en Extensions, Temes i WordPress Core.
La seguretat per a WordPress requereix un servidor segur
Probablement ja sàpigues que la seguretat no acaba en aquest directori al servidor on tens allotjat el teu WordPress. I és que la cridada pila de serveis continua per sota del teu lloc web servit amb WordPress.
Hi ha molts components i serveis que contribueixen a ampliar l’angle del cridat Vector d’Atac!
A wetopi ens ocupem de la seguretat del teu servidor. Al poder treballar exclusivament amb WordPress, podem automatitzar eficientment tot el procés d’actualització del teu servidor. En aquesta altra entrada et mostrem com ho fem: regles bàsiques per a la seguretat del lloc web de WordPress.
Resumidament, som uns techies apassionats per WordPress que hem creat Wetopi, un Hosting WordPress Gestionat, per minimitzar la fricció a la que tot professional s’enfronta en treballar i allotjar projectes WordPress.
Inclou servidors de desenvolupament Gratis.
No cal tarjeta de crèdit.
Aquests articles et poden interessar:
-
Capçaleres HTTP de Seguretat per a WordPress
-
Actualitza amb seguretat per mantenir WordPress protegit
-
Una solució de còpies de seguretat completa
-
Escaneig de Malware per al teu WordPress
-
2FA: què és i per què la necessites
-
Com connectar per SSH i accedeir al meu servidor de manera segura?
-
Alta Disponibilitat per a WordPress
-
Instal·lar un Certificat HTTPS Gratuït a Wetopi
-
Dues Regles Bàsiques Per a Preservar La Seguretat de WordPress