Procédure
Úvod do systému LWS Protect
Nástroj LWS Protect, který je k dispozici v sekci "Zabezpečení" ovládacího panelu cPanel, umožňuje zabezpečit vaše webové stránky několika snadnými kliknutími pomocí přizpůsobení bezpečnostních pravidel, která jsou zavedena před webovým serverem vašeho hostingového balíčku.
Tato bezpečnostní pravidla se projeví, jakmile provoz dorazí před webový server, tedy daleko za Apache nebo PHP, což vám zajistí výraznou úsporu prostředků a vyšší efektivitu. Požadavky HTTP jsou analyzovány vestavěným aplikačním firewallem Fastest Cache ještě před jejich odesláním na webový server, dlouho před ModSecurity nebo dokonce vašimi bezpečnostními pluginy.
Kromě jednoduchých bezpečnostních pravidel, která nabízí ModSecurity, využívá LWS Protect externí nástroje pro analýzu reputace a bezpečnostní pravidla vyvinutá vlastními silami v reakci na útoky identifikované našimi správci systému.
Shrnutí pravidel LWS Protect
Proč zvolit LWS Protect místo instalace bezpečnostního pluginu?
Na rozdíl od bezpečnostních zásuvných modulů dodávaných se systémy CMS působí LWS Protect před webovým serverem, ještě před spuštěním PHP. Bezpečnostní pluginy CMS naopak vyžadují, aby bylo spuštěno PHP a alespoň část CMS, což způsobuje, že každý požadavek je náročný na zdroje, a proto negativně ovlivňuje výkon ostatních návštěvníků webu. U malých stránek může být tento problém nenápadný a průhledný, ale ve větším měřítku hrozí, že se váš webhostingový balíček nasytí, zejména pokud máte hodně návštěvníků současně a všichni přistupují k dynamickým prvkům (= vyžadují spuštěný PHP).
LWS Protect tento problém řeší filtrováním požadavků před webovým serverem, tj. před spuštěním PHP a před spuštěním CMS, dokonce ještě předtím, než webový server něco udělá. Pokud tedy máte například 1000 současných návštěvníků webu WordPress a 50 % z nich je škodlivých, vyhnete se 500 spuštěním CMS a 500 spuštěním PHP. Ušetříte paměť RAM i počet požadavků MySQL a zabráníte tomu, aby tyto škodlivé návštěvy ovlivnily výkon vašich skutečných návštěvníků.
Sady pravidel LWS Protect
Z ikony "LWS Protect " na ovládacím panelu cPanel můžete okamžitě aktivovat sadu pravidel pro použití obecného bezpečnostního profilu. LWS v současné době nabízí tři bezpečnostní profily:
- Vysoký: určen pro webové stránky, které jsou pravidelně terčem útoků
- Nízký: určený pro běžné použití (ve výchozím nastavení aktivní)
- Vypnuto: deaktivuje všechna pravidla LWS Protect.
Chcete-li změnit aktivní sadu pravidel na webové stránce, klikněte na úroveň zabezpečení spojenou s příslušným názvem domény (1) a vyberte novou úroveň zabezpečení (2) :
Přizpůsobení bezpečnostních pravidel LWS Protect
Pravidla zabezpečení LWS Protect můžete také individuálně přizpůsobit kliknutím na "Customise" (Přizpůsobit):
Bezpečnostní pravidla nabízená nástrojem LWS Protect jsou rozdělena do různých kategorií podle rozsahu jejich působení:
- Obecná pravidla se vztahují na všechny webové stránky
- Pravidla pro WordPress byla navržena pro zabezpečení přístupu k webu WordPress
- Pravidla seskupená na kartě "Boti" ovlivňují přístup robotů a procházení nástrojů
- Pravidla pro reputaci IP adres jsou založena na reputačních systémech IP adres
Každé bezpečnostní pravidlo má nejméně dva stavy: aktivní a neaktivní. Aktivací určitých pravidel můžete doladit jejich parametry:
Pravidla jsou okamžitě aktivní a jsou kompatibilní se všemi našimi dalšími nástroji pro optimalizaci výkonu: Fastest Cache, LiteSpeed a Ipxchange.
Kontrola prohlížeče na běžných stránkách administrace
Doporučené pravidlo.
Toto pravidlo implementuje předběžnou kontrolu při přístupu na běžné stránky administrace (wp-admin, administrator, admin*, wp-login.php atd.) s cílem blokovat nástroje maskující se za webový prohlížeč. Ověření se provádí odesláním stránky captcha, aby se zajistilo, že požadavky údajně prováděné prohlížeči jsou skutečně prováděny lidmi za webovým prohlížečem, a ne botem.
Blokování přístupu HTTP k aktuálním vývojovým souborům
Doporučené pravidlo.
Toto pravidlo zabraňuje přístupu HTTP k běžným vývojovým složkám, jako jsou soubory .sql, složky .git, soubory .env atd. Zabráníte tak úniku informací v případě, že například zapomenete odstranit záložní soubor .sql na svém webu během fáze návrhu.
Blokování přístupu HTTP k souborům .php
Aktivujte s opatrností. Není kompatibilní se systémem WordPress.
Toto pravidlo blokuje přímý přístup k souborům .php tím, že zabraňuje přístupu ke všem adresám URL s výrazem ".php", což zabraňuje případnému obcházení přepisování adres URL, které jste definovali v souboru .htaccess.
Agresivní anti-DDoS
Aktivujte s opatrností.
Agresivní anti-DDoS provádí předběžnou kontrolu všech požadavků HTTP odeslaných na vaše webové stránky webovým prohlížečem. Tento mechanismus, který je totožný s mechanismem ověřování prohlížeče ve složkách správce, zabraňuje automatickým robotům v přístupu na vaše webové stránky.
WordPress: blokování souboru xmlrpc.php
Aktivujte s opatrností. Může způsobit problémy s některými zásuvnými moduly WordPress.
Systematicky blokuje přístup k souboru xmlrpc.php s chybou 403. Soubor, který se dříve používal k provádění požadavků API na WordPress, nyní je z velké části nahrazen souborem wp-admin/admin-ajax.php. Je však zachován kvůli zpětné kompatibilitě s nástroji, které se stále spoléhají na xmlrpc.php.
WordPress: Omezení počtu možných požadavků na /wp-admin a /wp-login.php.
Doporučeno a ve výchozím nastavení aktivní na 20 požadavků/10 minut.
Toto pravidlo omezuje počet požadavků, které může IP adresa provést na wp-admin a wp-login.php. Počítadlo požadavků je stejné pro všechny webové stránky v našem parku, pouze práh blokování je specifický pro každou webovou stránku. Díky tomu je možné jediným pravidlem blokovat dva typy útoků: útoky hrubou silou zaměřené na jednu webovou stránku a útoky hrubou silou zaměřené na velký počet webových stránek.
Vzhledem k tomu, že počítadlo je společné, je třeba tento práh blokování upravit podle počtu webů, které hostujete a ke kterým současně přistupujete. Pokud máte několik webů a otevíráte ovládací panel současně na jednom počítači, je velmi pravděpodobné, že budete muset upravit práh blokování, abyste se vyhnuli blokování.
Při účinném blokování se zobrazí chyba 403 a k odblokování dojde, jakmile počet požadavků provedených danou IP adresou za posledních 600 sekund opět klesne pod práh blokování.
WordPress: blokování citlivých souborů
Doporučeno a ve výchozím nastavení aktivní
Toto pravidlo zabraňuje přístupu k citlivým souborům a cestám WordPressu. Mimo jiné zabraňuje spuštění souborů .php ve složce pro nahrávání WordPressu a ve složce wp-includes, čímž snižuje riziko poškození po vniknutí nebo napadení webu virem.
Blokování/omezení robotů SEO
Blokuje nebo omezuje počet požadavků za minutu, které mohou provádět SEO roboti, například Ahrefs, Semrush a Majestic. Roboti jsou identifikováni podle svého User-Agent a/nebo IP adresy.
Blokování falešných robotů
Doporučujeme.
Umožňuje blokovat falešné roboty pomocí chybové stránky 403. K identifikaci falešných robotů používáme hlavičku User-Agent a IP adresu. Pokud například robot uvede jako User-Agent "Googlebot", ale požadavek nepochází z jedné z IP adres v síti Google, bude požadavek zablokován.
Blokování škodlivých robotů
Blokuje škodlivé roboty na veřejných černých listinách botů. Boti jsou identifikováni jako škodliví nebo neškodní podle své IP adresy a/nebo User-Agent. Poté se zobrazí chyba 403.
Blokování prázdného User-Agent
Doporučeno.
Blokuje požadavek, pokud je hlavička HTTP "User-Agent" prázdná. K tomu často dochází u výchozích konfigurací nástrojů pro skenování zranitelností, které používají hackeři. Pak se zobrazí chyba 403.
Blokování škodlivých IP adres
Doporučeno a ve výchozím nastavení aktivní na "Kontrolovat prohlížeč pomocí captcha".
Toto pravidlo blokuje přístup na webové stránky z IP adres, které byly nahlášeny jako škodlivé. K identifikaci škodlivých IP adres používáme několik veřejných databází. Pověst IP adresy je v našich záznamech uchovávána po dobu až 24 hodin. Pokud má IP adresa špatnou reputaci, provede se kontrola captcha nebo se zablokuje chybou 403, v závislosti na vaší volbě blokování.
Blokování sítě Tor
Toto pravidlo blokuje přístup na vaše webové stránky ze sítě Tor. Síť Tor je detekována identifikací IP adresy ve veřejné databázi výstupních uzlů Tor. Pokud je IP adresa v seznamu, zobrazí se chyba 403.
Zobrazení historie blokování
Chcete-li zobrazit blokace provedené systémem LWS Protect, přejděte na stránku LWS Protect a klikněte na tlačítko "Historie blokování" spojené s příslušným názvem domény:
Poté můžete události filtrovat podle svých potřeb:
- Název hostitele / domény
- Datum/časový rozsah
- Blokovaná IP adresa
- Požadavek HTTP
- Zpráva
Po kliknutí na tlačítko "Hledat" se protokoly aktualizují s ohledem na nastavené filtry:
Kontaktujte nás
Oblast pro zákazníky
Navštivte LWS
Ano
Ne
Článek číst
111175 jednou
Merci ! N'hésitez pas à
poser des questions sur nos documentations si vous souhaitez plus d'informations et nous aider à les
améliorer.
O společnosti