Procédure
Wprowadzenie do LWS Protect
Narzędzie LWS Protect, dostępne w sekcji "Bezpieczeństwo" panelu sterowania cPanel, pozwala zabezpieczyć witrynę za pomocą kilku prostych kliknięć, dostosowując reguły bezpieczeństwa obowiązujące przed serwerem internetowym pakietu hostingowego.
Te reguły bezpieczeństwa zaczynają obowiązywać, gdy tylko ruch dotrze do serwera WWW, znacznie wykraczając poza Apache lub PHP, zapewniając znaczną oszczędność zasobów i zwiększoną wydajność. Żądania HTTP są analizowane przez wbudowaną zaporę aplikacji Fastest Cache, zanim zostaną wysłane do serwera WWW, na długo przed ModSecurity lub nawet wtyczkami bezpieczeństwa.
Oprócz prostych reguł bezpieczeństwa oferowanych przez ModSecurity, LWS Protect wykorzystuje zewnętrzne narzędzia do analizy reputacji i reguły bezpieczeństwa opracowane wewnętrznie w odpowiedzi na ataki zidentyfikowane przez naszych administratorów systemu.
Podsumowanie reguł LWS Protect
Dlaczego warto wybrać LWS Protect zamiast instalować wtyczkę bezpieczeństwa?
W przeciwieństwie do wtyczek bezpieczeństwa dostarczanych z CMS, LWS Protect działa przed serwerem WWW, nawet przed uruchomieniem PHP. W przeciwieństwie do tego, wtyczki bezpieczeństwa CMS wymagają uruchomienia PHP i przynajmniej części CMS, co sprawia, że każde żądanie wymaga dużej ilości zasobów, a tym samym negatywnie wpływa na wydajność innych odwiedzających witrynę. W przypadku małej witryny problem ten może być dyskretny i przejrzysty, ale na większą skalę istnieje ryzyko nasycenia pakietu hostingowego, zwłaszcza jeśli masz wielu jednoczesnych odwiedzających i wszyscy oni uzyskują dostęp do elementów dynamicznych (= wymagających uruchomienia PHP).
LWS Protect rozwiązuje ten problem, filtrując żądania przed serwerem WWW, tj. przed wykonaniem PHP i przed uruchomieniem CMS, nawet zanim serwer WWW cokolwiek zrobi. Tak więc, na przykład, jeśli masz 1000 jednoczesnych odwiedzających witrynę WordPress i 50% z nich jest złośliwych, unikniesz 500 uruchomień CMS i 500 uruchomień PHP. Oszczędzasz zarówno pamięć RAM, jak i liczbę żądań MySQL i zapobiegasz wpływowi tych złośliwych wizyt na wydajność prawdziwych odwiedzających.
Zestawy reguł LWS Protect
Za pomocą ikony "LWS Protect " w panelu sterowania cPanel można natychmiast aktywować zestaw reguł, aby zastosować ogólny profil zabezpieczeń. LWS oferuje obecnie trzy profile bezpieczeństwa:
- Wysoki: przeznaczony dla witryn regularnie atakowanych
- Niski: przeznaczony do normalnego użytku (domyślnie aktywny)
- Wyłączony: wyłącza wszystkie reguły LWS Protect.
Aby zmienić aktywny zestaw reguł na stronie internetowej, kliknij poziom zabezpieczeń powiązany z daną nazwą domeny (1) i wybierz nowy poziom zabezpieczeń (2) :
Dostosowywanie reguł bezpieczeństwa LWS Protect
Reguły bezpieczeństwa LWS Protect można również dostosować indywidualnie, klikając przycisk "Dostosuj ":
Reguły bezpieczeństwa oferowane przez LWS Protect są pogrupowane w różne kategorie w zależności od zakresu ich działania:
- Reguły ogólne mają zastosowanie do wszystkich stron internetowych
- Reguły WordPress zostały zaprojektowane w celu zabezpieczenia dostępu do witryny WordPress.
- Reguły zgrupowane w zakładce "Boty" wpływają na dostęp robotów i narzędzi indeksujących.
- Reguły reputacji IP są oparte na systemach reputacji adresów IP.
Każda reguła bezpieczeństwa ma co najmniej dwa stany: aktywny i nieaktywny. Aktywując określone reguły, można dostosować ich parametry:
Reguły są natychmiast aktywne i są kompatybilne ze wszystkimi naszymi innymi narzędziami do optymalizacji wydajności: Fastest Cache, LiteSpeed i Ipxchange.
Sprawdzanie przeglądarki na popularnych stronach administracyjnych
Zalecana reguła.
Ta reguła implementuje wstępną kontrolę podczas uzyskiwania dostępu do popularnych stron administracyjnych (wp-admin, administrator, admin*, wp-login.php itp.) w celu zablokowania narzędzi maskujących się jako przeglądarka internetowa. Weryfikacja odbywa się poprzez wysłanie strony captcha, aby upewnić się, że żądania rzekomo wykonane przez przeglądarki są faktycznie wykonane przez ludzi za przeglądarką internetową, a nie przez bota.
Blokowanie dostępu HTTP do bieżących plików deweloperskich
Zalecana reguła.
Ta reguła uniemożliwia dostęp HTTP do popularnych folderów programistycznych, takich jak pliki .sql, foldery .git, pliki .env itp. Zapobiega to wyciekom informacji w przypadku, gdy zapomnisz usunąć zapasowy plik .sql, na przykład na swojej stronie internetowej podczas fazy projektowania.
Blokowanie dostępu HTTP do plików .php
Aktywuj ostrożnie. Nie jest kompatybilna z WordPress.
Ta reguła blokuje bezpośredni dostęp do plików .php, uniemożliwiając dostęp do wszystkich adresów URL z terminem ".php", co zapobiega możliwemu obejściu przepisywania adresów URL zdefiniowanych w pliku .htaccess.
Agresywny anty-DDoS
Aktywuj ostrożnie.
Agresywny anty-DDoS przeprowadza wstępną kontrolę wszystkich żądań HTTP wysyłanych do witryny przez przeglądarkę internetową. Mechanizm, który jest identyczny z mechanizmem weryfikacji przeglądarki w folderach administratora, uniemożliwia automatycznym robotom dotarcie do Twojej witryny.
WordPress: blokuj xmlrpc.php
Aktywuj ostrożnie. Może powodować problemy z niektórymi wtyczkami WordPress.
Systematycznie blokuje dostęp do pliku xmlrpc. php z błędem 403. Plik, który był używany do wykonywania żądań API do WordPressa, jest obecnie w dużej mierze zastąpiony przez wp-admin/admin-ajax.php. Jest on jednak zachowany dla kompatybilności wstecznej z narzędziami, które nadal polegają na xmlrpc.php.
WordPress: Ogranicz liczbę możliwych żądań do /wp-admin i /wp-login.php
Zalecane i domyślnie aktywne przy 20 żądaniach/10 minut
Ta reguła ogranicza liczbę żądań, które adres IP może wykonać do wp-admin i wp-login.php. Licznik żądań jest taki sam dla wszystkich witryn w naszym parku, tylko próg blokowania jest specyficzny dla każdej witryny. Umożliwia to blokowanie dwóch rodzajów ataków za pomocą jednej reguły: ataków bruteforce ukierunkowanych na pojedynczą witrynę i ataków bruteforce ukierunkowanych na dużą liczbę witryn.
Ponieważ licznik jest wspólny, konieczne będzie dostosowanie tego progu blokowania do liczby witryn hostowanych i dostępnych jednocześnie. Jeśli masz kilka witryn i otwierasz pulpit nawigacyjny jednocześnie na jednym komputerze, jest wysoce prawdopodobne, że będziesz musiał dostosować próg blokowania, aby uniknąć zablokowania.
Błąd 403 jest wyświetlany, gdy blokowanie jest skuteczne, a odblokowanie następuje, gdy tylko liczba żądań wykonanych przez adres IP w ciągu ostatnich 600 sekund ponownie spadnie poniżej progu blokowania.
WordPress: blokuj wrażliwe pliki
Zalecane i domyślnie aktywne
Ta reguła uniemożliwia dostęp do wrażliwych plików i ścieżek WordPress. Zapobiega między innymi wykonywaniu plików .php w folderze przesyłania WordPress i w folderze wp-includes, zmniejszając w ten sposób ryzyko uszkodzenia w wyniku włamania lub infekcji wirusowej w witrynie.
Blokowanie/ograniczanie robotów SEO
Blokuj lub ograniczaj liczbę żądań na minutę, które mogą wykonywać roboty SEO, takie jak Ahrefs, Semrush i Majestic. Roboty są identyfikowane przez ich User-Agent i/lub adres IP.
Blokowanie fałszywych robotów
Zalecane.
Umożliwia blokowanie fałszywych robotów za pomocą strony błędu 403. Używamy nagłówka User-Agent i adresu IP do identyfikacji fałszywych robotów. Na przykład, jeśli robot określa "Googlebot" jako User-Agent, ale żądanie nie pochodzi z jednego z adresów IP w sieci Google, żądanie zostanie zablokowane.
Blokuj złośliwe boty
Blokuje złośliwe boty na publicznych czarnych listach botów. Boty są identyfikowane jako złośliwe lub nie na podstawie ich adresu IP i/lub User-Agent. Wyświetlony zostanie błąd 403.
Blokuj puste User-Agent
Zalecane.
Blokuj żądanie, gdy nagłówek HTTP "User-Agent" jest pusty. Dzieje się tak często w przypadku domyślnych konfiguracji narzędzi do skanowania luk w zabezpieczeniach używanych przez hakerów. Zostanie wówczas wyświetlony błąd 403.
Blokuj złośliwe adresy IP
Zalecana i domyślnie aktywna opcja "Sprawdź przeglądarkę za pomocą captcha".
Ta reguła blokuje dostęp do witryny przez adresy IP zgłoszone jako złośliwe. Używamy kilku publicznych baz danych do identyfikacji złośliwych adresów IP. Reputacja adresu IP jest przechowywana w naszych rejestrach przez maksymalnie 24 godziny. Jeśli adres IP ma złą reputację, zostanie wykonane sprawdzenie captcha lub blokada z błędem 403, w zależności od wybranej opcji blokowania.
Blokuj sieć Tor
Ta reguła blokuje dostęp do witryny z sieci Tor. Sieć Tor jest wykrywana poprzez identyfikację adresu IP w publicznej bazie danych Tor Exit Nodes. Jeśli adres IP znajduje się na liście, wyświetlony zostanie błąd 403.
Wyświetlanie historii blokowania
Aby wyświetlić blokady dokonane przez LWS Protect, przejdź do LWS Protect i kliknij przycisk "Historia blokowania " powiązany z daną nazwą domeny:
Następnie można filtrować zdarzenia zgodnie z własnymi potrzebami:
- Nazwa hosta / domena
- Zakres dat/godzin
- Zablokowany adres IP
- Żądanie HTTP
- Wiadomość
Po kliknięciu przycisku "Szukaj" dzienniki są aktualizowane z uwzględnieniem skonfigurowanych filtrów:
Skontaktuj się z nami
Obszar klienta
Odwiedź LWS
Tak
Nie
Artykuł czytany
111206 raz
Merci ! N'hésitez pas à
poser des questions sur nos documentations si vous souhaitez plus d'informations et nous aider à les
améliorer.
O