Un Web Application Firewall (WAF) si trova tra il tuo sito web e Internet e ispeziona ogni richiesta HTTP in ingresso, bloccando le richieste che corrispondono a pattern dannosi noti. A differenza di un firewall di rete tradizionale che opera a livello di IP e porta, un WAF comprende la struttura del traffico web. Può leggere URL, header, body POST, cookie e stringhe di query per identificare attacchi specificamente mirati alle applicazioni web come WordPress.
Come funziona un WAF
Quando un visitatore (o un attaccante) invia una richiesta al tuo sito WordPress, il WAF la intercetta prima che raggiunga il tuo server web. Il WAF confronta la richiesta con un insieme di regole, spesso chiamate ruleset o policy. Queste regole definiscono pattern che indicano intento dannoso. Ad esempio, una regola potrebbe cercare sintassi SQL nei campi del modulo, tag script nei parametri URL o firme exploit note mirate a specifiche vulnerabilità nei plugin. Se la richiesta corrisponde a una regola, il WAF può bloccarla completamente, sfidare il visitatore con un CAPTCHA, registrare il tentativo per la revisione o reindirizzare la richiesta. Il traffico legittimo passa indenne.
WAF vs firewall tradizionale
Un firewall tradizionale opera al livello di rete (livelli 3 e 4 del modello OSI). Gestisce l'accesso in base a indirizzi IP, porte e protocolli. Può bloccare il traffico da determinati paesi o limitare quali porte sono aperte, ma non può ispezionare il contenuto delle richieste HTTP. Un WAF opera al livello applicativo (livello 7). Comprende HTTP e può distinguere tra una normale sottomissione di modulo e un tentativo di SQL injection, anche se entrambi provengono dallo stesso indirizzo IP sulla stessa porta. Per una buona sicurezza WordPress, idealmente vuoi entrambi: un firewall di rete per bloccare il traffico indesiderato a livello di infrastruttura e un WAF per proteggere dagli attacchi a livello applicativo.
Tipi di WAF
I WAF si presentano in tre modelli di distribuzione principali, ciascuno con compromessi diversi:
- WAF basato su cloud: il traffico viene instradato attraverso un servizio di terze parti prima di raggiungere il tuo server. In genere modifichi i tuoi record DNS per puntare al provider WAF, che poi inoltra il traffico pulito al tuo server di origine. I WAF cloud sono i più facili da configurare perché non richiedono modifiche lato server. Assorbono anche gli attacchi DDoS prima che il traffico raggiunga la tua infrastruttura. Lo svantaggio è che aggiungono una piccola quantità di latenza e dipendi da una terza parte per la disponibilità.
- WAF a livello di server: installato direttamente sul tuo server web come modulo o servizio. ModSecurity (per Apache e Nginx) è l'esempio più noto. I WAF a livello di server hanno la latenza più bassa perché ispezionano il traffico localmente, ma richiedono accesso al server e conoscenze tecniche per la configurazione. Consumano anche risorse del server per ogni richiesta che ispezionano.
- WAF a livello di plugin: un plugin WordPress che esegue codice PHP a ogni richiesta per analizzarla alla ricerca di pattern dannosi. I WAF plugin sono facili da installare (come qualsiasi plugin WordPress), ma vengono eseguiti dopo che WordPress ha già iniziato a caricarsi, il che significa che non possono bloccare gli attacchi a livello di server. Aggiungono anche overhead di elaborazione a ogni richiesta di pagina, poiché la logica WAF viene eseguita all'interno di PHP.
Soluzioni WAF basate su cloud per WordPress
Diversi provider WAF cloud sono popolari nell'ecosistema WordPress:
- Cloudflare WAF: offre un piano gratuito con protezione di base e piani a pagamento con ruleset gestiti progettati specificamente per WordPress. Cloudflare fornisce anche un CDN, protezione DDoS e gestione bot. Le regole WAF vengono aggiornate regolarmente per coprire le vulnerabilità appena scoperte.
- Sucuri Firewall: un WAF basato su cloud costruito specificamente per la sicurezza dei siti web. Sucuri instrada tutto il traffico attraverso la propria rete, bloccando gli attacchi e fornendo contenuti in cache. Offre anche scansione e rimozione del malware. Le loro regole specifiche per WordPress coprono vulnerabilità note di plugin e temi.
- Astra Security: un WAF cloud con un plugin WordPress per una facile configurazione. Include protezione bot, protezione dell'accesso e una dashboard in tempo reale delle minacce bloccate.
Soluzioni WAF basate su plugin per WordPress
Se preferisci un approccio basato su plugin, queste sono le opzioni più consolidate:
- Wordfence: il plugin di sicurezza WordPress più popolare, con oltre 4 milioni di installazioni attive. Include un WAF in esecuzione a livello PHP, uno scanner malware, funzionalità di sicurezza per l'accesso e intelligence sulle minacce in tempo reale. La versione premium riceve aggiornamenti delle regole del firewall in tempo reale; la versione gratuita li riceve dopo un ritardo di 30 giorni.
- NinjaFirewall: un WAF leggero che si aggancia a WordPress molto presto nel processo di caricamento, prima che la maggior parte dei plugin e dei temi venga caricata. Questo gli conferisce prestazioni migliori rispetto ai tipici WAF plugin, poiché può bloccare le richieste dannose prima che WordPress sia completamente inizializzato. Supporta funzionalità avanzate come il monitoraggio dell'integrità dei file e gli avvisi degli eventi.
- All In One WP Security: un plugin di sicurezza gratuito con un firewall integrato che fornisce protezione di base tramite regole .htaccess e filtraggio basato su PHP. È meno sofisticato di Wordfence o NinjaFirewall ma offre un'interfaccia più semplice per i principianti.
Da cosa proteggono i WAF
Un WAF correttamente configurato difende da una vasta gamma di tipi di attacchi:
- SQL injection: gli attaccanti iniettano query SQL dannose tramite campi di moduli, parametri URL o cookie per leggere, modificare o eliminare i contenuti del database.
- Cross-site scripting (XSS): gli attaccanti iniettano JavaScript nelle pagine che altri utenti visualizzano, rubando cookie di sessione o reindirizzando i visitatori a siti dannosi.
- Attacchi brute-force: strumenti automatizzati che provano migliaia di combinazioni di nomi utente e password contro la tua pagina di accesso. I WAF possono limitare la frequenza dei tentativi di accesso o bloccare gli IP dopo ripetuti fallimenti.
- Attacchi bot: bot automatizzati che fanno scraping di contenuti, inviano spam nei moduli dei commenti o cercano vulnerabilità. I WAF possono identificare e bloccare il traffico bot in base ai pattern di comportamento e alle firme bot note.
- Attacchi di file inclusion: sfruttare plugin vulnerabili per includere file dannosi da server remoti (Remote File Inclusion) o dal server stesso (Local File Inclusion).
- Exploit zero-day: quando viene scoperta una nuova vulnerabilità, i provider WAF possono distribuire patch virtuali in poche ore, proteggendo il tuo sito prima che lo sviluppatore del plugin o del tema rilasci una correzione ufficiale.
Falsi positivi e tuning del WAF
Una delle maggiori sfide con qualsiasi WAF sono i falsi positivi, in cui richieste legittime vengono bloccate perché corrispondono a una regola di sicurezza. Questo accade più spesso di quanto si possa pensare. Ad esempio, un post di blog con esempi di codice SQL potrebbe attivare una regola di SQL injection. Un amministratore che carica un file con caratteri insoliti nel nome potrebbe essere bloccato. Un modulo personalizzato con input HTML potrebbe sembrare un tentativo XSS al WAF. Tunare il tuo WAF significa rivedere regolarmente le richieste bloccate, creare eccezioni (regole di allowlist) per i pattern di traffico legittimi e regolare i livelli di sensibilità. La maggior parte dei WAF offre una "modalità di apprendimento" o "modalità di monitoraggio" in cui registrano le richieste sospette senza bloccarle, permettendoti di identificare i falsi positivi prima di abilitare l'applicazione.
WAF vs hardening della sicurezza
Un WAF non sostituisce le buone pratiche di sicurezza. È un livello di difesa aggiuntivo. Devi comunque mantenere WordPress, plugin e temi aggiornati. Hai comunque bisogno di password forti e autenticazione a due fattori. Hai comunque bisogno di permessi sui file corretti e di un ambiente di hosting sicuro. Pensa a un WAF come a un buttafuori alla porta. Tiene fuori i piantagrane ovvi ma non risolve problemi strutturali all'interno dell'edificio. La sicurezza WordPress più efficace combina un WAF con aggiornamenti regolari, hardening della sicurezza, scansione malware e buoni backup.
Regole gestite vs regole personalizzate
La maggior parte dei WAF viene fornita con ruleset gestiti mantenuti dal team di sicurezza del provider. Queste regole vengono aggiornate regolarmente per coprire nuove vulnerabilità e tecniche di attacco. Le regole gestite funzionano bene per la maggior parte dei siti WordPress perché coprono vettori di attacco comuni senza configurazione manuale. Le regole personalizzate ti permettono di creare le tue condizioni di blocco in base alle tue esigenze specifiche. Ad esempio, potresti creare una regola che blocca tutte le richieste a /xmlrpc.php dall'esterno del tuo paese, o una regola che limita la frequenza delle richieste API da un intervallo IP specifico. Le regole personalizzate sono potenti ma richiedono una buona comprensione dei tuoi pattern di traffico per evitare di bloccare i visitatori legittimi.
Cosa controlla InspectWP
InspectWP può rilevare varie soluzioni WAF tramite header di risposta e record DNS. I WAF basati su cloud come Cloudflare e Sucuri modificano i record DNS e aggiungono header caratteristici che InspectWP identifica. Questo ti aiuta a confermare che il tuo WAF sia configurato correttamente e stia proteggendo attivamente il tuo sito WordPress.