Een Web Application Firewall (WAF) bevindt zich tussen uw website en het internet en inspecteert elk inkomend HTTP-verzoek, waarbij verzoeken die overeenkomen met bekende kwaadaardige patronen worden geblokkeerd. In tegenstelling tot een traditionele netwerkfirewall die op IP- en poortniveau werkt, begrijpt een WAF de structuur van webverkeer. Hij kan URL's, kopteksten, POST-bodies, cookies en queryreeksen lezen om aanvallen te identificeren die specifiek gericht zijn op webapplicaties zoals WordPress.
Hoe een WAF werkt
Wanneer een bezoeker (of aanvaller) een verzoek naar uw WordPress-site stuurt, onderschept de WAF dit voordat het uw webserver bereikt. De WAF vergelijkt het verzoek met een set regels, vaak een ruleset of policy genoemd. Deze regels definiëren patronen die kwaadaardige bedoelingen aanduiden. Een regel kan bijvoorbeeld zoeken naar SQL-syntaxis in formuliervelden, scripttags in URL-parameters of bekende exploit-handtekeningen die zich richten op specifieke kwetsbaarheden in plug-ins. Als het verzoek overeenkomt met een regel, kan de WAF het volledig blokkeren, de bezoeker uitdagen met een CAPTCHA, de poging registreren voor beoordeling of het verzoek omleiden. Legitiem verkeer komt ongeschonden door.
WAF versus traditionele firewall
Een traditionele firewall werkt op de netwerklaag (lagen 3 en 4 van het OSI-model). Hij beheert toegang op basis van IP-adressen, poorten en protocollen. Hij kan verkeer uit bepaalde landen blokkeren of beperken welke poorten openstaan, maar hij kan de inhoud van HTTP-verzoeken niet inspecteren. Een WAF werkt op de applicatielaag (laag 7). Hij begrijpt HTTP en kan onderscheid maken tussen een normale formulierverzending en een SQL-injectiepoging, zelfs als beide afkomstig zijn van hetzelfde IP-adres op dezelfde poort. Voor goede WordPress-beveiliging wilt u idealiter beide: een netwerkfirewall om ongewenst verkeer te blokkeren op infrastructuurniveau en een WAF om te beschermen tegen aanvallen op applicatieniveau.
Soorten WAF's
WAF's komen in drie belangrijke implementatiemodellen, elk met verschillende afwegingen:
- Cloudgebaseerde WAF: verkeer wordt via een externe dienst gerouteerd voordat het uw server bereikt. U wijzigt doorgaans uw DNS-records om naar de WAF-aanbieder te verwijzen, die vervolgens schoon verkeer doorstuurt naar uw oorsprongsserver. Cloud-WAF's zijn het eenvoudigst op te zetten omdat ze geen wijzigingen aan de serverkant vereisen. Ze absorberen ook DDoS-aanvallen voordat verkeer uw infrastructuur bereikt. Het nadeel is dat ze een kleine hoeveelheid latentie toevoegen en dat u afhankelijk bent van een derde partij voor beschikbaarheid.
- WAF op serverniveau: rechtstreeks geïnstalleerd op uw webserver als module of dienst. ModSecurity (voor Apache en Nginx) is het bekendste voorbeeld. WAF's op serverniveau hebben de laagste latentie, omdat ze verkeer lokaal inspecteren, maar ze vereisen servertoegang en technische kennis om te configureren. Ze verbruiken ook serverbronnen voor elk verzoek dat ze inspecteren.
- WAF op plug-inniveau: een WordPress-plug-in die bij elk verzoek PHP-code uitvoert om dit te analyseren op kwaadaardige patronen. Plug-in-WAF's zijn eenvoudig te installeren (net als elke WordPress-plug-in), maar ze worden uitgevoerd nadat WordPress al is begonnen met laden, wat betekent dat ze aanvallen niet op serverniveau kunnen blokkeren. Ze voegen ook verwerkingsoverhead toe aan elk paginaverzoek, omdat de WAF-logica binnen PHP draait.
Cloudgebaseerde WAF-oplossingen voor WordPress
Verschillende cloud-WAF-aanbieders zijn populair in het WordPress-ecosysteem:
- Cloudflare WAF: biedt een gratis abonnement met basisbescherming en betaalde abonnementen met beheerde rulesets die specifiek zijn ontworpen voor WordPress. Cloudflare biedt ook een CDN, DDoS-bescherming en botbeheer. De WAF-regels worden regelmatig bijgewerkt om nieuw ontdekte kwetsbaarheden te dekken.
- Sucuri Firewall: een cloudgebaseerde WAF die specifiek is gebouwd voor websitebeveiliging. Sucuri routeert al het verkeer via hun netwerk, blokkeert aanvallen en levert gecachete inhoud. Ze bieden ook malwarescanning en -verwijdering. Hun WordPress-specifieke regels dekken bekende plug-in- en thema-kwetsbaarheden.
- Astra Security: een cloud-WAF met een WordPress-plug-in voor eenvoudige opzet. Het bevat botbescherming, inlogbescherming en een realtime dashboard met geblokkeerde dreigingen.
Plug-ingebaseerde WAF-oplossingen voor WordPress
Als u de voorkeur geeft aan een plug-ingebaseerde aanpak, zijn dit de meest gevestigde opties:
- Wordfence: de populairste WordPress-beveiligingsplug-in, met meer dan 4 miljoen actieve installaties. Het bevat een WAF die op PHP-niveau draait, een malwarescanner, inlogbeveiligingsfuncties en realtime dreigingsinformatie. De premiumversie ontvangt firewall-regelupdates in realtime; de gratis versie krijgt ze na een vertraging van 30 dagen.
- NinjaFirewall: een lichtgewicht WAF die zeer vroeg in het laadproces in WordPress haakt, voordat de meeste plug-ins en thema's worden geladen. Dit geeft hem betere prestaties dan typische plug-in-WAF's, omdat hij kwaadaardige verzoeken kan blokkeren voordat WordPress volledig is geïnitialiseerd. Het ondersteunt geavanceerde functies zoals bestandsintegriteitsmonitoring en gebeurtenismeldingen.
- All In One WP Security: een gratis beveiligingsplug-in met een ingebouwde firewall die basisbescherming biedt via .htaccess-regels en PHP-gebaseerde filtering. Het is minder geavanceerd dan Wordfence of NinjaFirewall, maar biedt een eenvoudigere interface voor beginners.
Waar WAF's tegen beschermen
Een correct geconfigureerde WAF verdedigt tegen een breed scala aan aanvalstypes:
- SQL-injectie: aanvallers injecteren kwaadaardige SQL-query's via formuliervelden, URL-parameters of cookies om database-inhoud te lezen, te wijzigen of te verwijderen.
- Cross-site scripting (XSS): aanvallers injecteren JavaScript in pagina's die andere gebruikers bekijken, waarbij sessie-cookies worden gestolen of bezoekers worden omgeleid naar kwaadaardige sites.
- Brute-force-aanvallen: geautomatiseerde tools die duizenden combinaties van gebruikersnamen en wachtwoorden proberen tegen uw inlogpagina. WAF's kunnen inlogpogingen rate-limiten of IP's blokkeren na herhaalde mislukkingen.
- Botaanvallen: geautomatiseerde bots die inhoud schrapen, reactieformulieren spammen of zoeken naar kwetsbaarheden. WAF's kunnen botverkeer identificeren en blokkeren op basis van gedragspatronen en bekende bot-handtekeningen.
- File inclusion-aanvallen: het exploiteren van kwetsbare plug-ins om kwaadaardige bestanden van externe servers (Remote File Inclusion) of van de server zelf (Local File Inclusion) op te nemen.
- Zero-day-exploits: wanneer een nieuwe kwetsbaarheid wordt ontdekt, kunnen WAF-aanbieders binnen enkele uren virtuele patches uitrollen, waardoor uw site wordt beschermd voordat de plug-in- of thema-ontwikkelaar een officiële oplossing uitbrengt.
Valse positieven en WAF-afstemming
Een van de grootste uitdagingen met elke WAF zijn valse positieven, waarbij legitieme verzoeken worden geblokkeerd omdat ze overeenkomen met een beveiligingsregel. Dit gebeurt vaker dan u zou denken. Een blogbericht met SQL-codevoorbeelden kan bijvoorbeeld een SQL-injectieregel activeren. Een beheerder die een bestand uploadt met ongebruikelijke tekens in de naam, kan worden geblokkeerd. Een aangepast formulier met HTML-invoer kan voor de WAF op een XSS-poging lijken. Het afstemmen van uw WAF betekent regelmatig geblokkeerde verzoeken beoordelen, uitzonderingen (allowlist-regels) maken voor legitieme verkeerspatronen en gevoeligheidsniveaus aanpassen. De meeste WAF's bieden een "leermodus" of "monitormodus" waarin ze verdachte verzoeken loggen zonder ze te blokkeren, zodat u valse positieven kunt identificeren voordat u handhaving inschakelt.
WAF versus beveiligingsharding
Een WAF is geen vervanging voor goede beveiligingspraktijken. Het is een extra verdedigingslaag. U moet WordPress, plug-ins en thema's nog steeds bijgewerkt houden. U hebt nog steeds sterke wachtwoorden en tweefactorauthenticatie nodig. U hebt nog steeds de juiste bestandsmachtigingen en een veilige hostingomgeving nodig. Zie een WAF als een uitsmijter bij de deur. Hij houdt voor de hand liggende onruststokers tegen, maar lost geen structurele problemen binnen het gebouw op. De meest effectieve WordPress-beveiliging combineert een WAF met regelmatige updates, beveiligingsharding, malwarescanning en goede back-ups.
Beheerde regels versus aangepaste regels
De meeste WAF's worden geleverd met beheerde rulesets die worden onderhouden door het beveiligingsteam van de aanbieder. Deze regels worden regelmatig bijgewerkt om nieuwe kwetsbaarheden en aanvalstechnieken te dekken. Beheerde regels werken goed voor de meeste WordPress-sites, omdat ze veelvoorkomende aanvalsvectoren dekken zonder handmatige configuratie. Met aangepaste regels kunt u uw eigen blokkeervoorwaarden creëren op basis van uw specifieke behoeften. U kunt bijvoorbeeld een regel maken die alle verzoeken aan /xmlrpc.php van buiten uw land blokkeert, of een regel die API-verzoeken van een specifiek IP-bereik rate-limit. Aangepaste regels zijn krachtig, maar vereisen een goed begrip van uw verkeerspatronen om te voorkomen dat legitieme bezoekers worden geblokkeerd.
Wat InspectWP controleert
InspectWP kan verschillende WAF-oplossingen detecteren via responskopteksten en DNS-records. Cloudgebaseerde WAF's zoals Cloudflare en Sucuri wijzigen DNS-records en voegen karakteristieke kopteksten toe die InspectWP identificeert. Dit helpt u te bevestigen dat uw WAF correct is geconfigureerd en uw WordPress-site actief beschermt.