Um Web Application Firewall (WAF) fica entre o seu site e a internet, inspecionando cada requisição HTTP que chega e bloqueando aquelas que correspondem a padrões maliciosos conhecidos. Diferentemente de um firewall de rede tradicional, que opera no nível de IP e porta, um WAF entende a estrutura do tráfego web. Ele consegue ler URLs, cabeçalhos, corpos de POST, cookies e strings de consulta para identificar ataques que visam especificamente aplicações web como o WordPress.
Como funciona um WAF
Quando um visitante (ou atacante) envia uma requisição ao seu site WordPress, o WAF a intercepta antes que ela chegue ao seu servidor web. O WAF compara a requisição com um conjunto de regras, frequentemente chamado de ruleset ou política. Essas regras definem padrões que indicam intenção maliciosa. Por exemplo, uma regra pode procurar sintaxe SQL em campos de formulário, tags de script em parâmetros de URL ou assinaturas de exploits conhecidos visando vulnerabilidades de plugins específicos. Se a requisição corresponde a uma regra, o WAF pode bloqueá-la inteiramente, desafiar o visitante com um CAPTCHA, registrar a tentativa para revisão ou redirecionar a requisição. O tráfego legítimo passa intacto.
WAF vs. firewall tradicional
Um firewall tradicional opera na camada de rede (camadas 3 e 4 do modelo OSI). Ele controla acesso com base em endereços IP, portas e protocolos. Pode bloquear tráfego de certos países ou restringir quais portas estão abertas, mas não consegue inspecionar o conteúdo das requisições HTTP. Um WAF opera na camada de aplicação (camada 7). Ele entende HTTP e consegue distinguir entre um envio normal de formulário e uma tentativa de injeção de SQL, mesmo que ambos venham do mesmo IP na mesma porta. Para uma segurança adequada do WordPress, idealmente você quer ambos: um firewall de rede para bloquear tráfego indesejado no nível da infraestrutura e um WAF para proteger contra ataques no nível da aplicação.
Tipos de WAF
WAFs vêm em três modelos principais de implantação, cada um com vantagens e desvantagens distintas:
- WAF baseado em nuvem: o tráfego é roteado por um serviço de terceiros antes de chegar ao seu servidor. Você normalmente altera seus registros DNS para apontar ao provedor do WAF, que então encaminha tráfego limpo ao seu servidor de origem. WAFs em nuvem são os mais fáceis de configurar porque não exigem mudanças no servidor. Eles também absorvem ataques DDoS antes que o tráfego chegue à sua infraestrutura. A desvantagem é que adicionam uma pequena latência e você depende de um terceiro para a disponibilidade.
- WAF no nível do servidor: instalado diretamente no seu servidor web como módulo ou serviço. ModSecurity (para Apache e nginx) é o exemplo mais conhecido. WAFs no nível do servidor têm a menor latência porque inspecionam o tráfego localmente, mas exigem acesso ao servidor e conhecimento técnico para configurar. Também consomem recursos do servidor para cada requisição que inspecionam.
- WAF no nível do plugin: um plugin do WordPress que executa código PHP em cada requisição para analisá-la em busca de padrões maliciosos. WAFs em plugin são fáceis de instalar (como qualquer plugin do WordPress), mas executam após o WordPress já ter começado a carregar, o que significa que não conseguem bloquear ataques no nível do servidor. Também adicionam custo de processamento a cada requisição de página, porque a lógica do WAF roda dentro do PHP.
Soluções de WAF baseadas em nuvem para WordPress
Vários provedores de WAF em nuvem são populares no ecossistema WordPress:
- Cloudflare WAF: oferece um plano gratuito com proteção básica e planos pagos com rulesets gerenciados projetados especificamente para WordPress. O Cloudflare também oferece CDN, proteção contra DDoS e gerenciamento de bots. As regras do WAF são atualizadas regularmente para cobrir vulnerabilidades recém-descobertas.
- Sucuri Firewall: um WAF baseado em nuvem construído especificamente para segurança de sites. O Sucuri roteia todo o tráfego pela rede deles, bloqueando ataques e entregando conteúdo em cache. Eles também oferecem serviços de varredura e remoção de malware. Suas regras específicas para WordPress cobrem vulnerabilidades conhecidas de plugins e temas.
- Astra Security: um WAF em nuvem com plugin do WordPress para configuração fácil. Inclui proteção contra bots, proteção de login e um painel em tempo real mostrando ameaças bloqueadas.
Soluções de WAF baseadas em plugin para WordPress
Se você prefere uma abordagem baseada em plugin, estas são as opções mais consolidadas:
- Wordfence: o plugin de segurança WordPress mais popular, com mais de 4 milhões de instalações ativas. Inclui um WAF que roda no nível do PHP, um scanner de malware, recursos de segurança de login e inteligência de ameaças em tempo real. A versão premium recebe atualizações de regras de firewall em tempo real; a versão gratuita as recebe após um atraso de 30 dias.
- NinjaFirewall: um WAF leve que se acopla ao WordPress muito cedo no processo de carregamento, antes da maioria dos plugins e temas. Isso lhe dá melhor desempenho do que um WAF típico em plugin, porque pode bloquear requisições maliciosas antes que o WordPress se inicialize completamente. Suporta recursos avançados como monitoramento de integridade de arquivos e notificações de eventos.
- All In One WP Security: um plugin de segurança gratuito com firewall embutido que oferece proteção básica por meio de regras .htaccess e filtragem em PHP. É menos sofisticado que o Wordfence ou o NinjaFirewall, mas oferece uma interface mais simples para iniciantes.
Contra o que os WAFs protegem
Um WAF bem configurado defende contra uma ampla variedade de tipos de ataque:
- Injeção de SQL: atacantes injetam consultas SQL maliciosas via campos de formulário, parâmetros de URL ou cookies para ler, modificar ou apagar conteúdo do banco de dados.
- Cross-site scripting (XSS): atacantes injetam JavaScript em páginas que outros usuários visualizam, roubando cookies de sessão ou redirecionando visitantes a sites maliciosos.
- Ataques de força bruta: ferramentas automatizadas que testam milhares de combinações de nome de usuário e senha contra sua página de login. WAFs podem limitar a taxa de tentativas de login ou bloquear IPs após falhas repetidas.
- Ataques de bots: bots automatizados que extraem conteúdo, fazem spam em formulários de comentário ou sondam vulnerabilidades. WAFs podem identificar e bloquear tráfego de bots com base em padrões de comportamento e assinaturas conhecidas.
- Ataques de inclusão de arquivos: exploram plugins vulneráveis para incluir arquivos maliciosos de servidores remotos (Remote File Inclusion) ou do próprio servidor (Local File Inclusion).
- Exploits zero-day: quando uma nova vulnerabilidade é descoberta, os provedores de WAF podem aplicar patches virtuais em horas, protegendo seu site antes que o desenvolvedor do plugin ou tema lance uma correção oficial.
Falsos positivos e ajuste do WAF
Um dos maiores desafios com qualquer WAF são os falsos positivos, em que requisições legítimas são bloqueadas porque correspondem a uma regra de segurança. Isso acontece com mais frequência do que se imagina. Por exemplo, um post de blog contendo exemplos de código SQL pode disparar uma regra de injeção de SQL. Um administrador fazendo upload de um arquivo com caracteres incomuns no nome pode ser bloqueado. Um formulário personalizado com entrada HTML pode parecer uma tentativa de XSS para o WAF. Ajustar seu WAF significa revisar requisições bloqueadas regularmente, criar exceções (regras de allowlist) para padrões legítimos de tráfego e ajustar níveis de sensibilidade. A maioria dos WAFs oferece um "modo de aprendizado" ou "modo de monitoramento", em que registram requisições suspeitas sem bloqueá-las, permitindo que você identifique falsos positivos antes de habilitar a aplicação efetiva.
WAF vs. hardening de segurança
Um WAF não substitui boas práticas de segurança. É uma camada adicional de defesa. Você ainda precisa manter o WordPress, plugins e temas atualizados. Você ainda precisa de senhas fortes e autenticação em duas etapas. Você ainda precisa de permissões de arquivo adequadas e de um ambiente de hospedagem seguro. Pense no WAF como um segurança na porta. Ele detém os encrenqueiros óbvios, mas não corrige problemas estruturais dentro do prédio. A segurança WordPress mais eficaz combina um WAF com atualizações regulares, hardening de segurança, varredura de malware e backups adequados.
Regras gerenciadas vs. regras personalizadas
A maioria dos WAFs vem com rulesets gerenciados mantidos pela equipe de segurança do provedor. Essas regras são atualizadas regularmente para cobrir novas vulnerabilidades e técnicas de ataque. Regras gerenciadas funcionam bem para a maioria dos sites WordPress porque cobrem vetores comuns de ataque sem exigir configuração manual. Regras personalizadas permitem que você crie suas próprias condições de bloqueio com base em suas necessidades específicas. Por exemplo, você pode criar uma regra que bloqueia todas as requisições a /xmlrpc.php de fora do seu país, ou uma regra que limita a taxa de requisições de API de uma faixa de IP específica. Regras personalizadas são poderosas, mas exigem bom entendimento dos seus padrões de tráfego para evitar bloquear visitantes legítimos.
O que o InspectWP verifica
O InspectWP pode detectar várias soluções de WAF por meio de cabeçalhos de resposta e registros DNS. WAFs baseados em nuvem como Cloudflare e Sucuri modificam registros DNS e adicionam cabeçalhos característicos que o InspectWP identifica. Isso ajuda você a confirmar que seu WAF está configurado adequadamente e protegendo ativamente seu site WordPress.