84% приложений, протестированных Trustwave, имели одну или несколько уязвимостей.

С ростом веб-угроз любое веб-приложение должно иметь надлежащий брандмауэр для защиты от атак для бесперебойной работы онлайн-бизнеса.

Наличие уязвимых файлов, подключаемых модулей, программного обеспечения или неправильной конфигурации на вашем сервере может подвергнуть риску безопасность, что может привести к финансовым и репутационным потерям.

Однако, когда дело доходит до их исправления или защиты, вам придется немного потратиться.

Что ж, возможно, вы слышали о « Mod Security », который является бесплатным брандмауэром веб-приложений ( WAF ), и вы можете рассмотреть возможность его использования с вашими веб-серверами, такими как Apache, Nginx и т. д. Mod Security может быть хорошей защитой для веб-сайтов, но это требует значительного уровня знаний о конфигурации и постоянного обслуживания.

Если вы не хотите иметь проблемы с обслуживанием и настройкой, то использование Cloud-Based Security Provider ( CBSP ) поможет вам автоматически защитить ваш веб-сайт от онлайн-угроз.

Cloudflare

Cloudflare является крупным игроком в CDN с долей рынка более 75% и предоставляет WAF план PRO. Cloudflare WAF защищает вас от 10 основных уязвимостей OWASP и автоматически защищает от следующих типов атак.

  • SQL-инъекция
  • Защита от спама
  • XSS
  • DDoS-атаки
  • Уязвимости конкретных приложений, таких как WordPress , Joomla

Вы можете пользоваться набором правил Cloudflare и базовым набором правил безопасности OWASP Mod Security WAF с их тарифным планом Pro.

Набор правил основан на частых атаках, обнаруженных в их сети, на следующие популярные приложения.

  • Atlassian
  • Drupal
  • Flash
  • Joomla
  • Magento
  • PHP
  • Plone
  • WordPress
  • WHMCS

Наряду с приведенным выше набором правил у них есть « Cloudflare Special », который может помочь вам с более чем 80 типами атак, включая некоторые из распространенных, как показано ниже.

 

  • Empty User-Agent
  • Numbers Botnet
  • SQLi probing
  • ShellShock
  • Block Semalt crawler
  • SVG XSS attempt
  • Null cookie headers
  • Prevent fake search engine (Google, Baidu, Yandex) bots from crawling
  • Brute force attacks

SUCURI

У SUCURI есть две службы безопасности — платформа безопасности веб-сайтов и WAF.

Если вам просто нужна защита WAF, вы можете начать с базового плана Sucuri Firewall , который охватывает следующее.

  • XSS (межсайтовый скриптинг)
  • RCE (удаленное выполнение кода)
  • SQLi (инъекция SQL)
  • Защита от DDoS-атак уровня 7
  • Защита от грубой силы
  • Система обнаружения вторжений
  • Система предотвращения вторжений
  • Защита от HTTP-флуда
  • 2FA, Captcha и защита паролем
  • Попытки черного взлома

SUCURI поддерживает различные платформы, включая WordPress, Joomla, Drupal, Magento, OSCommerce , vBulletin, phpBB.

Astra Security

Набор инструментов безопасности Astra включает в себя активный WAF 24 * 7 в дополнение к сканеру вредоносных программ по запросу, утилитам VAPT и другим сопутствующим функциям, таким как активность входа в систему, блокировка страны / IP-адреса и т. д.

Более того, Astra — это брандмауэр конечной точки, который отлично работает на вашем собственном сервере. Таким образом, вам не нужно беспокоиться об изменении вашего DNS, как это требуется для других.

Вы получаете простую и интуитивно понятную панель инструментов, которая представляет собой сжатый обзор угроз, а также подробное представление для более глубокого изучения любой из атак. Проверка и управление безопасностью вашего веб-сайта еще никогда не были такими простыми.

Astra security поставляется в трех разных планах: Pro, Advanced и Business, которые защищают вас от таких атак, как:

  • XSS (Cross-Site Scripting)
  • CSRF (Cross-Site Request Forgery)
  • SQLi
  • LFI/RFI
  • SPAM
  • BAD BOTS
  • OWASP TOP 10
  • RCE (Remote Code Execution)
  • Brute Force protection
  • Credit card hacks
  • DoS & DDoS

Astra действительно покрывает все основы, когда речь идет об обеспечении надежной безопасности вашего веб-приложения .

StackPath

StackPath анализирует все входящие запросы к вашему сайту или API и пропускает только законный трафик. Он останавливает всех злоумышленников, ботов, спам и вредоносные запросы в их пограничной сети.

Самое замечательное, что вам не нужно ничего знать для настройки. Все практически выполнимо благодаря их простому в использовании интерфейсу. И, как вы можете видеть ниже, это не просто топ-10 OWASP, у них также есть свои собственные встроенные пользовательские правила.

StackPath также позволяет создавать собственные правила для сложных требований. Например, вы можете разрешить или заблокировать на основе IP, страны, URL/URI. Вы можете видеть в режиме реального времени информацию о событиях безопасности, включая следующие.

  • Основные источники угроз и действия
  • Подробное событие с IP-адресом, действием, страной, отметкой времени, активированными правилами.

Опять же, вам не нужно беспокоиться об управлении правилами для предотвращения новой уязвимости, поскольку StackPath периодически делает это.

Интересно, сколько это стоит ? Вот краткие сведения о ценах WAF.

Поставщик облачной безопасности Стоимость (начиная с долларов США) в месяц
SUCURI $9,99
Cloudflare 20 долларов

Astra Security

19 долларов
StackPath 10 долларов

Всегда разумно проверять цену на официальном сайте, так как время от времени у них могут быть предложения.

Есть много других поставщиков WAF, таких как Incapsula, AKAMAI, F5, Dyn, AWS, но они больше подходят для предприятий и выше, для блоггеров, малого и среднего бизнеса. Внедрение вышеперечисленного WAF не займет более 10 минут, так что вперед и защитите свой сайт уже сегодня!