С ростом веб-угроз любое веб-приложение должно иметь надлежащий брандмауэр для защиты от атак для бесперебойной работы онлайн-бизнеса.
Наличие уязвимых файлов, подключаемых модулей, программного обеспечения или неправильной конфигурации на вашем сервере может подвергнуть риску безопасность, что может привести к финансовым и репутационным потерям.
Однако, когда дело доходит до их исправления или защиты, вам придется немного потратиться.
Что ж, возможно, вы слышали о « Mod Security », который является бесплатным брандмауэром веб-приложений ( WAF ), и вы можете рассмотреть возможность его использования с вашими веб-серверами, такими как Apache, Nginx и т. д. Mod Security может быть хорошей защитой для веб-сайтов, но это требует значительного уровня знаний о конфигурации и постоянного обслуживания.
Если вы не хотите иметь проблемы с обслуживанием и настройкой, то использование Cloud-Based Security Provider ( CBSP ) поможет вам автоматически защитить ваш веб-сайт от онлайн-угроз.
Cloudflare
Cloudflare является крупным игроком в CDN с долей рынка более 75% и предоставляет WAF план PRO. Cloudflare WAF защищает вас от 10 основных уязвимостей OWASP и автоматически защищает от следующих типов атак.
- SQL-инъекция
- Защита от спама
- XSS
- DDoS-атаки
- Уязвимости конкретных приложений, таких как WordPress , Joomla
Вы можете пользоваться набором правил Cloudflare и базовым набором правил безопасности OWASP Mod Security WAF с их тарифным планом Pro.
Набор правил основан на частых атаках, обнаруженных в их сети, на следующие популярные приложения.
- Atlassian
- Drupal
- Flash
- Joomla
- Magento
- PHP
- Plone
- WordPress
- WHMCS
Наряду с приведенным выше набором правил у них есть « Cloudflare Special », который может помочь вам с более чем 80 типами атак, включая некоторые из распространенных, как показано ниже.
- Empty User-Agent
- Numbers Botnet
- SQLi probing
- ShellShock
- Block Semalt crawler
- SVG XSS attempt
- Null cookie headers
- Prevent fake search engine (Google, Baidu, Yandex) bots from crawling
- Brute force attacks
SUCURI
У SUCURI есть две службы безопасности — платформа безопасности веб-сайтов и WAF.
Если вам просто нужна защита WAF, вы можете начать с базового плана Sucuri Firewall , который охватывает следующее.
- XSS (межсайтовый скриптинг)
- RCE (удаленное выполнение кода)
- SQLi (инъекция SQL)
- Защита от DDoS-атак уровня 7
- Защита от грубой силы
- Система обнаружения вторжений
- Система предотвращения вторжений
- Защита от HTTP-флуда
- 2FA, Captcha и защита паролем
- Попытки черного взлома
SUCURI поддерживает различные платформы, включая WordPress, Joomla, Drupal, Magento, OSCommerce , vBulletin, phpBB.
Astra Security
Набор инструментов безопасности Astra включает в себя активный WAF 24 * 7 в дополнение к сканеру вредоносных программ по запросу, утилитам VAPT и другим сопутствующим функциям, таким как активность входа в систему, блокировка страны / IP-адреса и т. д.
Более того, Astra — это брандмауэр конечной точки, который отлично работает на вашем собственном сервере. Таким образом, вам не нужно беспокоиться об изменении вашего DNS, как это требуется для других.
Вы получаете простую и интуитивно понятную панель инструментов, которая представляет собой сжатый обзор угроз, а также подробное представление для более глубокого изучения любой из атак. Проверка и управление безопасностью вашего веб-сайта еще никогда не были такими простыми.
Astra security поставляется в трех разных планах: Pro, Advanced и Business, которые защищают вас от таких атак, как:
- XSS (Cross-Site Scripting)
- CSRF (Cross-Site Request Forgery)
- SQLi
- LFI/RFI
- SPAM
- BAD BOTS
- OWASP TOP 10
- RCE (Remote Code Execution)
- Brute Force protection
- Credit card hacks
- DoS & DDoS
Astra действительно покрывает все основы, когда речь идет об обеспечении надежной безопасности вашего веб-приложения .
StackPath
StackPath анализирует все входящие запросы к вашему сайту или API и пропускает только законный трафик. Он останавливает всех злоумышленников, ботов, спам и вредоносные запросы в их пограничной сети.
Самое замечательное, что вам не нужно ничего знать для настройки. Все практически выполнимо благодаря их простому в использовании интерфейсу. И, как вы можете видеть ниже, это не просто топ-10 OWASP, у них также есть свои собственные встроенные пользовательские правила.
StackPath также позволяет создавать собственные правила для сложных требований. Например, вы можете разрешить или заблокировать на основе IP, страны, URL/URI. Вы можете видеть в режиме реального времени информацию о событиях безопасности, включая следующие.
- Основные источники угроз и действия
- Подробное событие с IP-адресом, действием, страной, отметкой времени, активированными правилами.
Опять же, вам не нужно беспокоиться об управлении правилами для предотвращения новой уязвимости, поскольку StackPath периодически делает это.
Интересно, сколько это стоит ? Вот краткие сведения о ценах WAF.
Поставщик облачной безопасности | Стоимость (начиная с долларов США) в месяц |
SUCURI | $9,99 |
Cloudflare | 20 долларов |
Astra Security |
19 долларов |
StackPath | 10 долларов |
Всегда разумно проверять цену на официальном сайте, так как время от времени у них могут быть предложения.
Есть много других поставщиков WAF, таких как Incapsula, AKAMAI, F5, Dyn, AWS, но они больше подходят для предприятий и выше, для блоггеров, малого и среднего бизнеса. Внедрение вышеперечисленного WAF не займет более 10 минут, так что вперед и защитите свой сайт уже сегодня!