Il traffico Bot è più alto di quanto sia mai stato. Secondo Distil Networks, nel 2017, i bots maligni rappresentavano il 21.8% di tutto il traffico dei siti web, con un aumento del 9.5% rispetto all’anno precedente. Non solo, ma il 74% del traffico dei bot maligni è costituito da bot moderati o sofisticati, che eludono il rilevamento distribuendo i loro attacchi su più indirizzi IP o simulando il comportamento umano. Questa diventa una sfida per le aziende che non sanno nulla su come filtrare o bloccare questo tipo di traffico.

Oggi vogliamo presentarvi un modo incredibilmente semplice per difendervi utilizzando il Web Application Firewall di Sucuri (WAF). Se il vostro sito WordPress è sottoposto ad un attacco DDoS oppure se state registrando eccessivo traffico da bot e proxy, un WAF può aiutarvi a risolvere quasi istantaneamente il problema.

Di seguito analizzeremo come configurare il firewall di Sucuri nel vostro sito WordPress, vedremo quali sono le impostazioni ottimali e qual è il piano che dovreste scegliere per avere i risultati migliori.

Cos’è Sucuri WAF

Sucuri è una piattaforma di sicurezza per siti web tutto-in-uno che aiuta a proteggere la vostra azienda dalle minacce alla sicurezza e a mitigare gli attacchi già in corso. Sucuri offre una varietà di prodotti e servizi diversi, come un CDN, scansione di malware, riparazione delle violazioni, monitoraggio DNS, rilevamento di modifiche ai file, protezione da attacchi brute force e molto altro.

Sucuri

Oggi però ci interessa solo un prodotto, e questo è il Sucuri Web Application Firewall (WAF). Il Firewall di Sucuri è basato sul cloud ed è progettato per bloccare violazioni e attacchi a siti Web (compreso il traffico maligno). Come funziona? In sostanza voi indirizzate il vostro DNS verso Sucuri e Sucuri indirizza il vostro traffico verso il vostro host WordPress. Il firewall dell’applicazione web si trova nel mezzo, e blocca il traffico prima ancora che arrivi al vostro host.

Sucuri Web Application Firewall (WAF)
Web Application Firewall (Origine immagine: Sucuri)

Il team di Sucuri è alla costante ricerca di nuovi metodi per migliorare il rilevamento e la mitigazione delle minacce in evoluzione. Sucuri vi permette anche di aggiungere le vostre regole personalizzate, il che rende il loro servizio molto potente!

Avete Davvero Bisogno di Sucuri?

Avete davvero bisogno di un servizio come Sucuri? Dipende. Avere un firewall per applicazioni web che si trova nel mezzo tra il vostro sito WordPress e il vostro provider di hosting non è mai una cosa negativa. 😉 In effetti, molto probabilmente vi farà risparmiare tempo e problemi lungo la strada.

Sfortunatamente, di regola non vediamo clienti che utilizzano un servizio come Sucuri fino a quando non iniziano ad avere problemi. Gli eventi più comuni sono gli attacchi DDoS e il traffico maligno proveniente da bot e server proxy. Quando diciamo “maligno” non sempre intendiamo qualcuno che tenta di hackerare il vostro sito. Il più delle volte si tratta è in realtà traffico massivo che causa problemi di sovraccarico con il vostro provider di hosting. Ciò potrebbe riguardare visite, larghezza di banda, ecc. In altre parole, è un traffico “maligno” perché costa denaro! Se utilizzate un provider di hosting condiviso, potrebbe persino portare alla sospensione del vostro sito WordPress.

Di seguito è riportato un esempio di un sito che è stato improvvisamente colpito con traffico proxy IP maligno durante la notte. Possiamo vedere esattamente quando è iniziata, grazie alle statistiche di MyKinsta. Il sito è passato da una media di 125 visite al giorno a 1.500 visite al giorno (e sfortunatamente non si trattava solo di traffico virale temporaneo). È anche passato dal consumo di 25 MB di banda al giorno a 25 GB di banda al giorno. Caspita!

Bot e traffico proxy
Bot e traffico proxy

Dando uno sguardo più approfondito alle statistiche, abbiamo potuto constatare che la regione che visitava di più il sito era la provincia di Arezzo, con oltre 4 milioni di richieste negli ultimi 30 giorni. Questo sito di solito registra oltre il 90% del suo traffico dagli Stati Uniti, quindi possiamo facilmente individuare questa come regione di origine.

Traffico spam per regione
Traffico spam per regione

La maggior parte dei provider di hosting, compreso Kinsta, blocca i comuni bot maligni, elimina gli IP di spam e dispone di impostazioni di sicurezza aggiuntive, come la limitazione degli IP. Tuttavia, questo di solito non è efficace quanto un WAF professionale, come Sucuri o Cloudflare, il cui intero modello di business ruota attorno all’innovazione intesa come ricerca di modi migliori di filtrare il cattivo traffico.

Questo è anche il motivo per cui non raccomandiamo l’uso del vostro host WordPress per l’hosting delle email. Utilizzare solo gli strumenti e servizi migliori nei loro rispettivi ambiti, aiuterà la vostra azienda ad avere successo. Noi ci concentriamo su ciò che sappiamo fare meglio, e questo è fornire un servizio di hosting dalle alte prestazioni ed un supporto di livello mondiale. 👍

Cose da Provare Prima di Sucuri

Se avete problemi di traffico maligno sul vostro sito WordPress, sappiate che ci sono alcune cose che potete provare prima di aggiungere Sucuri.

1. Bloccare Manualmente i Singoli Indirizzi IP

La prima cosa è provare a bloccare manualmente gli indirizzi IP offensivi. Se siete clienti Kinsta, potete utilizzare il rapporto sugli IP dei principali client (Top Client IPs) nelle statistiche di MyKinsta per visualizzare i principali responsabili.

Principali IP
Principali IP dei client

Alcune ricerche di IP su Google dimostrano che molti di questi sono probabilmente indirizzi IP proxy provenienti dall’Italia (dove si trova la provincia di Arezzo). Quindi molto probabilmente sono robot o spammer.

Indirizzi IP proxy
Indirizzi IP proxy

Potete quindi utilizzare lo strumento IP Deny tool per bloccare gli indirizzi IP. In seguito, monitorate le vostre visite e il consumo di banda per vedere se questo risolve il problema. In alcuni casi potrebbere essere solo un paio di IP maligni a colpire il vostro sito e, una volta bloccati, siete a posto. Tuttavia, questo potrebbe anche trasformarsi in un processo senza fine di inserimento degli IP nella blacklist, e quindi non risolve il problema abbastanza velocemente.

Indirizzi IP bloccati
Indirizzi IP bloccati

Se non siete clienti Kinsta, potete utilizzare uno dei tanti plugin di sicurezza di WordPress, molti dei quali hanno funzionalità di blocco e limitazione IP.

Ma fate attenzione se scegliete questo approccio. Molti plugin di sicurezza causano problemi di prestazioni a causa delle loro funzionalità di scansione sempre attive. Ecco perché Kinsta vieta alcuni (non tutti) plugin di sicurezza. Kinsta, inoltre, utilizza il bilanciamento del carico con Google Cloud Platform, il che significa che in alcuni casi le funzionalità di blocco IP di alcuni plugin di sicurezza non funzioneranno come previsto.

2. Geo-Blocking

Un’altra raccomandazione è bloccare il traffico proveniente da un’intera regione o paese. Kinsta, infatti, supporta il geo-blocking. Dovete per questo semplicemente contattare il nostro team di supporto e fornire i codici ISO dei Paesi che desiderate bloccare. Leggete di più sul blocco del traffico in base alla posizione.

Oppure puoi provare ad utilizzare un plugin di sicurezza per WordPress come IP Location Block o WordFence, che supportano il geo-blocking. Come anticipato, questi plugin non sono supportati e quindi non funzioneranno su Kinsta.

Se le soluzioni descritte non vanno bene per voi, vi consigliamo di implementare un WAF premium come Sucuri. Non ci sono plugin da installare o gestire e il firewall si trova semplicemente tra il vostro sito e il vostro host. Questo è il miglior metodo in termini di prestazioni e vi permetterà quindi, quasi come per magia, di sbarazzarvi di tutto quel traffico maligno!

Piano Sucuri Firewall Consigliato

Noi raccomandiamo il piano Sucuri Pro firewall o superiore. Perché? Perché il Piano Pro ($20 al mese) è comprensivo di supporto dei certificati SSL personali insieme alla protezione DDoS HTTPS avanzata ai Layer 3, 4 e 7. Se siete curiosi, sappiate che Cloudflare include solo la protezione Layer 7 nel piano da $200/mese.

Questo aiuta a rilevare automaticamente cambiamenti improvvisi nel traffico e protegge da “POST floods” e attacchi basati sui DNS, in modo che non questi raggiungano mai il server di origine. A meno che non siate esperti di sicurezza, potrà essere difficile distinguere tra un piccolo attacco DDoS e il traffico maligno che travolge il vostro sito.

Un attacco HTTP flood è un tipo di attacco Layer 7 che utilizza richieste standard GET/POST valide, utilizzate per recuperare informazioni, come nei normali recuperi di dati da URL (immagini, informazioni, ecc.) durante le sessioni SSL. Un HTTP flood GET/POST è un attacco volumetrico che non utilizza pacchetti malformati, spoofing o tecniche di riflessione. – Sucuri

Il piano Pro include anche il supporto HTTP/2, una funzionalità decisamente desiderabile se si ragiona in termini di prestazioni. Altre funzionalità, comprese in tutti i piani, sono:

  • Sistema di rilevamento delle intrusioni
  • Sistema di prevenzione delle intrusioni
  • Registri di Controllo Gestiti / Sicurezza
  • Protezione da HTTP Flood
  • Protezione da Brute Force
  • Patching e Hardening virtuali
  • SQL, XSS e prevenzione dell’iniezione di codice (ulteriore lettura: SQL injection)
  • One-click 2FA, Captcha e Protezione Password su qualsiasi pagina
  • Supporto CDN esterno
  • Bilanciamento del carico

Offrono un periodo di prova di 30 giorni.

Come Configurare Sucuri Firewall

Oggi vi guideremo nella configurazione del firewall di Sucuri nel vostro sito WordPress utilizzando il piano Pro che abbiamo consigliato. In realtà la configurazione è abbastanza semplice e richiede solo pochi minuti.

Passo 1

Innanzitutto, se non lo avete già fatto, iscrivetevi al piano Sucuri Pro.

Passo 2

Una volta all’interno della dashboard di Sucuri, fate clic sul pulsante “Protect My Site Now!” (“Proteggi il mio sito ora!”).

Sucuri protegge il mio sito
Sucuri protegge il mio sito

Passo 3

Inserite il vostro nome di dominio e configurate le seguenti opzioni (le lasciamo tutte e tre non spuntate):

  • Sotto attacco DDoS: Abilitare questa opzione attiverà automaticamente alcune delle opzioni più aggressive di Sucuri. Potreste essere interessati se siete certi che state subendo un attacco. Queste impostazioni possono sempre essere modificate in seguito.
  • Directory autorizzate: abilitate questa opzione se desiderate limitare l’accesso alle directory di amministrazione solo agli indirizzi IP nella whitelist. (ad es. /wp-login o /admin). Nota: nei siti di eCommerce, probabilmente preferirete lasciare questa opzione disabilitata. Ricordate che i clienti accedono anche a queste aree.
  • DNS Sucuri: Sucuri vi offre la possibilità di utilizzare la loro infrastruttura DNS. Ciò consente loro di effettuare il routing geografico per prestazioni globali ottimizzate, failover e disponibilità elevata. Tuttavia, oggi deselezioneremo questa opzione poiché desideriamo continuare a utilizzare il nostro provider DNS. Ad esempio, se state usando il DNS di Kinsta e volete continuare a gestire i vostri record DNS su Kinsta, deselezionate questa opzione.
Aggiungi sito al Website Firewall
Aggiungi sito al Website Firewall

Passo 4

Importante: Scegliendo il piano Pro o uno superiore, il team Sucuri vi fornirà e installerà GoDaddy SSL sul firewall prima della modifica dei DNS. Il certificato GoDaddy verrà rinnovato e incluso nel costo mensile.

Pertanto, quando passate al piano Pro la transizione dovrebbe essere fluida e non comportare tempi di inattività.

Usate i Certificati Let’s Encrypt con Sucuri

In alternativa, l’altra opzione è quella di fornire gratuitamente i certificati Let’s Encrypt. Questi però possono essere emessi solo dopo averli fatti puntare sul vostro dominio. Se decidete di utilizzare l’opzione Let’s Encrypt gratuita, vi consigliamo di puntare il vostro sito durante le ore non di punta.

Usate i certificati Let’s Encrypt con Kinsta

Kinsta fornisce anche certificati Let’s Encrypt gratuiti. Per utilizzare i nostri certificati, dovrete prima contattare il loro supporto e chiedere di abilitare l’impostazione per “inoltrare la convalida dei certificati”. Ciò consente di completare con successo il provisioning HTTPS. È quindi possibile installare il certificato SSL gratuito dal cruscotto MyKinsta.

Passo 5

Ora è il momento di puntare il vostro dominio. Scorrete verso il basso nella pagina generale della dashboard, dove vengono fornite le informazioni sul DNS. Dovrete aggiornare il record A per il tuo dominio in modo che punti al firewall di Sucuri. Normalmente, ciò avviene presso il vostro registrar di domini o il vostro provider DNS.

Puntare il record A al firewall
Puntare il record A al firewall

Nota: Sucuri dovrebbe identificare automaticamente il vostro indirizzo IP corrente. Per cui, una volta aver puntato il vostro dominio su Sucuri, il traffico verrà automaticamente reindirizzato al vostro host WordPress.

Se state utilizzando il DNS di Kinsta, questa operazione può essere effettuata dal cruscotto di MyKinsta. Fate clic sul vostro dominio e aggiornate il record A name con l’indirizzo IP fornito da Sucuri.

IP del Firewall Sucuri
IP del Firewall Sucuri

Le modifiche al DNS possono richiedere fino a 48 ore per essere propagate, ma in genere richiedono solo poche ore o anche meno. Potete controllare se il vostro DNS si è propagato con whatsmydns.net. Potete anche fare clic sulla piccola icona “Aggiorna” nel pannello di amministrazione di Sucuri per confermare che il vostro dominio punta verso di loro.

Attivazione di Sucuri
Attivazione di Sucuri

Diventerà verde una volta che avranno rilevato che tutto è stato instradato correttamente.

Sucuri attivato
Sucuri attivato

Passo 6

Se avete un firewall sul vostro host WordPress, vi consigliamo di autorizzare gli indirizzi IP di Sucuri. Dato che tutte le connessioni al server di hosting passeranno attraverso il loro firewall, inserendo i loro indirizzi IP nella whitelist, si eviterà che vengano bloccati in modo erroneo. Nota: gli IP riportati di seguito sono semplici esempi, quindi consultate la pagina di amministrazione per gli IP Sucuri corretti assegnati al vostro account.

192.88.134.0/23
185.93.228.0/22
2a02:fe80::/29
66.248.200.0/22

Clienti Kinsta

Se siete clienti Kinsta, dovrete contattare il nostro team di supporto e permetterci di aggiungere le regole Sucuri WAF appropriate sul vostro sito. Gli IP di Sucuri sono già inseriti nella whitelist nel nostro ambiente, ma abbiamo lavorato a stretto contatto con il loro team e abbiamo ulteriori regole Nginx che devono essere aggiunte per far sì che la vostra esperienza con Kinsta + Sucuri funzioni senza problemi.

Impostazioni Ottimali di Sucuri

In genere non consigliamo l’utilizzo del plugin Sucuri per WordPress, in quanto crea semplicemente problemi generali, di gestione e di prestazioni. Lasciate che il Firewall di Sucuri, che si trova tra il vostro sito WordPress e il vostro host, faccia ciò che sa fare meglio a livello di server.

Di seguito sono riportate alcune impostazioni raccomandate che dovreste applicare nella dashboard di Sucuri.

Opzioni di Sicurezza Avanzate

Nella scheda “Sicurezza” consigliamo di abilitare le seguenti opzioni:

  • XMLRPC, Comments and Trackbacks blocked (XMLRPC, Commenti e Trackback bloccati): se il sito non consente commenti, o se si utilizza un sistema di commenti esterno (come Disqus), è possibile bloccare qualsiasi tentativo di commento, poiché è probabile che sia spam. Se state utilizzando i commenti nativi di WordPress, non abilitatelo.
  • Block anonymous proxies and the top three attack countries (Blocca i proxy anonimi e i primi tre paesi di attacco): l’attivazione di questa opzione impedirà a chiunque, dalla Cina, dalla Russia o dalla Turchia, di interagire con il vostro sito. Sono ancora in grado di visualizzare tutto il suo contenuto, ma non di registrare un account, inviare commenti o tentare di accedere (in pratica viene impostata la modalità di sola lettura). La stessa restrizione si applica agli utenti che utilizzano servizi proxy anonimi per nascondere i loro indirizzi IP.
  • Aggressive bot filter (Filtro bot aggressivo): questa impostazione bloccherà gli user agent invalidi che non corrispondono a browser reali, come user agent vuoti, user agent che iniziano con PHP e user agent impropri da browser comuni.
  • Advanced evasion detection (Rilevamento avanzato dell’evasione): questa opzione abiliterà le firme avanzate di rilevamento dell’evasione di Sucuri. Vi consigliamo di tenerlo attivo, ma se il vostro sito supporta URL su caratteri non ASCII (come giapponese, indiano, russo, ecc.), potrebbe essere necessario disabilitarlo.
Impostazioni avanzate di sicurezza in Sucuri
Impostazioni avanzate di sicurezza in Sucuri

L’opzione “Enable Emergency DDoS protection” (“Abilita Protezione DDoS di Emergenza”) funziona molto bene se ritenete che il vostro sito sia sotto attacco. La protezione da HTTP flood impedirà a chiunque di visitare il sito con un browser senza JavaScript (ad esclusione dei principali motori di ricerca). Tuttavia, in base alla nostra esperienza, questo genera anche una richiesta HTTP aggiuntiva sul caricamento del documento iniziale. Quindi consigliamo di disattivare questa opzione quando le cose si siano normalizzate.

Potete anche abilitare sul tuo sito intestazioni di sicurezza aggiuntive come HSTS.

Caching

Alla voce “Performance → Caching Level” potete stabilire come volete che Sucuri gestisca il caching. Molto probabilmente il vostro sito WordPress è già configurato correttamente per il caching. Pertanto, consigliamo di selezionare “Site caching”. Ciò privilegerà la cache del server di origine invece di utilizzare quella di Sucuri. Se siete clienti di Kinsta, il vostro sito continuerà a utilizzare il nostro veloce caching a pagina intera e non interferirà con le regole personalizzate che abbiamo in essere.

Caching sito Sucuri
Caching sito Sucuri

Potete sicuramente testare l’opzione di cache raccomandata di Sucuri, e con essa potreste anche avere prestazioni leggermente superiori. Ma un avvertimento potrebbe essere necessario quando si gestisce un sito altamente dinamico come WooCommerce o EDD. Da Kinsta abbiamo regole aggiuntive per non memorizzare nella cache cose come le pagine del carrello, le pagine di checkout e, soprattutto, i cookie. In effetti, Sucuri consiglia di utilizzare le intestazioni dei propri siti per i siti di eCommerce.

CDN

Sucuri vi consente di utilizzare il vostro CDN di terze parti (come KeyCDN, MaxCDN) o il loro stesso CDN. Il CDN di Sucuri si caratterizza per una veloce rete Anycast HTTP/2 con 6 SuperPOP negli USA, Europa, Asia e 3 POP CDN in Australia, Brasile e Filippine. Questo non comporta costi aggiuntivi quando si utilizza già il firewall.

CDN Sucuri
CDN Sucuri

Potete usare senza problemi il CDN di Kinsta con Sucuri, ma il loro CDN è veloce e affidabile e in genere consigliamo di usare o l’uno o l’altro. Se volete usare il CDN di Kinsta, dovrete selezionare “Altro” nella scheda del supporto CDN.

Se volete impostare il vostro sito con un CDN di terze parti, potete farlo. Basta dare un’occhiata alla loro Knowledge Base per una panoramica sulle integrazioni di CDN di terze parti:

Compressione

Nella sezione “Performance → Compression” consigliamo di abilitare la compressione. Questo ridurrà il numero di byte inviati attraverso la rete e migliorerà le prestazioni del vostro sito.

Abilitare la compressione in Sucuri
Abilitare la compressione in Sucuri

E questo è tutto! Lasciate che Sucuri faccia la sua magia nei prossimi due giorni e probabilmente rimarrete piacevolmente sorpresi dai risultati. Nel sito su cui lo abbiamo implementato, il consumo di banda è immediatamente crollato e le visite sono tornate alla precedente media giornaliera.

Risorse dopo l'attivazione del WAF di Sucuri
Risorse dopo l’attivazione del WAF di Sucuri

Funzionalità e Report Utili Aggiuntivi

Ora che avete configurato Sucuri, ci sono molte altre utili funzioni e report che potete sfruttare per migliorare ulteriormente la qualità del traffico che raggiunge il vostro sito.

Controllo degli Accessi

La scheda “Access Control” vi offre la possibilità di inserire nella whitelist e nella blacklist indirizzi IP e percorsi, bloccare gli user-agent, bloccare i cookie, bloccare i referrer HTTP e anche proteggere una determinata pagina con un captcha, autenticazione a due fattori o semplice password. Potete anche bloccare facilmente un intero paese con la loro funzione di blocco geografico.

Geo-blocking Sucuri
Geo-blocking Sucuri

Vista in tempo reale

La vista in tempo reale è fantastica! Potete visualizzare rapidamente un intero registro di richieste correnti, aggiungere alla whitelist o alla blacklist con un solo click qualunque cosa sia sospetta, e vi fornirà anche il motivo nel caso in cui fosse già bloccata.

Vista Protezione DDoS in tempo reale
Vista Protezione DDoS in tempo reale

Attacchi Bloccati

Il grafico degli attacchi bloccati consente di visualizzare rapidamente una percentuale dei tipi di attacchi bloccati, compresi gli attacchi DDoS. Alcuni altri grafici in questa finestra riguardano il traffico per tipo di browser, i dispositivi e i codici di risposta HTTP.

Attacchi bloccati in Sucuri
Attacchi bloccati in Sucuri

Traffico Medio per Ora

Il grafico del traffico medio per ora è utile per vedere quali sono gli orari di punta per il vostro sito e offre un indicatore delle richieste bloccate.

Traffico medio per ora
Traffico medio per ora

Traffico per Paese

La tabella del traffico per paese può aiutarvi a determinare se qualcosa proviene da una geolocalizzazione specifica. Nei controlli di accesso, potete facilmente bloccare temporaneamente un intero paese con un solo clic.

Traffico per paese
Traffico per paese

Visualizzazione IP Reale

Dal vostro lato, potrebbe sembrare che tutti gli utenti stiano utilizzando lo stesso indirizzo IP. Questo è semplicemente causato dal WAF. Se la vostra applicazione o il vostro host richiedono l’IP dell’utente reale, consultate la documentazione di Sucuri.

Sommario

Il firewall di Sucuri è molto semplice da configurare, e questo lo rende un gioco da ragazzi se avete problemi con traffico di scarsa qualità, attacchi DDoS o bot. Per molti siti, i $20/mese si giustificano da soli in quanto assicurano che il traffico maligno venga filtrato e che solo i clienti paganti siano autorizzati ad accedere. Senza contare che probabilmente vedrete un aumento delle prestazioni, sia per il front-end del vostro sito che per la dashboard del back-end di WordPress.

Cosa ne pensate di Sucuri? L’avete provato sul vostro sito WordPress? Fatecelo sapere di seguito nei commenti.

Brian Jackson

Brian ha una grande passione per WordPress, lo usa da più di dieci anni e sviluppa anche un paio di plugin premium. Brian ama i blog, i film e le escursioni. Entra in contatto con Brian su Twitter.