Bottrafiken är högre än det någonsin varit tidigare. Enligt Distil Networks stod dåliga bots för 21,8% av all webbplatstrafik under 2017, en ökning med 9,5% jämfört med föregående år. Inte bara det, men 74% av dålig bottrafik består av medelmåttiga eller sofistikerade bots, som undviker upptäckt genom att distribuera sina attacker över flera IP-adresser eller simulera mänskligt beteende. Detta är en utmaning för företag som inte vet något om hur de ska filtrera bort eller blockera denna typ av trafik.
Idag vill vi introducera dig för ett otroligt enkelt sätt att slå tillbaka med Sucuri Web Application Firewall (WAF). Oavsett om din WordPress-webbplats är under en DDoS-attack eller om du lider av alltför mycket bots och proxytrafik, kan en WAF nästan omedelbart hjälpa till att lösa dessa typer av problem.
Nedan dyker vi in i hur du ställer in Sucuris brandvägg på din WordPress-webbplats, tillsammans med de optimala inställningarna och vilken plan du borde välja för att se de bästa resultaten.
- Om Sucuri WAF
- Behöver Du Sucuri?
- Rekommenderad Sucuri-plan
- Hur du ställer in Sucuri Firewall
- Optimala Sucuri-inställningar
Om Sucuri WAF
Sucuri är en allt-i-en webbplatssäkerhetsplattform som hjälper till att skydda ditt företag från säkerhetshot samt mildra redan pågående attacker. De erbjuder en mängd olika produkter och tjänster, såsom ett CDN, malware-scanning, hackreparationer, DNS-övervakning, filändringsupptäckt, råstyrkeskydd, och mycket mer.
Idag behandlar vi dock en produkt, och det är Sucuri Web Application Firewall (WAF). Sucuri-brandväggen är molnbaserad och är utformad för att stoppa webbplatshacks och attacker (detta inkluderar dålig trafik). Hur fungerar det? I huvudsak pekar du din DNS till dem och de routar din trafik till din WordPress-värd. WAF sitter i mitten och blockerar trafiken innan den ens kommer till din värd.
Teamet på Sucuri undersöker ständigt nya sätt att förbättra upptäckten och mildringen av pågående hot. De låter dig även lägga till dina egna regler, vilket gör deras tjänst mycket kraftfull!
Behöver Du Sucuri?
Behöver du verkligen en tjänst som Sucuri? Det beror på. Att ha en webb-brandvägg som sitter mellan din WordPress-webbplats och ditt webbhotell är aldrig en dålig sak.😉 Faktum är att det sannolikt kommer att spara tid och problem på vägen.
Tyvärr ser vi vanligtvis inte kunder som använder en tjänst som Sucuri tills de börjar få problem. De vanligaste scenarierna är DDoS-attacker och dålig trafik från bots och proxyservrar. När vi säger ”dålig” menar vi inte alltid någon som försöker hacka din webbplats. För det mesta är det faktiskt stora mängder trafik som orsakar överdrivna problem med din värdleverantör. Detta kan gälla antal besök, bandbredd etc. Med andra ord är det ”dålig” trafik eftersom det kostar dig pengar! Om du använder en delad värd-leverantör, kan det även resultera i att din WordPress-webbplats blir avstängd.
Nedan är ett exempel på en webbplats som plötsligt drabbades av dålig proxy IP-trafik över en natt. Med hjälp av MyKinsta Analytics kan vi se exakt när det började. Webbplatsen gick från i genomsnitt 125 besök per dag till 1 500 besök per dag (och tyvärr var det inte bara tillfällig viral trafik). Det gick också från att använda 25 MB bandbredd per dag till 25 GB bandbredd per dag. Usch!
Med en djupare titt på analyserna kunde vi se att den region som mest besökte platsen var provinsen Arezzo med över 4 miljoner förfrågningar under de senaste 30 dagarna. Den här webbplatsen får vanligtvis över 90% av sin trafik från USA, så vi kan ganska enkelt identifiera detta som ursprunget.
De flesta värdar, inklusive Kinsta, blockerar vanliga dåliga bots, filtrerar ut spammiga IP, och har ytterligare säkerhetsinställningar på plats som IP-begränsning. Detta är dock vanligtvis inte lika effektivt som en professionell WAF som Sucuri eller Cloudflare, vars hela affärsmodell kretsar kring innovation när det gäller bättre sätt att filtrera bort dålig trafik.
Det är också därför vi inte rekommenderar att du använder din WordPress värd för epost-hosting. Att bara använda de bästa verktygen och tjänsterna inom deras respektive områden och branscher hjälper ditt företag att lyckas. Vi fokuserar på vad vi gör bäst och det ger högpresterande hosting och support i världsklass. 👍
Saker att prova innan Sucuri
Om du har problem med dålig trafik som träffar din WordPress-webbplats, finns det några saker du kan prova innan du lägger till Sucuri.
1. Blockera enskilda IP-adresser manuellt
Den första är att försöka blockera de bråkiga IP-adresserna manuellt. Om du är en Kinsta-kund kan du använda Top Clients IP-rapporten i MyKinsta Analytics för att se de värsta brottslingarna.
Några sökningar i Google för dessa IP och vi kan se att många av dessa förmodligen är proxy IP-adresser från Italien (där provinsen Arezzo ligger). Så troligtvis är de bots eller spammare.
Du kan sedan använda verktyget IP Deny för att blockera IP-adresserna. Övervaka dina besök och bandbredd efteråt för att se om det löser problemet. I vissa fall kan det bara vara ett par dåliga IP-adresser som träffar din webbplats och när de väl blockerats är problemet löst. Det kan dock också leda till en oändlig process av svartlistade IPs, som då inte löser problemet tillräckligt snabbt.
Om du inte är en Kinsta-kund kan du använda en av många säkerhetsplugin för WordPress, varav många har IP-blockering och begränsande funktioner.
Men var försiktig med detta tillvägagångssätt. Många säkerhetsplugin orsakar prestandaproblem på grund av att deras funktioner alltid är på och skannas. Därför förbjuder Kinsta vissa (inte alla) säkerhetsplugin. Kinsta använder också lastbalanserare med Google Cloud Platform vilket innebär att IP-blockeringsfunktioner i vissa säkerhetsplugin i vissa fall inte fungerar som avsett.
2. Geoblockering
En annan rekommendation är att blockera trafik från en hel region eller ett land. Kinsta stöder faktiskt geoblockering. Du behöver bara nå ut till vårt supportteam för detta och leverera ISO-koderna för de länder du vill blockera. Kolla in mer information om platsbaserad trafiknekning.
Eller så kan du prova att använda säkerhetsplugin för WordPress som IP Location Block eller WordFence som stöder geo-blockering. Återigen, dessa stöds inte och kommer inte att fungera på Kinsta.
Om ovanstående lösningar inte fungerar för dig rekommenderar vi att du implementerar en premium WAF som Sucuri. Det finns inga plugins att installera eller hantera och det sitter helt enkelt mellan din webbplats och din värd. Detta är den bästa metoden när det gäller prestanda och det kommer då, nästan som magi, bli av med all den dåliga trafiken!
Rekommenderad Sucuri Brandväggsplan
Vi rekommenderar Sucuri Pro Firewall-planen eller högre. Varför? Eftersom deras Pro-plan (20$/månad) innehåller stöd för anpassade SSL-certifikat tillsammans med Avancerad HTTPS DDoS-Skydd på lager 3, 4 och 7. Om du är undrar, innehåller CloudFlare bara lager 7-skydd i sin $ 200/månad plan.
Detta hjälper till att automatiskt upptäcka plötsliga förändringar i trafiken och skyddar mot POST flood- och DNS-baserade attacker, så att de aldrig når din ursprungsserver. Om du inte är en säkerhetsexpert kan det ibland vara svårt att skilja mellan en liten DDOS-attack och helt enkelt dålig trafik som överväldigar din webbplats.
En HTTP flood-attack är en typ av Layer 7-attack som använder standard giltiga GET/POST förfrågningar som används för att hämta information, som i typiska URL-datahämtning (bilder, information, etc.) under SSL-sessioner. En HTTP GET/POST-flood är en volymetrisk attack som inte använder felaktiga paket, spoofing eller reflektionstekniker. – Sucuri
Pro-planen innehåller också HTTP/2-stöd som är en funktion som du definitivt vill ha när det gäller prestanda. Ytterligare funktioner, som ingår i alla planer inkluderar:
- Intrångsdetekteringssystem
- Intrångsförhindringssystem
- Hanterade Granskningsloggar / Säkerhet
- HTTP Flood-skydd
- Råstyrkeskydd
- Virtuell patchning och härdning
- SQL, XSS och kodinjektionsförebyggande (ytterligare läsning: SQL-injektion)
- Ett-klicks 2FA, Captcha och lösenordsskydd på vilken sida som helst
- Externt CDN-Stöd
- Lastbalansering
De har en 30-dagars gratis provperiod.
Hur du ställer in Sucuri Firewall
Idag går vi igenom hur du ställer in Sucuri-brandväggen på din WordPress-webbplats med den rekommenderade Pro-planen. Det är faktiskt ganska lätt och tar bara några minuter.
Steg 1
Först, registrera dig för Sucuri Pro plan om du inte redan har gjort det.
Steg 2
Väl inne i Sucuris instrumentpanel klicka på ”Skydda min webbplats nu!”
Steg 3
Ange ditt domännamn och konfigurera följande alternativ (vi lämnar alla tre av dessa okryssade):
- Under en DDoS-attack: Om du aktiverar detta aktiveras automatiskt några av Sucuris mer aggressiva alternativ. Du kanske vill aktivera detta om du är säker på att du är under attack. Dessa inställningar kan alltid ändras senare.
- Vitlistade kataloger: Aktivera detta om du vill begränsa åtkomsten till administratörskataloger till endast vitlistade IP-adresser. (t ex /wp-inloggning eller /admin). Observera: På e-handelssajter, bör du förmodligen lämna detta inaktiverat. Kom ihåg att kunderna använder dessa områden också.
- Sucuri DNS: Sucuri ger dig möjlighet att använda deras DNS-infrastruktur. Detta gör det möjligt för dem att göra geografisk routing för optimerad global prestanda, fail-over och hög tillgänglighet. Men idag kommer vi att avmarkera det alternativet eftersom vi vill fortsätta använda vår egen tredjeparts DNS-leverantör. Om du till exempel använder Kinsta DNS och vill fortsätta hantera dina DNS-poster på Kinsta, avmarkera det här alternativet.
Steg 4
Viktigt: Om du väljer Sucuris Pro eller högre plan kan de leverera och installera en GoDaddy SSL på brandväggen innan du gör DNS-ändringen. GoDaddy certifikatet kommer automatiskt förnyas och ingår i den månatliga kostnaden. Därför kommer det inte medföra några driftstopp när du flyttar till Pro-planen och du bör få en smidig övergång.
Öppna helt enkelt upp en supportbiljett med deras team och begär att de först installerar GoDaddy-certifikatet. Du kan sedan uppdatera din DNS.
Använd Let’s Encrypt-certifikat med Sucuri
Alternativt är det andra alternativet att de ger gratis Let’s Encrypt-certifikat. Dessa kan dock endast utfärdas efter att du har riktat din domän till dem. Om du väljer deras gratis Let’s Encrypt-alternativ, rekommenderar vi att peka din webbplats ditåt under mindre aktiva timmar.
Använd Let’s Encrypt-certifikat med Kinsta
Kinsta tillhandahåller också gratis Let’s Encrypt-certifikat. För att kunna använda våra, måste du först kontakta deras support och låta dem aktivera inställningen för att ”vidarebefordra certifikatvalidering.” Detta gör att HTTPS-provisionering kan slutföras framgångsrikt. Du kan sedan installera det gratis SSL-certifikatet från MyKinsta-panelen.
Steg 5
Nu är det dags att rikta din domän. Bläddra ner på den allmänna instrumentpanelsidan till var de tillhandahåller DNS-informationen. Du måste uppdatera A-posten för domänen för att rikta den till Sucuris brandvägg. Detta görs vanligtvis hos din domänleverantör eller DNS-leverantör.
Observera: Sucuri bör hämta din nuvarande IP-adress automatiskt. Så när du riktar din domän till Sucuri routar de automatiskt trafik tillbaka till din WordPress-värd.
Om du använder Kinsta DNS, kan detta göras från MyKinsta-panelen. Klicka på din domän och uppdatera A-posten med den angivna Sucuri-IP-adressen.
DNS-ändringar kan ta upp till 48 timmar att spridas, men vanligtvis tar det bara några timmar eller mindre. Du kan kontrollera om din DNS har nått full spridning med whatsmydns.net. Du kan också klicka på den lilla ”uppdatera”-ikonen i Sucuri-panelen för att bekräfta att din domän riktas mot dem.
Det kommer att bli grönt när de har upptäckt att allt dirigeras korrekt.
Steg 6
Om du har en brandvägg på din WordPress-värd, rekommenderas att du vitlista Sucuri IP-adresserna. Eftersom alla anslutningar till din värdserver kommer att passera genom deras brandvägg, kommer att vitlista deras IP-adresser att hindra dem från att blockeras felaktigt. Obs: nedanstående IP:s är helt enkelt exempel, se instrumentpanelen för rätt Sucuri-IP baserat på ditt konto.
192.88.134.0/23 185.93.228.0/22 2a02:fe80::/29 66.248.200.0/22
Kinsta-klienter
Om du är Kinsta-klient måste du kontakta vårt supportteam och låta oss lägga till lämpliga Sucuri WAF-regler på din webbplats. Sucuris IP är redan vitlistade i vår miljö, men vi har arbetat nära deras team och har ytterligare Nginx-regler som måste läggas till för att säkerställa att din Kinsta + Sucuri-upplevelse fungerar utan problem.
Optimala Sucuri-inställningar
Vi brukar inte rekommendera att använda Sucuris WordPress-plugin eftersom detta bara helt enkelt skapar ytterligare overhead, hanterings och prestandaproblem. Låt Sucuri-brandväggen, som sitter mellan din WordPress-webbplats och din värd, göra vad den gör bäst på servernivå.
Nedan följer några rekommenderade inställningar som du bör aktivera i Sucuri-panelen.
Avancerade Säkerhetsalternativ
Under fliken ”Säkerhet” rekommenderar vi att du aktiverar följande alternativ:
- XMLRPC, Kommentarer och Trackbacks blockerade: Om din webbplats inte tillåter kommentarer, eller om du använder ett externt kommentarsystem (som diskus), kan du blockera alla kommentarförsök, eftersom det sannolikt kommer att vara spam. Om du använder inbyggda WordPress kommentarer, aktivera inte detta.
- Blockera anonyma proxies och de tre vanligaste attackländerna: Att aktivera det här alternativet kommer att förhindra någon från Kina, Ryssland eller Turkiet att interagera med din webbplats. De kan fortfarande visa allt innehåll, men inte registrera ett konto, skicka kommentarer eller försöka logga in (i princip låst till skrivskyddat läge). Samma begränsning gäller för användare som använder anonyma proxytjänster för att dölja sina IP-adresser.
- Aggressivt botfilter: Den här inställningen blockerar ogiltiga användaragenter som inte matchar riktiga webbläsare som tomma användaragenter, användaragenter som börjar med PHP och felaktiga användaragenter från vanliga webbläsare.
- Avancerad evasion-upptäckt: Detta alternativ kommer att möjliggöra Sucuris avancerade evasion-upptäcktssignaturer. Vi rekommenderar att du låter den vara på, men om din webbplats stöder webbadresser på icke-ASCII-tecken (som japanska, indiska, ryska etc.) kan du behöva inaktivera den.
”Aktivera akut DDoS-skydd” fungerar mycket bra om du tror att din webbplats är under attack. HTTP flood-skyddet kommer att hindra någon från att använda en webbläsare utan JavaScript aktiverat från att besöka webbplatsen (utom stora sökmotorer). Men enligt vår erfarenhet genererar det också en ytterligare HTTP-förfrågan vid den initiala DOC-laddningen. Så det rekommenderas att stänga av detta efter att saker och ting återgått till det normala.
Du kan också aktivera ytterligare säkerhetsrubriker på din webbplats som HSTS.
Cachning
Under ”Prestanda → Cachningsnivå” kan du konfigurera hur du vill att Sucuri ska hantera cachning. Troligtvis är din WordPress-webbplats redan korrekt inställd för cachning. Därför rekommenderar vi att du väljer ”Webbplats-cachning.” Detta kommer att använda din ursprungliga servers cache istället för att använda Sucuris. Om du är en Kinsta-klient betyder det att din webbplats fortsätter att använda vår snabba helsidescachning och det kommer inte att störa några anpassade regler som vi har på plats.
Du kan definitivt testa Sucuris rekommenderade cachealternativ, och du kan till och med se lite bättre prestanda med det. Men en varning skulle vara om du driver en mycket dynamisk webbplats som WooCommerce eller EDD. På Kinsta har vi ytterligare regler för att inte cacha vissa saker som kundvagnssidor, kassasidor, och viktigast av allt: cookies. Sucuri rekommenderar faktiskt att du använder din egen webbplats rubriker för e-handelswebbplatser.
CDN
Sucuri låter dig använda ditt eget tredjeparts-CDN (t.ex. KeyCDN, MaxCDN) eller deras eget CDN. Sucuris CDN har ett snabb HTTP/2 Anycast-nätverk med 6 SuperPOPs i USA, Europa och Asien och 3 CDN POPS i Australien, Brasilien och Filippinerna. Detta kommer utan extra kostnad när du använder deras brandvägg.
Du kan använda Kinsta CDN med Sucuri men deras CDN är snabbt och pålitligt och vi rekommenderar vanligtvis att du använder det ena eller det andra. Om du vill använda Kinsta CDN för att leverera statiska tillgångar ska du välja ”Övrigt” under CDN-supportfliken.
Om du vill ställa in din webbplats med ett tredjeparts-CDN, kan du göra det också. Kolla helt enkelt in deras kunskapsbas för genomgångar av tredjeparts CDN-integrationer:
Komprimering
Under ”Prestanda → Komprimering” rekommenderar vi att komprimering aktiveras. Detta kommer att minska antalet byte som skickas över nätverket och kommer att förbättra webbplatsens prestanda.
Och det var allt! Låt Sucuri arbeta under de närmaste dagarna och du kommer förmodligen bli positivt överraskad av resultaten. På webbplatsen vi aktiverade den på minskade omedelbart bandbreddsanvändningen och besök återvände till föregående normala genomsnitt per dag.
Ytterligare användbara funktioner och rapporter
Nu när du har konfigurerat Sucuri finns det många andra användbara funktioner och rapporter som du kan dra nytta av för att ytterligare förbättra kvaliteten på trafiken som träffar din webbplats.
Åtkomstkontroll
Fliken ”Åtkomstkontroll” ger dig möjlighet att vitlista och svartlista IP-adresser och sökvägar, blockera användaragenter, blockera cookies, blockera HTTP-hänvisningar och även skydda en viss sida med en captcha, tvåfaktors- eller enkelt lösenord. Du kan också enkelt blockera ett helt land med deras geoblockeringsfunktion.
Realtidsvisning
Realtidsvisningen är fantastisk! Du kan snabbt se en hel logg över aktuella förfrågningar, svartlista eller vitlista något misstänkt med ett enda klick, och det kommer även att ge dig en anledning om det redan var blockerat.
Blockerade Attacker
Diagrammet för blockerade attacker låter dig snabbt se en procentandel av vilka typer av attacker blockeras, inklusive DDoS-attacker. Några andra diagram i det här fönstret inkluderar trafik efter webbläsartyp, enheter och HTTP-svarskoder.
Genomsnittlig Trafik Per Timme
Diagrammet med Genomsnittlig trafik per timme är praktiskt för att se när topptiderna är för trafik och en uppdelning av vilka förfrågningar som blockeras.
Trafik Per Land
Tabellen Trafik per land kan hjälpa dig att avgöra om något kommer från en specifik geolocation. Under deras åtkomstkontroller kan du sedan enkelt blockera ett helt land tillfälligt med ett enda klick.
Visa riktiga IP
Från din sida kan det verka som om alla användare använder samma IP-adress. Detta beror helt enkelt på WAF. Om din ansökan eller värd behöver den verkliga användarens IP, kolla in Sucuri-dokumentationen.
Sammanfattning
Sucuris brandvägg är väldigt lätt att installera vilket gör det till en självklarhet om du har problem med lågkvalitativ trafik, DDoS-attacker eller bots. För många webbplatser kommer $20/månad att betala för sig själv eftersom det kommer att se till att den dåliga trafiken filtreras ut och endast betalande kunder tillåts komma in på den webbplatsen. För att inte nämna att du förmodligen kommer att se prestandaökningar på både din webbplats front-end och WordPress back-end-panel.
Vad tycker du om Sucuri? Har du provat det på din WordPress-webbplats? Låt oss veta nedan i kommentarerna.
Lämna ett svar