Varje webbplats behöver skydd. På samma sätt som hackers kan skada din persondator kan de även skada onlineservrar. Du behöver ett sätt att hålla hackers borta och sätt att även motverka annan illegitim trafik. Det är där brandväggar kommer in i bilden.

Vad är en brandvägg, om man ska sammanfatta det? Svaret är att det är en barriär mellan en dator och ”omvärlden”.

Illvilliga aktörer kan skapa förödelse på din server om du lämnar din webbplats oskyddad och det är därför du bör göra allt du kan för att säkra din WordPress-webbplats. Att ställa in en brandvägg bör vara en av första sakerna du gör när du skapat din verksamhet.

Men det finns många olika typer av brandväggar och det kan vara svårt att veta var man ska börja.

Låt oss gå igenom alla typer av brandväggar, förklara när du behöver en, och hur du får en sådan inrättad på din server.

Vad är en brandvägg? Vad gör en brandvägg?

Närhelst du besöker en webbplats ansluter du i princip till en annan dator: webbservern. Och eftersom en server egentligen bara är en specialiserad typ av dator, är de mottagliga för samma typer av attacker din egen DATOR är.

Det är inte säkert att ansluta så direkt till en annan enhet utan någon form av skydd däremellan. När anslutningen är etablerad är det mycket enklare att infektera den andra parten med skadlig kod eller starta en skadlig programvara eller DDoS-attack.

Det är här en brandvägg kommer väl till pass. Den blir mellanhanden mellan dig och alla andra enheter som försöker ansluta till dig. I en webbservers fall blir den mellanhanden mellan servern och de hundratals eller tusentals anslutningar som den gör med andra varje dag.

Ansluta till en webbserver
Ansluta till en webbserver

Så hur exakt fungerar en brandvägg?

Brandväggar övervakar helt enkelt inkommande och utgående trafik på en enhet och skannar den för eventuella tecken på skadlig aktivitet. Skulle den upptäcka något misstänkt, kommer den omedelbart hindra den oönskade trafiken från att nå sin destination.

Man kan säga att den är som ett stort filtreringssystem för din dator eller server.

När de först utvecklades var brandväggar mycket enkla paket-analysatorer som tillät eller blockerade inkommande trafik baserat på en minimal uppsättning fördefinierade regler. De var väldigt lätta att kringgå.

Numera har de utvecklats till komplexa bitar av programmering som är mycket bättre på att hindra försök till intrång och är en viktig mjukvara för alla enheter.

När behöver du en brandvägg

Du kanske undrar: när är en brandvägg nödvändig? Behöver jag verkligen en sådan?

En brandvägg krävs för alla maskiner som ansluter till internet. Förutom din dator behöver även din webbserver, telefon samt dina IoT-enheter skyddas mot intrång.

En oskyddad enhet blir enkelt offer för intrång och infektioner.

Hackers får möjlighet att ta över din dator, installera vad de vill, övervaka när du anger känslig info som bank-referenser, och till och med titta via din webbkamera / kamera, och lyssna via din mikrofon.

Om en hacker lyckas tränga igenom din webbserver kan de vanställa din webbplats, bädda in skadlig kod som infekterar dina besökare, ändra dina Inloggningsuppgifter för WordPress-administratör Eller ta ner din webbplats helt.

En 404-sida
En 404-sida

Utan en brandvägg är din webbplats och även dina personliga enheter sårbara för DDoS-attacker, en attack-vektor som skickar tusentals eller miljontals falska paket för att överbelasta din server och får din webbplats eller ditt internet att krascha.

Är du inte övertygad? Det här kan en brandvägg skydda dig eller din webbplats mot:

  • Intrång: Brandväggar hindrar obehöriga användare från att komma åt din dator eller server på distans och göra vad de vill.
  • Malware: Angripare som lyckas infiltrera kan skicka skadlig kod för att infektera din dator eller din server. Malware kan stjäla personlig information, sprida sig till andra användare eller på annat sätt skada din dator.
  • Brute force-attacker: En attack-typ där hackers provar hundratals kombinationer av användarnamn och lösenord för att upptäcka din admins (eller andra användares) Inloggningsuppgifter.
  • DDoS-attacker: Brandväggar (särskilt brandväggar för webbprogram) kan försöka upptäcka tillströmningen av falsk trafik som sker under en DDoS-attack.

Typer av brandväggar

Det finns många olika typer av brandväggar, var och en avsedd för olika situationer. Vissa är bättre för enstaka datorer, medan andra är gjorda för nätverks-omfattande filtrering.

Brandväggarna arbetar på olika sätt och är bättre på att blockera vissa typer av trafik. Om du undrar vilken du ska leta efter, kommer vi nu att gå igenom alla de stora typerna av brandväggar.

Här är en snabb sammanfattning: om du inte kör din egen server-stack (driver en webbplats med ditt eget internet), är de typer av brandväggar som du ska fundera över personliga brandväggar, mjukvaru-brandväggar, och webbapplikations-brandväggar.

De här tre är de viktigaste typerna. Men läs mer om resten om du vill få en bättre förståelse för hur en brandvägg fungerar och hur de har utvecklats genom åren.

Personlig brandvägg

Brandväggar fungerar väldigt olika beroende på om de används av enstaka datorer, hela nätverk (exempelvis inom ett affärskontor) eller av webbservrar. En personlig brandvägg är avsedd att användas på endast en dator. Detta är brandväggen som kommer förinstallerad på Windows och Mac-maskiner eller med ditt antivirusprogram.

En sådan fungerar visserligen på ett liknande sätt som en server-brandvägg – tillåter eller avvisar anslutningar från andra enheter, program och IPs baserat på en uppsättning fördefinierade regler – men agerar ändå lite annorlunda.

Personliga brandväggar kan skydda de portar du använder för att ansluta till webbplatser och online-program (dölja dem så att angripare inte kan se att de är öppna). De kan även försvara dig mot attacker som slinker igenom nätverket, hindra människor från att komma åt och ta över din dator och analysera all inkommande och utgående trafik.

De fungerar även som applikations-brandväggar, övervakar aktiviteten hos appar på din enhet och vägrar låta en anslutning upprättas med en osäker eller okänd programvara.

I dessa dagar, är det ganska lätt att få en personlig brandvägg. Om du använder en modern version av Windows, bör det redan finnas en som körs som standard.

Windows Defender-brandväggen
Windows Defender-brandväggen

Mac-datorer har också en brandvägg, men du måste slå på den själv. Gör detta genom att navigera till Systeminställningar, klicka på Säkerhet och sekretess och sedan på Brandvägg:

Brandväggs-program i macOS
Brandväggs-program i macOS

Antivirusprogram innefattar ofta en egen brandvägg. Ett exempel är Avast antivirus: dess programvaru-brandvägg är kompatibel med Windows och fungerar som ett andra lager av försvar.

Det finns även betalda personliga brandväggar från tredje part, men dessa kan stå i konflikt med din standardinställning.

Hårdvaru-brandvägg vs Mjukvaru-brandvägg

Brandväggar finns i två distinkta former: hårdvaru och Mjukvaru-brandväggar. Mjukvaru-brandväggen är nedladdningsbara program till din dator, och övervakar allting från en central kontrollpanel. Hårdvaru-brandväggen erbjuder liknande funktioner, men är fysiskt installerade i byggnaden.

Du kanske inte vet detta, men du har förmodligen en form av hårdvarubrandvägg i ditt hus: din router, enheten som gör att du kan ansluta till internet. Även om den inte fungerar på exakt samma sätt som en dedikerad maskinvarubrandvägg, erbjuder den liknande funktioner för övervakning och tillåtelse eller nekande av anslutningar.

Både Mjukvaru och hårdvaru-brandväggar sitter mellan din dator och omvärlden, och analyserar noggrant eventuella anslutningar som försöker slinka igenom. Du kan ha en av dessa typer eller båda igång på ditt nätverk.

Det finns dock några nackdelar med hårdvaru-brandväggar,. De är svåra att konfigurera och kräver löpande underhåll, så de är i allmänhet inte lämpliga för enstaka datorer eller mycket små företag utan en IT-avdelning. De kan orsaka prestandaproblem, särskilt när de kombineras med en mjukvaru-brandvägg. Och de är inte lämpliga för att blockera program på en enhet, eller användarbaserade begränsningar.

Å andra sidan kommer en hårdvaru-brandvägg att skydda hela ditt nätverk av datorer, det är betydligt svårare att ställa in programvara för denna uppgift. En angripare kan inaktivera programvara om de lyckas komma in, men de kan inte manipulera en fysisk enhet.

Mjukvaru-brandväggen lämpar sig bättre för att arbeta med program i en dator. Den blockerar program, hanterar användare, genererar loggar och övervakar användare på ditt nätverk. De är inte lika lämpade för att konfigurera hela nätverket, men när de installeras på flera enheter tillåter de mer fördjupad kontroll.

Brandvägg för paketfiltrering

Den enklaste typen av brandväggar, och bland de första som någonsin utvecklades, är paketetfiltrerings-brandväggar. Ett paket är de data som utbyts mellan din dator och en server. När du klickar på en länk, laddar upp en fil eller skickar ett e-postmeddelande skickar du ett paket till servern. Och när du laddar en webbsida skickar den paket till dig.

En brandvägg för paketfiltrering analyserar dessa paket och blockerar dem baserat på en uppsättning av fördefinierade regler. Du kan exempelvis blockera paket som kommer från en viss server eller IP-adress, eller de som försöker nå ett visst mål på din server.

Nackdelen: Dessa typer av brandväggar är enkla och lätta att lura. Det finns inget sätt att tillämpa avancerade regler. Om du tillåter trafiken att flöda genom en viss port, kommer paketetfiltrerings-brandväggen släppa igenom allt, även trafik som moderna brandväggar inte skulle uppfatta som legitim.

Den enda fördelen med den här typen av brandvägg är att de är så enkla att de nästan inte påverkar prestandan överhuvudtaget. De inspekterar inte trafiken, sparar inga loggar och utför inte några avancerade funktioner. I dessa dagar, bör paketfiltrerings-brandväggar undvikas eller åtminstone användas ihop med något mer avancerat, eftersom det finns mycket bättre lösningar.

Stateful brandvägg

Efter den enkla paketfilter-brandväggen kom tekniken för stateful-brandväggen. Detta var revolutionerande eftersom de hanterade dynamisk information och fortsatte övervakningen av paket som passerade genom nätverket. De analyserade alltså inte bara paketen som slank igenom och avvisade inte bara baserat på enkla parametrar.

En enkel brandvägg för paketfiltrering kan endast blockera baserat på statisk info som IP-adress eller port. Stateful-brandväggar är bättre på att upptäcka och blockera illegitim trafik eftersom de känner igen mönster och andra avancerade begrepp.

Nackdelen med stateful-brandväggar är att de är mer intensiva på grund av att de lagrar paketdata i minnet och analyserar den mer rigoröst. De för dessutom loggar över vad som blir blockerat och vad som passerar igenom. Men de är ändå en mycket bättre lösning.

Brandvägg för webbprogram

Hur WAFs fungerar
Hur WAFs fungerar

Stateful-tekniken används visserligen än idag, men är inte längre tillräcklig för att effektivt hålla ett nätverk säkert. Applikations-brandväggar och Brandväggar för webbprogram var nästa stora steg.

Traditionella brandväggar övervakar endast allmän trafik i ett nätverk. De kämpar på men misslyckas ibland totalt med att upptäcka trafik som kommer eller går från en app, tjänst eller annan programvara. Applikations-brandväggarna skapades för att fungera med dessa program, och stoppar intrångsförsök som utnyttjar Sårbarheter från att glida förbi äldre brandväggar.

De skulle även kunna fungera som ett föräldrakontroll-system för ett företag, vilket blockerar tillgången till vissa appar och webbplatser helt.

Brandväggar för webbprogram fungerar på ett liknande sätt, men de övervakar webbappar i stället för program på en dator. Exempel på webbappar är tredjepartsformulär eller kundvagns-plugins, som ibland kan kapas för att skicka skadlig kod till din server. Utan en WAF, är du sårbar för dessa attacker.

Många WAFs är molnbaserade, vilket innebär att du inte behöver göra några radikala ändringar på din server för att ställa in dem. Men de kan även existera på hårdvara eller server-programvara.

Om du behöver en brandväggstjänst för att skydda din webbplats, ska du leta efter en molnbaserad WAF-typ som Cloudflare Eller Sucuri. Dessa kan installeras utan att du behöver mixtra med känsliga inställningar för hosting-leverantörer eller ställa in dyr hårdvara.

Nästa generations brandvägg

Sist ut är next-generation Firewall (NGFW), en av de senaste uppfinningarna från denna generation av säkerhetsteknik. Dessa verktyg i företagsklass fungerar som alla ovanstående alternativ kombinerade till ett enda. Djup paketfiltrering, intrångsskydd och programövervakning är bara några exempel på deras enorma utbud av nätverksfunktioner.

Nästa generations moln-brandvägg finns som en tjänst online, men WAFs är mycket vanligare och ger en liknande funktionalitet. Men om du vill ha den absolut mest avancerade brandväggstekniken som finns, med en full svit av säkerhetsskydd i ett program, ska du leta efter en NGFW.

Hur skaffar man en brandvägg

För att skydda dig själv och din webbplats behöver du en högklassig brandvägg som håller inkräktare borta.

När det gäller personliga brandväggar, är det vanligtvis inte så svårt att att få tag på en. Windows inbyggda brandvägg fungerar mycket bra utan någon ytterligare konfiguration. Och med applikations-brandväggen som ofta medföljer antivirusprogrammet, och paketfiltret på routern, är datorn vanligtvis mer än skyddad.

Se bara till att din brandvägg är aktiverad, att du har ett bra antivirusprogram installerat, och att din router är konfigurerad på rätt sätt. Samma sak kan sägas för macOS-användare.

Men tänk om du har en webbplats som behöver skydd?

Då är läget betydligt annorlunda. Det finns inte så många inbyggda verktyg för att skydda dig, och ofta är det upp till dig själv att säkra din webbplats. Om du exempelvis kör WordPress, finns det ingen brandvägg eller liknande för att skydda din server och plugins för säkerhet är ett av de vanligaste alternativen.

Utvecklare av WordPress gör sitt bästa för att hålla koden optimerad, men när sårbarheter uppstår, finns det inget som hindrar intrång.

Varje webbplats kan dra nytta av en WAF. Online-tjänster som Sucuri, Wordfence, och Cloudflare kan inrättas på din server på några minuter.

Kinsta tillhandahåller aktiva och passiva åtgärder för förbättrad säkerhet
Kinsta tillhandahåller aktiva och passiva åtgärder för förbättrad säkerhet

Förutom att du själv ska installera en brandvägg bör du även välja en hosting-leverantör som tar hand om sina servrar på rätt sätt. Alldeles för många billiga hostar bryr sig inte om säkerhet och det kan orsaka enorma problem om din webbplats blir attackerad.

Kinstas Cloudflare-integrering

Om din webbplats hostas hos Kinsta behöver du inte krångla med att ställa in en WAF manuellt. Alla webbplatser på vår infrastruktur skyddas automatiskt av vår kostnadsfria Cloudflare-integrering, som inkluderar en säker brandvägg med anpassade regeluppsättningar och kostnadsfritt DDoS-skydd. Förutom vår Cloudflare-integrering implementerar vi även andra säkerhetsåtgärder som brute force-upptäckt, SFTP-only filåtkomst, Google Cloud Platform VMs, en omfattande löfte om borttagning av skadlig programvara med mera.

Sammanfattning

På en modern persondator behöver du vanligtvis inte göra så mycket eftersom en brandvägg kommer förinstallerad med de flesta operativsystem. När det gäller din webbplats, bryr sig alltför många hostar inte om att säkra sina servrar, så det blir ditt jobb att skydda dig själv.

Om du letar efter en hosting-leverantör med tillförlitlig säkerhetsinfrastruktur som kan stödja webbplatser med alla storlekar, välj då Kinsta. Med vår gratis Cloudflare-integration och säkerhetsgaranti, kan du vara säker på att du inte kommer att falla offer för dataintrång. Och om detta ändå sker, kommer vi att vidta åtgärder för att bli av med den skadlig koden kostnadsfritt.

Även om du väljer en pålitlig host som erbjuder många lager av säkerhet, är det en bra idé att installera en webbprograms-brandvägg som en andra försvarslinje. Hitta en bra tjänst som Sucuri, eller ladda ner ett Plugin för WordPress-säkerhet, så kommer du att vara ordentligt skyddad.

Matteo Duò Kinsta

Head of Content at Kinsta and Content Marketing Consultant for WordPress plugin developers. Connect with Matteo on Twitter.