Evitar o desvio do firewall de aplicativos da web (WAF)
Se alguém souber seu IP de hospedagem oculto , essa pessoa poderá ignorar seu firewall de aplicativo da web (WAF) e tentar acessar seu site diretamente. Não é comum ou fácil de fazer, mas para segurança adicional, recomendamos permitir apenas o acesso HTTP pelo WAF. Você pode limitar o acesso ao seu site adicionando uma restrição ao seu.htaccess
arquivo.
- Acesse página de produtos da GoDaddy.
- Para Segurança de sites e Backups , selecione Gerenciar tudo .
- Para o site que você deseja configurar, selecione Detalhes em Firewall .
- Selecione Configurações.
- Selecione Segurança e role para baixo até Evitar ignorar o firewall .
- Selecione seu tipo de servidor. Para servidores Apache, adicione o código ao arquivo
.htaccess.
Para o NGINX, você precisará adicionar o código ao arquivo de configuração do NGINX.
Regras comuns baseadas em endereços IP
A melhor maneira de evitar que hackers contornem o firewall é limitando o acesso deles ao seu servidor web. Abaixo você pode encontrar regras baseadas em endereço IP comumente usadas para ajudar a restringir o acesso ao seu servidor web.
Apache 2.4
# BEGIN Prevenção de desvios do firewall de sites < FilesMatch ". * " > Requer ip 208.109.0.0/22 Requer ip 192.88.134.0/23 Requer ip 185.93.228.0/22 Requer ip 66.248.200.0/22 Requer ip 2a02: fe80 :: / 29 Requer ip 173.245.48.0/20 Requer ip 103.21.244.0/ 22 Requer ip 103.22.200.0/22 Requer ip 103.31.4.0/22 Requer ip 141.101.64.0/18 Requer ip 108.162.192.0/18 Requer ip 190.93.240.0/20 Requer ip 188.114.96.0/20 Requer ip 197.234.240.0/22 Require ip 198.41.128.0/17 Require ip 162.158.0.0/15 Require ip 104.16.0.0/13 Require ip 104.24.0.0/14 Require ip 172.64.0.0/13 Require ip 131.0.72.0/22 Require ip 2400: cb00 :: / 32 Requer ip 2606: 4700 :: / 32 Requer ip 2803: f800 :: / 32 Requer ip 2405: b500 :: / 32 Requer ip 2405: 8100 :: / 32 Requer ip 2a06: 98c0 :: / 29 Requer ip 2c0f: f248 :: / 32 </ FilesMatch & gt; # FIM Prevenção de desvio do firewall de sites
Se o site que você deseja proteger contém domínios complementares ou subdomínios na raiz do documento, e o site usa Apache 2.4, use o seguinte código em vez de prevenção de bypass baseada em cabeçalho.
# BEGIN Prevenção de desvios do firewall de sites < Se "& percnt; & # 123; HTTP_HOST & # 125; == & apos; coolexample.com & apos; || & percnt; & # 123; HTTP_HOST & # 125; & equals; & equals; & apos; www.coolexample.com & apos; " > Require ip 208.109.0.0/22 Require ip 192.88.134.0/23 Require ip 185.93.228.0/22 Require ip 2a02: fe80 :: / 29 Require ip 66.248.200.0/22 Require ip 173.245.48.0/20 Require ip 103.21.244.0/ 22 Requer ip 103.22.200.0/22 Requer ip 103.31.4.0/22 Requer ip 141.101.64.0/18 Requer ip 108.162.192.0/18 Requer ip 190.93.240.0/20 Requer ip 188.114.96.0/20 Requer ip 197.234.240.0/22 Require ip 198.41.128.0/17 Require ip 162.158.0.0/15 Require ip 104.16.0.0/13 Require ip 104.24.0.0/14 Require ip 172.64.0.0/13 Require ip 131.0.72.0/22 Require ip 2400: cb00 :: / 32 Requer ip 2606: 4700 :: / 32 Requer ip 2803: f800 :: / 32 Requer ip 2405: b500 :: / 32 Requer ip 2405: 8100 :: / 32 Requer ip 2a06: 98c0 :: / 29 Requer ip 2c0f: f248 :: / 32 </ Se & gt; # FIM Prevenção de desvio do firewall de sites
Apache 2.2
# BEGIN Prevenção de desvios do firewall de sites < FilesMatch ". * " > Negar pedido, permitir Negar de todos Permitir de 208.109.0.0/22 Permitir de 192.88.134.0/23 Permitir de 185.93.228.0/22 Permitir de 2a02: fe80 :: / 29 Permitir de 66.248.200.0/22 Permitir de 173.245.48.0/ 20 Permitir de 103.21.244.0/22 Permitir de 103.22.200.0/22 Permitir de 103.31.4.0/22 Permitir de 141.101.64.0/18 Permitir de 108.162.192.0/18 Permitir de 190.93.240.0/20 Permitir de 188.114.96.0/20 Permitir de 197.234.240.0/22 Permitir de 198.41.128.0/17 Permitir de 162.158.0.0/15 Permitir de 104.16.0.0/13 Permitir de 104.24.0.0/14 Permitir de 172.64.0.0/13 Permitir de 131.0.72.0/22 Permitir de 2400: cb00 :: / 32 Permitir de 2606: 4700 :: / 32 Permitir de 2803: f800 :: / 32 Permitir de 2405: b500 :: / 32 Permitir de 2405: 8100 :: / 32 Permitir de 2a06: 98c0: : / 29 Permitir de 2c0f: f248 :: / 32 </ FilesMatch & gt; # FIM Prevenção de desvio do firewall de sites
Se o código de prevenção de bypass padrão não funcionar, você pode tentar o seguinte código, que requer o cabeçalho WAF da Sucuri.
# BEGIN Prevenção contra desvios do firewall de sites RewriteEngine On RewriteCond & percnt; & # 123; HTTP: X-SUCURI-CLIENTIP & # 125; & # 94; & # 36; RewriteCond & percnt; & # 123; HTTP: X-SUCURI-COUNTRY & # 125; & # 94; & # 36; RewriteRule & # 94; (. *) & # 36; - & lsqb; F, L & rsqb; ErrorDocument 403 Forbidden # END Prevenção de desvio de firewall de sites
O código alternativo verificará se os cabeçalhos X-SUCURI-CLIENTIP e X-SUCURI-COUNTRY estão presentes e, se não estiverem, retornará o código de status de resposta 403 Proibido.
Managed Wordpress
Se sua conta aparecer como hospedagem WPaaS, o servidor HAproxy ou openresty pode não estar passando os endereços IP adequados na solicitação. Use o seguinte código para corrigir o problema.
# BEGIN Prevenção de ignorar firewall de sites RewriteEngine On RewriteCond%{HTTP_HOST} ^ (www.)? coolexample.com $ RewriteCond %{HTTP:X-SUCURI-CLIENTIP} ^ $ RewriteCond %{HTTP:X-SUCURI-COUNTRY} ^ $ RewriteRule ^ (. *) $ - [F, L] ErrorDocument 403 Proibido # END Prevenção de desvio de firewall de sites
Substitua coolexample.com pelo nome de domínio real. Certifique-se também de limpar o cache de verniz gerenciado do WordPress antes de testar a prevenção de desvios do firewall, pois você ainda pode obter uma resposta em cache 200 OK . Isso pode ser feito no painel de administração do WordPress ou acessando o SSH (Secure Shell) via WP-CLI, a ferramenta de linha de comando para gerenciar sites do WordPress.
Se você precisar de ajuda para habilitar a prevenção de contornar o firewall, sinta-se à vontade para solicitar ajuda de segurança do site .
Saiba mais
- Se você estiver usando o IIS, as instruções variam entre as versões - IIS 7 , IIS 8 e IIS 9/10 . Você também pode tentar usar o arquivo web.config para evitar o bypass.
- Você está recebendo um código de erro 500 após adicionar as regras de prevenção de desvios? Remova a linha referente ao IPv6 do código de prevenção de desvios e veja se o erro foi eliminado. O erro 500 pode levar alguns minutos para ser eliminado após a remoção dessa linha.