Voorkom dat de firewall van webtoepassingen (WAF) wordt omzeild
Als iemand je verborgen hosting -IP kent, kan hij of zij de firewall van je webtoepassing (WAF) omzeilen en proberen je website rechtstreeks te openen. Het is niet gebruikelijk of eenvoudig, maar voor extra beveiliging raden we aan alleen HTTP -toegang via je WAF toe te staan. Je kunt de toegang tot je website beperken door een beperking toe te voegen aan je.htaccess
bestand.
- Ga naar je GoDaddy- productpagina.
- Selecteer voor Websitebeveiliging en back -ups Alles beheren .
- Selecteer Details onder Firewall voor de site die je wilt configureren.
- Selecteer Instellingen.
- Selecteer Beveiliging en scrol omlaag naar Firewall -bypass voorkomen .
- Selecteer je servertype. Voor Apache -servers voeg je de code toe aan je
.htaccess
-bestand. Voor NGINX moet je de code toevoegen aan je NGINX -configuratiebestand.
Algemene op IP-adressen gebaseerde regels
De beste manier om te voorkomen dat hackers de firewall omzeilen, is door hun toegang tot uw webserver te beperken. Hieronder vind je veelgebruikte op IP-adressen gebaseerde regels om de toegang tot je webserver te beperken.
Apache 2.4
# BEGIN Preventie van websitefirewall < FilesMatch ".* " > Vereist ip 208.109.0.0/22 Vereist ip 192.88.134.0/23 Vereist ip 185.93.228.0/22 Vereist ip 66.248.200.0/22 Vereist ip 2a02: fe80 ::/29 Vereist ip 173.245.48.0/20 Vereist ip 103.21.244.0/ 22 Vereist ip 103.22.200.0/22 Vereist ip 103.31.4.0/22 Vereist ip 141.101.64.0/18 Vereist ip 108.162.192.0/18 Vereist ip 190.93.240.0/20 Vereist ip 188.114.96.0/20 Vereist ip 197.234.240.0/22 Vereist ip 198.41.128.0/17 Vereist ip 162.158.0.0/15 Vereist ip 104.16.0.0/13 Vereist ip 104.24.0.0/14 Vereist ip 172.64.0.0/13 Vereist ip 131.0.72.0/22 Vereist ip 2400: cb00 ::/ 32 Vereist ip 2606: 4700 ::/32 Vereist ip 2803: f800 ::/32 Vereist ip 2405: b500 ::/32 Vereist ip 2a06: 98c0 ::/29 Vereist ip 2c0f: f248 ::/32 </FilesMatch & gt; # END Preventie van omzeilen van websitefirewall
Als de website die je wilt beschermen add-on-domeinen of subdomeinen bevat in de hoofdmap van het document, en de site gebruikt Apache 2.4, gebruik dan de volgende code in plaats van op koptekst gebaseerde bypass-preventie.
# BEGIN Preventie van websitefirewall < Als "& percnt; { HTTP_HOST } == & apos; coolexample.com & apos; || & percnt; { HTTP_HOST } & is gelijk aan; & is gelijk aan; & apos; www.coolexample.com & apos; " > Vereist ip 208.109.0.0/22 Vereist ip 192.88.134.0/23 Vereist ip 185.93.228.0/22 Vereist ip 2a02: fe80 ::/29 Vereist ip 66.248.200.0/22 Vereist ip 173.245.48.0/20 Vereist ip 103.21.244.0/ 22 Vereist ip 103.22.200.0/22 Vereist ip 103.31.4.0/22 Vereist ip 141.101.64.0/18 Vereist ip 108.162.192.0/18 Vereist ip 190.93.240.0/20 Vereist ip 188.114.96.0/20 Vereist ip 197.234.240.0/22 Vereist ip 198.41.128.0/17 Vereist ip 162.158.0.0/15 Vereist ip 104.16.0.0/13 Vereist ip 104.24.0.0/14 Vereist ip 172.64.0.0/13 Vereist ip 131.0.72.0/22 Vereist ip 2400: cb00 ::/ 32 Vereist ip 2606: 4700 ::/32 Vereist ip 2803: f800 ::/32 Vereist ip 2405: b500 ::/32 Vereist ip 2a06: 98c0 ::/29 Vereist ip 2c0f: f248 ::/32 </Als & gt; # END Preventie van omzeilen van websitefirewall
Apache 2.2
# BEGIN Preventie van websitefirewall < FilesMatch ".* " > Bestelling weigeren, toestaan Weigeren van alle Toestaan vanaf 192.88.134.0/23 Toestaan vanaf 185.93.228.0/22 Toestaan vanaf 2a02: fe80 ::/29 Toestaan vanaf 66.248.200.0/22 Toestaan vanaf 173.245.48.0/ 20 Toestaan vanaf 103.21.244.0/22 Toestaan vanaf 103.22.200.0/22 Toestaan vanaf 103.31.4.0/22 Toestaan vanaf 141.101.64.0/18 Toestaan vanaf 108.162.192.0/18 Toestaan vanaf 190.93.240.0/20 Toestaan vanaf 188.114.96.0/20 Toestaan vanaf 197.234.240.0/22 Toestaan vanaf 198.41.128.0/17 Toestaan vanaf 162.158.0.0/15 Toestaan vanaf 104.24.0.0/14 Toestaan vanaf 172.64.0.0/13 Toestaan vanaf 131.0.72.0/22 Toestaan van 2400: cb00 ::/32 Toestaan van 2606: 4700 ::/32 Toestaan van 2803: f800 ::/32 Toestaan van 2405: b500 ::/32 Toestaan van 2405: 8100 ::/32 Toestaan van 2a06: 98c0: :/29 Toestaan vanaf 2c0f: f248 ::/32 </FilesMatch & gt; # END Preventie van omzeilen van websitefirewall
Als de standaard bypass -preventiecode niet werkt, kun je de volgende code proberen, waarvoor de Sucuri WAF -header nodig is.
#BEGIN Preventie van websitefirewall RewriteEngine op RewriteCond & percnt; { HTTP: X-SUCURI-CLIENTIP } ^ $ RewriteCond & percnt; { HTTP: X-SUCURI-COUNTRY } ^ $ RewriteRule ^ (.*) $ - & lsqb; F, L & rsqb; ErrorDocument 403 Forbidden # END Preventie van omzeiling van websitefirewall
De alternatieve code controleert of de X-SUCURI-CLIENTIP- en X-SUCURI-COUNTRY-headers aanwezig zijn en retourneert de 403 Forbidden-antwoordstatuscode als dat niet het geval is.
Beheerde WordPress
Als je account wordt weergegeven als WPaaS -hosting, geeft de HAproxy- of openresty -server mogelijk niet de juiste IP -adressen door in het verzoek. Gebruik de volgende code om het probleem op te lossen.
# BEGIN Preventie van websitefirewall RewriteEngine op RewriteCond%{HTTP_HOST} ^(www.)? coolexample.com $ RewriteCond %{HTTP:X-SUCURI-CLIENTIP} ^$ RewriteCond %{HTTP:X-SUCURI-COUNTRY} ^$ RewriteRule ^(.*) $-[F, L] ErrorDocument 403 Forbidden # END Preventie van websitefirewall omzeilen
Zorg ervoor dat je coolexample.com vervangt door de daadwerkelijke domeinnaam. Zorg ervoor dat je ook de Beheerde WordPress -verniscache wist voordat je de firewall -bypasspreventie test, omdat je mogelijk nog steeds een 200 OK -antwoord in de cache krijgt. Dit kan gedaan worden in het WordPress Admin Dashboard of door SSH (Secure Shell) te openen via WP-CLI, de opdrachtregeltool voor het beheren van WordPress-sites.
Meer informatie
- Als je IIS gebruikt, verschillen de instructies per versie: IIS 7 , IIS 8 en IIS 9/10 . Je kunt ook proberen om het bestand web.config te gebruiken om bypass te voorkomen.
- Krijg je een 500 -foutcode na het toevoegen van de regels voor bypasspreventie? Verwijder de regel die verwijst naar IPv6 uit de bypass -preventiecode en kijk of de fout verdwenen is. Het kan enkele minuten duren voordat de 500 -fout is verholpen nadat die regel is verwijderd.