Sicurezza e backup del sito web Aiuto

Abbiamo cercato di tradurti questa pagina. È disponibile anche la versione in inglese.

Impedisci il bypass del Web Application Firewall (WAF)

Se qualcuno conosce il tuo IP di hosting nascosto , può bypassare il tuo Web Application Firewall (WAF) e provare ad accedere direttamente al tuo sito web. Non è comune né facile da fare, ma per una maggiore sicurezza, ti consigliamo di consentire l'accesso HTTP solo tramite il tuo WAF. Puoi limitare l'accesso al tuo sito web aggiungendo una restrizione al tuo file .htaccess.

Avvertenza: prima di seguire le istruzioni di seguito, attendi la propagazione completa delle modifiche al DNS. Questa operazione può richiedere fino a 24 ore dopo aver configurato il WAF .
  1. Vai alla pagina dei prodotti di GoDaddy.
  2. Per Sicurezza del sito web e backup , seleziona Gestisci tutto .
  3. Per il sito che desideri configurare, seleziona Dettagli in Firewall .
  4. Seleziona Impostazioni.
  5. Seleziona Sicurezza e scorri verso il basso fino a Impedire l'esclusione del firewall .
    Prevenire il bypass del firewall
  6. Seleziona il tipo di server. Per i server Apache, aggiungi il codice al tuo file .htaccess. Per NGINX, dovrai aggiungere il codice al tuo file di configurazione NGINX.

Regole comuni basate sull'indirizzo IP

Il modo migliore per impedire agli hacker di aggirare il firewall è limitare il loro accesso al tuo server web. Di seguito puoi trovare le regole basate sull'indirizzo IP di uso comune per limitare l'accesso al tuo server web.

Apache 2.4

# BEGIN Prevenzione bypass firewall del sito web < FilesMatch ".* " > Richiedi ip 208.109.0.0/22 Richiedi ip 192.88.134.0/23 Richiedi ip 185.93.228.0/22 Richiedi ip 66.248.200.0/22 Richiedi ip 2a02: fe80 ::/29 Richiedi ip 173.245.48.0/20 Richiedi ip 103.21.244.0/ 22 Richiedi ip 103.22.200.0/22 Richiedi ip 103.31.4.0/22 Richiedi ip 141.101.64.0/18 Richiedi ip 108.162.192.0/18 Richiedi ip 190.93.240.0/20 Richiedi ip 188.114.96.0/20 Richiedi ip 197.234.240.0/22 Richiedi ip 198.41.128.0/17 Richiedi ip 162.158.0.0/15 Richiedi ip 104.16.0.0/13 Richiedi ip 104.24.0.0/14 Richiedi ip 172.64.0.0/13 Richiedi ip 131.0.72.0/22 Richiedi ip 2400: cb00 ::/ 32 Require ip 2606: 4700 ::/32 Require ip 2803: f800 ::/32 Require ip 2405: b500 ::/32 Require ip 2405: 8100 ::/32 Require ip 2a06: 98c0 ::/29 Require ip 2c0f: f248 ::/32 </FilesMatch & gt; # END Prevenzione bypass firewall del sito web

Se il sito web che vuoi proteggere contiene domini aggiuntivi o sottodomini all'interno della radice del documento e il sito usa Apache 2.4, usa il codice seguente anziché la prevenzione dell'esclusione basata sull'intestazione.

# BEGIN Prevenzione bypass firewall del sito web < Se "& percnt; { HTTP_HOST } == & apos; coolexample.com & apos; || & percnt; { HTTP_HOST } & è uguale a; & è uguale a; & apos; www.esempio.com & apos; " > Richiedi ip 208.109.0.0/22 Richiedi ip 192.88.134.0/23 Richiedi ip 185.93.228.0/22 Richiedi ip 2a02: fe80 ::/29 Richiedi ip 66.248.200.0/22 Richiedi ip 173.245.48.0/20 Richiedi ip 103.21.244.0/ 22 Richiedi ip 103.22.200.0/22 Richiedi ip 103.31.4.0/22 Richiedi ip 141.101.64.0/18 Richiedi ip 108.162.192.0/18 Richiedi ip 190.93.240.0/20 Richiedi ip 188.114.96.0/20 Richiedi ip 197.234.240.0/22 Richiedi ip 198.41.128.0/17 Richiedi ip 162.158.0.0/15 Richiedi ip 104.16.0.0/13 Richiedi ip 104.24.0.0/14 Richiedi ip 172.64.0.0/13 Richiedi ip 131.0.72.0/22 Richiedi ip 2400: cb00 ::/ 32 Require ip 2606: 4700 ::/32 Require ip 2803: f800 ::/32 Require ip 2405: b500 ::/32 Require ip 2405: 8100 ::/32 Require ip 2a06: 98c0 ::/29 Require ip 2c0f: f248 ::/32 </Se & gt; # END Prevenzione bypass firewall del sito web

Apache 2.2

# BEGIN Prevenzione bypass firewall del sito web < FilesMatch ".* " > Order deny, allow Deny da tutti Consenti da 208.109.0.0/22 Consenti da 192.88.134.0/23 Consenti da 185.93.228.0/22 Consenti da 2a02: fe80 ::/29 Consenti da 66.248.200.0/22 Consenti da 173.245.48.0/ 20 Consenti da 103.21.244.0/22 Consenti da 103.22.200.0/22 Consenti da 103.31.4.0/22 Consenti da 141.101.64.0/18 Consenti da 108.162.192.0/18 Consenti da 190.93.240.0/20 Consenti da 188.114.96.0/20 Consenti da 197.234.240.0/22 Consenti da 198.41.128.0/17 Consenti da 162.158.0.0/15 Consenti da 104.16.0.0/13 Consenti da 104.24.0.0/14 Consenti da 172.64.0.0/13 Consenti da 131.0.72.0/22 Consenti da 2400: cb00 ::/32 Permesso da 2606: 4700 ::/32 Permesso da 2803: f800 ::/32 Permesso da 2405: b500 ::/32 Permesso da 2405: 8100 ::/32 Permesso da 2a06: 98c0: :/29 Consenti da 2c0f: f248 ::/32 </FilesMatch & gt; # END Prevenzione bypass firewall del sito web

Se il codice di prevenzione bypass standard non funziona, puoi provare il codice seguente, che richiede l'intestazione Sucuri WAF.

#BEGIN Web Firewall Bypass Prevention RewriteEngine On RewriteCond & percnt; { HTTP: X-SUCURI-CLIENTIP } ^ $ RewriteCond & percnt; { HTTP: X-SUCURI-COUNTRY } ^ $ RewriteRule ^ (.*) $ - & lsqb; F, L & rsqb; ErrorDocument 403 Forbidden # END Prevenzione bypass firewall

Il codice alternativo controllerà se le intestazioni X-SUCURI-CLIENTIP e X-SUCURI-COUNTRY sono presenti e, in caso contrario, restituirà il codice di stato 403 Forbidden response.

Wordpress gestito

Se il tuo account appare come hosting WPaaS, il server HAproxy o openresty potrebbe non trasmettere gli indirizzi IP corretti nella richiesta. Usa il codice seguente per risolvere il problema.

# BEGIN RewriteEngine della prevenzione bypass del firewall del sito web su RewriteCond%{HTTP_HOST} ^(www.)? esempio.com $ RewriteCond %{HTTP:X-SUCURI-CLIENTIP} ^$ RewriteCond %{HTTP:X-SUCURI-COUNTRY} ^$ RewriteRule ^(.*) $-[F, L] ErrorDocument 403 Forbidden # END Web Firewall Bypass Prevention

Assicurati di sostituire coolexample.com con il nome di dominio effettivo. Assicurati di svuotare anche la cache della vernice di WordPress gestito prima di testare la prevenzione del bypass del firewall, in quanto potresti comunque ricevere una risposta 200 OK nella cache. Questa operazione può essere eseguita nella dashboard di amministrazione di WordPress o accedendo a SSH (Secure Shell) tramite WP-CLI, lo strumento da riga di comando per la gestione dei siti WordPress.

Altre informazioni

  • Se usi IIS, le istruzioni variano a seconda della versione: IIS 7 e IIS 8 . Puoi anche provare a usare il file web.config per prevenire il bypass.
  • Ricevi un codice di errore 500 dopo aver aggiunto le regole di prevenzione dei bypass? Rimuovi la riga che fa riferimento a IPv6 dal codice di prevenzione bypass e verifica se l'errore è scomparso. Dopo aver rimosso la riga, potrebbero essere necessari alcuni minuti prima che l'errore 500 venga eliminato.