Contattateci
Area clienti
Visita LWSVota questo articolo :
5/5 | 1 parere
Questo articolo vi è stato utile ?
Sì
No
Articolo letto
33558 una volta
Merci ! N'hésitez pas à
poser des questions sur nos documentations si vous souhaitez plus d'informations et nous aider à les
améliorer.Vous avez noté 0 étoile(s)
Guida in linea
L'host web accessibile a tutti
Sommaire
Procédure
Lo strumento LWS Protect, disponibile nella sezione "Sicurezza" del vostro pannello di controllo cPanel, vi permette di proteggere il vostro sito web in pochi semplici clic, personalizzando le regole di sicurezza a monte del server web del vostro pacchetto di hosting.
Queste regole di sicurezza entrano in vigore non appena il traffico arriva a monte del server web, ben oltre Apache o PHP, consentendo un notevole risparmio di risorse e una maggiore efficienza. Le richieste HTTP vengono analizzate dal firewall applicativo integrato di Fastest Cache prima di essere inviate al server web, molto prima di ModSecurity o dei vostri plugin di sicurezza.
Oltre alle semplici regole di sicurezza offerte da ModSecurity, LWS Protect utilizza strumenti di analisi della reputazione esterni e regole di sicurezza sviluppate internamente in risposta agli attacchi identificati dai nostri amministratori di sistema.
| Descrizione | Livello di sicurezza | Valori possibili | |
| Basso | Alto | ||
| Regole generiche | |||
| Controllo del browser sulle pagine di amministrazione correnti | Disabilitato | Abilitato | Abilitato Disabilitato |
| Blocca l'accesso HTTP alle cartelle di sviluppo correnti | Abilitato | Abilitato | Abilitato Disabilitato |
| Blocca l'accesso HTTP ai file .php | Disabilitato | Disabilitato | Abilitato Disabilitato |
| Anti-DDoS aggressivo | Disattivato | Abilitato | Abilitato Disabilitato |
| WordPress | |||
| WordPress : blocco di xmlrpc.php | Abilitato | Abilitato | Abilitato Disabilitato |
| WordPress: limitare il numero di richieste possibili a /wp-admin e /wp-login.php | 20 richieste / 10 minuti | 5 richieste / 10 minuti | Disabilitato 5 richieste / 10 minuti 20 richieste / 10 minuti 40 richieste / 10 minuti |
| WordPress: blocca i file sensibili | Abilitato | Abilitato | Abilitato Disabilitato |
| Bot | |||
| Blocca/limita i bot SEO | Disabilitato | 20 richieste al minuto | Disabilitato Blocca tutti 5 richieste / minuto 20 richieste / minuto 40 richieste / minuto |
| Blocca il falso bot di Google | Attivato | Abilitato | Abilitato Disabilitato |
| Blocca i bot dannosi | Disabilitato | Abilitato | Abilitato Disabilitato |
| Blocca gli User-Agent vuoti | Abilitato | Abilitato | Abilitato Spento |
| Reputazione IP | |||
| Blocca gli IP dannosi | Verifica del browser con captcha | Bloccare | Bloccare Controlla il browser con captcha Disattivato |
| Blocca la rete Tor | Disabilitato | Abilitato | Abilitato Disabilitato |
A differenza dei plugin di sicurezza forniti con i CMS, LWS Protect agisce a monte del server web, ancora prima che PHP possa essere eseguito. Al contrario, i plugin di sicurezza dei CMS richiedono che PHP sia in esecuzione e che almeno una parte del CMS sia stata avviata, il che rende ogni richiesta dispendiosa in termini di risorse e quindi influisce negativamente sulle prestazioni degli altri visitatori del sito. Per un sito di piccole dimensioni, questo problema può essere discreto e trasparente, ma su larga scala si rischia di saturare il pacchetto di web hosting, soprattutto se si hanno molti visitatori simultanei e tutti accedono a elementi dinamici (= che richiedono l'esecuzione di PHP).
LWS Protect risolve questo problema filtrando le richieste a monte del server web, cioè prima che PHP venga eseguito e prima che il CMS venga avviato, persino prima che il server web faccia qualcosa. Quindi, ad esempio, se avete 1000 visitatori simultanei del vostro sito WordPress e il 50% di essi sono malintenzionati, eviterete 500 esecuzioni del vostro CMS e 500 esecuzioni di PHP. Si risparmia sia la RAM che il numero di richieste MySQL e si evita che queste visite dannose influenzino le prestazioni dei visitatori reali.
Dall'icona "LWS Protect " del vostro pannello di controllo cPanel, potete attivare immediatamente un set di regole per applicare un profilo di sicurezza generico. LWS offre attualmente tre profili di sicurezza:
Per modificare il set di regole attivo su un sito web, fate clic sul livello di sicurezza associato al nome del dominio in questione (1) e scegliete un nuovo livello di sicurezza (2) :
È possibile personalizzare le regole di sicurezza di LWS Protect anche individualmente facendo clic su "Personalizza ":
Le regole di sicurezza offerte da LWS Protect sono raggruppate in diverse categorie in base al loro campo d'azione:
Ogni regola di sicurezza ha almeno due stati: attivo e inattivo. Attivando determinate regole, è possibile regolare con precisione i loro parametri:
Le regole sono immediatamente attive e sono compatibili con tutti gli altri strumenti di ottimizzazione delle prestazioni: Fastest Cache, LiteSpeed e Ipxchange.
Regola consigliata.
Questa regola implementa un controllo preliminare quando si accede alle pagine di amministrazione comuni (wp-admin, administrator, admin*, wp-login.php, ecc.), al fine di bloccare gli strumenti mascherati da browser web. La verifica viene effettuata mediante l'invio di una pagina captcha per garantire che le richieste presumibilmente effettuate dai browser siano effettivamente fatte da esseri umani dietro un browser web e non da un bot.
Regola consigliata.
Questa regola impedisce l'accesso HTTP alle cartelle di sviluppo più comuni, come i file .sql, le cartelle .git, i file .env, ecc. In questo modo si evitano fughe di informazioni nel caso in cui si dimentichi di cancellare un file .sql di backup, ad esempio, sul sito web durante la fase di progettazione.
Attivare con cautela. Non compatibile con WordPress.
Questa regola blocca l'accesso diretto ai file .php impedendo l'accesso a tutti gli URL con il termine ".php", il che impedisce qualsiasi possibile aggiramento delle riscritture degli URL definite nel file .htaccess.
Attivare con cautela.
L'anti-DDoS aggressivo esegue un controllo preliminare su tutte le richieste HTTP effettuate al vostro sito web da un browser web. Il meccanismo, identico a quello di verifica del browser nelle cartelle dell'amministratore, impedisce ai robot automatizzati di raggiungere il vostro sito web.
Attivare con cautela. Può causare problemi con alcuni plugin di WordPress.
Blocca sistematicamente l'accesso al file xmlrpc.php con un errore 403. Si tratta di un file utilizzato per effettuare richieste API a WordPress, ora ampiamente sostituito da wp-admin/admin-ajax.php. Tuttavia, viene mantenuto per la retrocompatibilità con gli strumenti che si basano ancora su xmlrpc.php.
Consigliato e attivo per impostazione predefinita a 20 richieste/10 minuti
Questa regola limita il numero di richieste che un indirizzo IP può effettuare a wp-admin e wp-login.php. Il contatore delle richieste è lo stesso per tutti i siti web del nostro parco, solo la soglia di blocco è specifica per ogni sito web. In questo modo è possibile bloccare due tipi di attacchi con un'unica regola: gli attacchi bruteforce rivolti a un singolo sito web e gli attacchi bruteforce rivolti a un gran numero di siti web.
Poiché il contatore è comune, è necessario regolare questa soglia di blocco in base al numero di siti ospitati e a cui si accede contemporaneamente. Se avete diversi siti e aprite il dashboard contemporaneamente su un unico PC, è molto probabile che dobbiate regolare la soglia di blocco per evitare di essere bloccati.
Quando il blocco è effettivo, viene visualizzato un errore 403 e lo sblocco avviene non appena il numero di richieste effettuate dall'indirizzo IP negli ultimi 600 secondi scende nuovamente sotto la soglia di blocco.
Consigliata e attiva per impostazione predefinita
Questa regola impedisce l'accesso ai file e ai percorsi sensibili di WordPress. Tra l'altro, impedisce l'esecuzione dei file .php nella cartella upload di WordPress e nella cartella wp-includes, riducendo così il rischio di danni a seguito di un'intrusione o di un'infezione da virus nel vostro sito.
Bloccate o limitate il numero di richieste al minuto che i robot SEO come Ahrefs, Semrush e Majestic possono effettuare. I bot sono identificati dal loro User-Agent e/o dall'indirizzo IP.
Consigliato.
Consente di bloccare i Google Bot fasulli. Il falso Google Bot viene individuato utilizzando il suo indirizzo IP, lo User-Agent fornito e il reverse DNS. I dati vengono quindi confrontati con le informazioni fornite da Google stesso sui suoi bot e se qualche elemento non è coerente, il blocco viene visualizzato con un errore 403.
Blocca i bot dannosi elencati nelle liste nere pubbliche di bot. I bot sono identificati come dannosi o meno dal loro indirizzo IP e/o User-Agent. Verrà quindi visualizzato un errore 403.
Consigliato.
Blocca la richiesta quando l'intestazione HTTP "User-Agent" è vuota. Ciò si verifica spesso con le configurazioni predefinite degli strumenti di scansione delle vulnerabilità utilizzati dagli hacker. Verrà quindi visualizzato un errore 403.
Consigliato e attivo per impostazione predefinita su "Controlla il browser con un captcha".
Questa regola blocca l'accesso al sito web da parte di indirizzi IP segnalati come dannosi. Utilizziamo diversi database pubblici per identificare gli indirizzi IP dannosi. La reputazione di un indirizzo IP viene conservata nei nostri archivi per un massimo di 24 ore. Se l'indirizzo IP ha una cattiva reputazione, verrà eseguito un controllo captcha o un blocco con errore 403, a seconda della scelta di blocco effettuata.
Questa regola blocca l'accesso al vostro sito web dalla rete Tor. La rete Tor viene individuata identificando l'indirizzo IP nel database pubblico dei nodi di uscita Tor. Se l'indirizzo IP è presente nell'elenco, verrà visualizzato un errore 403.
Per visualizzare i blocchi effettuati da LWS Protect, accedere a LWS Protect e fare clic sul pulsante "Cronologia blocchi " associato al nome di dominio in questione:
Potete quindi filtrare gli eventi in base alle vostre esigenze:
Dopo aver fatto clic su "Cerca", i log vengono aggiornati tenendo conto dei filtri impostati:
Vota questo articolo :
5/5 | 1 parere
Questo articolo vi è stato utile ?
Sì
No
1mn lettura
Come si usa il gestore dei rifiuti IP in cPanel?
0mn lettura
Come si attiva un certificato SSL Let's Encrypt su cPanel?
0mn lettura
Come posso installare facilmente un certificato SSL a pagamento su cPanel?
0mn lettura
Proteggete il vostro sito web con ModSecurity sul vostro pacchetto cPanel
Bonjour,
Si vous n'êtes pas en capacité d'ouvrir la section LWS Protect, je vous invite vivement à ouvrir une demande d'assistance technique depuis votre espace client afin que l'un de nos techniciens vous apporte une réponse dans les plus brefs délais afin d'analyser votre problème.
Dans le cas où vous souhaiteriez contacter notre assistance technique, je vous inviterais à suivre cette documentation guidant dans l'ouverture d'une demande.
Je vous remercie pour votre attention et reste à votre disposition pour toutes autres demandes ou interrogations complémentaires à propos de nos services.
Cordialement, L'équipe LWS.
Informazioni su LWS :
LWS è una società di web hosting 100% francese che punta sulla qualità e sull'innovazione e offre un servizio tecnico reattivo e competente a prezzi accessibili. 