LWS Protect: firewall de aplicação para segurança do sítio Web

Procédure

Introdução ao LWS Protect

A ferramenta LWS Protect, disponível na secção "Segurança" do seu painel de controlo cPanel, permite-lhe proteger o seu site com apenas alguns cliques, personalizando as regras de segurança em vigor a montante do servidor Web do seu pacote de alojamento.

LWS Protect: firewall de aplicação para segurança do sítio Web

Estas regras de segurança entram em vigor assim que o tráfego chega a montante do servidor Web, muito para além do Apache ou do PHP, o que lhe permite poupar recursos significativos e aumentar a eficiência. Os pedidos HTTP são analisados pela firewall de aplicação integrada do Fastest Cache antes de serem enviados para o servidor Web, muito antes do ModSecurity ou mesmo dos seus plugins de segurança.

Para além das regras de segurança simples oferecidas pelo ModSecurity, o LWS Protect utiliza ferramentas externas de análise de reputação e regras de segurança desenvolvidas internamente em resposta a ataques identificados pelos nossos administradores de sistemas.

Resumo das regras do LWS Protect

Descrição das regras Nível de segurança Valores possíveis
Baixo Alto
Regras genéricas
Verificação do navegador nas páginas de administração actuais Desativado Ativado Ativado
Desativado
Bloquear o acesso HTTP nas pastas de desenvolvimento actuais Ativado Ativado Ativado
Desativado
Bloquear o acesso HTTP a ficheiros .php Desativado Desativado Ativado
Desativado
Anti-DDoS agressivo Desativado Ativado Ativado
Desativado
WordPress
WordPress : bloqueio de xmlrpc.php Ativado Ativado Ativado
Desativado
WordPress: Limitar o número de pedidos possíveis a /wp-admin e /wp-login.php 20 pedidos / 10 minutos 5 pedidos / 10 minutos Desativado
5 pedidos / 10 minutos
20 pedidos / 10 minutos
40 pedidos / 10 minutos
WordPress: bloquear ficheiros sensíveis Ativado Ativado Ativado
Desativado
Bots
Bloquear/restringir bots de SEO Desativado 20 pedidos / minuto Desativado
Bloquear todos
5 pedidos / minuto
20 pedidos / minuto
40 pedidos / minuto
Bloquear bot falso do Google Ativado Ativado Ativado
Desativado
Bloquear bots maliciosos Desativado Ativado Ativado
Desativado
Bloquear User-Agent vazio Ativado Ativado Ativado
Desativado
Reputação de IP
Bloquear IPs maliciosos Verificar o browser com captcha Bloquear Bloquear
Verificar o browser com captcha
Desativado
Bloquear a rede Tor Desativado Ativado Ativado
Desativado

Porquê escolher o LWS Protect em vez de instalar um plugin de segurança?

Ao contrário dos plug-ins de segurança fornecidos com CMSs, o LWS Protect atua a montante do servidor da Web, mesmo antes que o PHP possa ser executado. Em contraste, os plug-ins de segurança do CMS exigem que o PHP esteja em execução e que pelo menos parte do CMS tenha sido iniciada, o que torna cada solicitação intensiva em recursos e, portanto, afeta negativamente o desempenho de outros visitantes do site. Para um site pequeno, este problema pode ser discreto e transparente, mas numa escala maior, arrisca-se a saturar o seu pacote de alojamento web, especialmente se tiver muitos visitantes simultâneos e todos eles estiverem a aceder a elementos dinâmicos (= que requerem que o PHP esteja em execução).

O LWS Protect resolve este problema filtrando os pedidos a montante do servidor Web, ou seja, antes de o PHP ser executado e antes de o CMS ser iniciado, mesmo antes de o servidor Web fazer alguma coisa. Assim, por exemplo, se tiver 1000 visitantes simultâneos no seu sítio WordPress e 50% deles forem maliciosos, evita 500 execuções do seu CMS e 500 execuções do PHP. Poupa RAM e o número de pedidos MySQL e evita que estas visitas maliciosas afectem o desempenho dos seus visitantes reais.

Conjuntos de regras do LWS Protect

A partir do ícone "LWS Prot ect" no seu painel de controlo cPanel, pode ativar instantaneamente um conjunto de regras para aplicar um perfil de segurança genérico. Atualmente, o LWS oferece três perfis de segurança:

  • Alto: para sites que são regularmente alvo de ataques
  • Baixo: destinado a uma utilização normal (ativo por defeito)
  • Desativado: desactiva todas as regras do LWS Protect

Para alterar o conjunto de regras activas num sítio Web, clique no nível de segurança associado ao nome de domínio em causa (1) e escolha um novo nível de segurança (2) :

LWS Protect: firewall de aplicação para segurança do sítio Web

Personalizar as regras de segurança do LWS Protect

Também pode personalizar as regras de segurança do LWS Protect individualmente, clicando em "Personalizar ":

LWS Protect: firewall de aplicação para segurança do sítio Web

As regras de segurança oferecidas pelo LWS Protect estão agrupadas em diferentes categorias de acordo com o seu âmbito de ação:

  • As regras genéricas aplicam-se a todos os sítios Web
  • As regras WordPress foram concebidas para proteger o acesso a um sítio WordPress
  • As regras agrupadas no separador "Bots" afectam o acesso a robôs e ferramentas de rastreio
  • As regras de reputação de IP baseiam-se em sistemas de reputação de endereços IP

LWS Protect: firewall de aplicação para segurança do sítio Web

Cada regra de segurança tem, pelo menos, dois estados: ativo e inativo. Ao ativar determinadas regras, pode ajustar os seus parâmetros:

LWS Protect: firewall de aplicação para segurança do sítio Web

As regras ficam imediatamente activas e são compatíveis com todas as nossas outras ferramentas de otimização do desempenho: Fastest Cache, LiteSpeed e Ipxchange.

Controlo do navegador em páginas de administração comuns

Regra recomendada.

Esta regra implementa uma verificação preliminar ao aceder a páginas de administração comuns (wp-admin, administrator, admin*, wp-login.php, etc.) para bloquear ferramentas que se fazem passar por um navegador Web. A verificação é efectuada através do envio de uma página captcha para garantir que os pedidos supostamente feitos pelos navegadores são realmente feitos por humanos por detrás de um navegador Web e não por um bot.

Bloquear o acesso HTTP aos ficheiros de desenvolvimento actuais

Regra recomendada.

Esta regra impede o acesso HTTP a pastas de desenvolvimento comuns, como ficheiros .sql, pastas .git, ficheiros .env, etc. Isto evita fugas de informação no caso de se esquecer de eliminar um ficheiro .sql de cópia de segurança, por exemplo, no seu sítio Web durante a fase de conceção.

Bloquear o acesso HTTP a ficheiros .php

Ativar com precaução. Não compatível com o WordPress.

Esta regra bloqueia o acesso direto aos ficheiros .php, impedindo o acesso a todos os URLs com o termo ".php", o que impede qualquer possível desvio das reescritas de URL que tenha definido no seu ficheiro .htaccess.

Anti-DDoS agressivo

Ativar com precaução.

O anti-DDoS agressivo efectua uma verificação preliminar de todos os pedidos HTTP feitos ao seu sítio Web por um navegador Web. O mecanismo, que é idêntico ao mecanismo de verificação do navegador nas pastas de administrador, impede que os robôs automatizados cheguem ao seu sítio Web.

WordPress: bloquear xmlrpc.php

Ativar com precaução. Pode causar problemas com alguns plug-ins do WordPress.

Bloqueia sistematicamente o acesso ao ficheiro xmlrpc.php com um erro 403. Um ficheiro que costumava ser utilizado para efetuar pedidos de API ao WordPress, foi agora amplamente substituído por wp-admin/admin-ajax.php. No entanto, é mantido para compatibilidade retroactiva com ferramentas que ainda dependem do xmlrpc.php.

WordPress: Limitar o número de pedidos possíveis a /wp-admin e /wp-login.php

Recomendado e ativo por predefinição a 20 pedidos/10 minutos

Esta regra limita o número de pedidos que um endereço IP pode fazer a wp-admin e wp-login.php. O contador de pedidos é o mesmo para todos os sítios Web do nosso parque, apenas o limiar de bloqueio é específico para cada sítio Web. Isto permite bloquear dois tipos de ataques com uma única regra: ataques de força bruta que visam um único sítio Web e ataques de força bruta que visam um grande número de sítios Web.

Como o contador é comum, será necessário ajustar esse limite de bloqueio de acordo com o número de sites que você hospeda e acessa simultaneamente. Se tiver vários sítios e abrir o painel de controlo simultaneamente num único PC, é muito provável que tenha de ajustar o limiar de bloqueio para evitar ser bloqueado.

Quando o bloqueio é efetivo, é apresentado um erro 403 e o desbloqueio é efectuado assim que o número de pedidos efectuados pelo endereço IP nos últimos 600 segundos desce novamente abaixo do limiar de bloqueio.

WordPress: bloquear ficheiros sensíveis

Recomendado e ativo por predefinição

Esta regra impede o acesso a ficheiros e caminhos sensíveis do WordPress. Entre outras coisas, impede a execução de ficheiros .php na pasta de carregamento do WordPress e na pasta wp-includes, reduzindo assim o risco de danos na sequência de uma intrusão ou infeção por vírus no seu sítio.

Bloqueio/limitação dos robots SEO

Bloqueie ou limite o número de pedidos por minuto que os robots de SEO, como o Ahrefs, o Semrush e o Majestic, podem efetuar. Os bots são identificados pelo seu User-Agent e/ou endereço IP.

Bloquear um falso Google Bot

Recomendado.

Permite-lhe bloquear um falso Google Bot. O falso Google Bot é detectado através do seu endereço IP, do User-Agent fornecido e do DNS inverso. Os dados são depois comparados com as informações fornecidas pela própria Google sobre os seus bots e, se algum elemento for inconsistente, o bloqueio é apresentado com um erro 403.

Bloquear bots maliciosos

Bloqueia os bots maliciosos listados em listas negras públicas de bots. Os robôs são identificados como maliciosos ou não pelo seu endereço IP e/ou User-Agent. Será então apresentado um erro 403.

Bloquear User-Agent vazio

Recomendado.

Bloqueia o pedido quando o cabeçalho HTTP "User-Agent" está vazio. Isto ocorre frequentemente com as configurações predefinidas das ferramentas de análise de vulnerabilidades utilizadas pelos hackers. Será então apresentado um erro 403.

Bloquear IPs maliciosos

Recomendado e ativo por predefinição em "Verificar o browser com um captcha".

Esta regra bloqueia o acesso ao sítio Web por endereços IP considerados maliciosos. Utilizamos várias bases de dados públicas para identificar endereços IP maliciosos. A reputação de um endereço IP é mantida nos nossos registos durante um máximo de 24 horas. Será efectuada uma verificação de captcha se o endereço IP tiver uma má reputação, ou um bloqueio com erro 403, dependendo da sua opção de bloqueio.

Bloquear a rede Tor

Esta regra bloqueia o acesso ao seu sítio Web a partir da rede Tor. A rede Tor é detectada através da identificação do endereço IP na base de dados pública dos nós de saída Tor. Será apresentado um erro 403 se o endereço IP estiver na lista.

Ver o histórico de bloqueios

Para visualizar os bloqueios efectuados pelo LWS Protect, aceda ao LWS Protect e clique no botão "Histórico de bloqueios " associado ao nome de domínio em causa:

LWS Protect: firewall de aplicação para segurança do sítio Web

Pode então filtrar os eventos de acordo com as suas necessidades:

  • Nome do anfitrião / domínio
  • Intervalo de data/hora
  • Endereço IP bloqueado
  • Pedido HTTP
  • Mensagem

LWS Protect: firewall de aplicação para segurança do sítio Web

Depois de clicar em "Pesquisar", os registos são actualizados, tendo em conta os filtros configurados:

LWS Protect: firewall de aplicação para segurança do sítio Web

Avaliar este artigo :

5/5 | 1 opinião

Este artigo foi útil para si ?

Article utileSim

Article non utileNão

Vous souhaitez nous laisser un commentaire concernant cet article ?

Si cela concerne une erreur dans la documentation ou un manque d'informations, n'hésitez pas à nous en faire part depuis le formulaire.

Pour toute question non liée à cette documentation ou problème technique sur l'un de vos services, contactez le support commercial ou le support technique

MerciMerci ! N'hésitez pas à poser des questions sur nos documentations si vous souhaitez plus d'informations et nous aider à les améliorer.


Vous avez noté 0 étoile(s)

Artigos semelhantes

1mn leitura

Como é que utilizo o gestor de recusas de IP no cPanel?

0mn leitura

Como posso ativar um certificado Let's Encrypt SSL no cPanel?

0mn leitura

Como posso instalar facilmente um certificado SSL pago no cPanel?

0mn leitura

Proteja o seu sítio web com ModSecurity no seu pacote cPanel


Questions sur l'article
Sandy Il y a 362 dias
Como utilizá-lo Não consigo abri-lo Não compreendo
Ver o
1 respostas
Jordan-LWS - Il y a 359 dias

Bonjour,


Si vous n'êtes pas en capacité d'ouvrir la section LWS Protect, je vous invite vivement à ouvrir une demande d'assistance technique depuis votre espace client afin que l'un de nos techniciens vous apporte une réponse dans les plus brefs délais afin d'analyser votre problème.

Dans le cas où vous souhaiteriez contacter notre assistance technique, je vous inviterais à suivre cette documentation guidant dans l'ouverture d'une demande.

Je vous remercie pour votre attention et reste à votre disposition pour toutes autres demandes ou interrogations complémentaires à propos de nos services.

Cordialement, L'équipe LWS.

Utile ?

Fazer uma pergunta à equipa do LWS e à sua comunidade