Cópias de segurança e Segurança de sites na web

Cópias de segurança e Segurança de sites na web Ajuda

Fizemos o nosso melhor para traduzir esta página para si. A página em inglês também está disponível.

Impedir o desvio do Firewall de Aplicações Web (WAF)

Se alguém souber o seu IP de alojamento oculto , pode ignorar a sua Firewall de Aplicações Web (WAF) e tentar aceder diretamente ao seu site na web. Não é comum ou fácil de fazer, mas para segurança adicional, recomendamos apenas permitir o acesso HTTP através do WAF. Pode limitar o acesso ao seu site na web ao adicionar uma restrição ao seu.htaccess arquivo.

Aviso: aguarde até que as alterações de DNS sejam totalmente propagadas antes de seguir as instruções abaixo. Isso pode demorar até 24 horas após a configuração da WAF .
  1. Aceda à sua página de produtos.
  2. Para Segurança de sites na web e Cópias de segurança , selecione Gerir tudo .
  3. Para o site que deseja configurar, selecione Detalhes em Firewall .
  4. Clique em Definições.
  5. Selecione Segurança e desloque-se para baixo até Prevenir o desvio da firewall .
    Prevenir o desvio da firewall
  6. Selecione o seu tipo de servidor. Para servidores Apache, adicione o código ao seu arquivo .htaccess. Para o NGINX, terá de adicionar o código ao seu ficheiro de configuração NGINX.

Regras comuns baseadas em endereços de IP

A melhor forma de evitar que os hackers contornem o firewall é limitar o acesso ao seu servidor web. Abaixo, pode encontrar regras baseadas em endereços de IP mais utilizadas para ajudar a restringir o acesso ao seu servidor da internet.

Apache 2.4

# BEGIN Prevenção de contornar o firewall de sites na web < FilesMatch ". * " > Require ip 208.109.0.0/22 Require ip 192.88.134.0/23 Require ip 185.93.228.0/22 Require ip 2a02: fe80 :: / 29 Require ip 66.248.200.0/22 Require ip 173.245.48.0/20 Require ip 103.21.244.0/ 22 Require ip 103.22.200.0/22 Require ip 103.31.4.0/22 Require ip 141.101.64.0/18 Require ip 108.162.192.0/18 Require ip 190.93.240.0/20 Require ip 188.114.96.0/20 Require ip 197.234.240.0/22 Require ip 198.41.128.0/17 Require ip 162.158.0.0/15 Require ip 104.16.0.0/13 Require ip 104.24.0.0/14 Require ip 172.64.0.0/13 Require ip 131.0.72.0/22 Require ip 2400: cb00 :: / 32 Requer ip 2606: 4700 :: / 32 Requer ip 2803: f800 :: / 32 Requer ip 2405: b500 :: / 32 Requer ip 2405: 8100 :: / 32 Requer ip 2a06: 98c0 :: / 29 Requer ip 2c0f: f248 :: / 32 </ FilesMatch & gt; # END Prevenção de desvio do firewall de sites na web

Se o site na web que deseja proteger contiver domínios de suplemento ou subdomínios na raiz do documento e o site usar o Apache 2.4, use o código a seguir em vez da prevenção de bypass baseada em cabeçalho.

# BEGIN Prevenção de contornar o firewall de sites na web < Se "& percnt; & # 123; HTTP_HOST & # 125; == & apos; coolexample.com & apos; || & percnt; & # 123; HTTP_HOST & # 125; & equals; & equals; & apos; www.coolexample.com & apos; " > Require ip 208.109.0.0/22 Require ip 192.88.134.0/23 Require ip 185.93.228.0/22 Require ip 2a02: fe80 :: / 29 Require ip 66.248.200.0/22 Require ip 173.245.48.0/20 Require ip 103.21.244.0/ 22 Require ip 103.22.200.0/22 Require ip 103.31.4.0/22 Require ip 141.101.64.0/18 Require ip 108.162.192.0/18 Require ip 190.93.240.0/20 Require ip 188.114.96.0/20 Require ip 197.234.240.0/22 Require ip 198.41.128.0/17 Require ip 162.158.0.0/15 Require ip 104.16.0.0/13 Require ip 104.24.0.0/14 Require ip 172.64.0.0/13 Require ip 131.0.72.0/22 Require ip 2400: cb00 :: / 32 Requer ip 2606: 4700 :: / 32 Requer ip 2803: f800 :: / 32 Requer ip 2405: b500 :: / 32 Requer ip 2405: 8100 :: / 32 Requer ip 2a06: 98c0 :: / 29 Requer ip 2c0f: f248 :: / 32 </ Se & gt; # END Prevenção de desvio do firewall de sites na web

Apache 2.2

# BEGIN Prevenção de contornar o firewall de sites na web < FilesMatch ". * " > Pedir negação, permitir Negar de todos Permitir de 208.109.0.0/22 Permitir de 192.88.134.0/23 Permitir de 185.93.228.0/22 Permitir de 2a02: fe80 :: / 29 Permitir de 66.248.200.0/22 Permitir de 173.245.48.0/ 20 Permitir de 103.21.244.0/22 Permitir de 103.22.200.0/22 Permitir de 103.31.4.0/22 Permitir de 141.101.64.0/18 Permitir de 108.162.192.0/18 Permitir de 190.93.240.0/20 Permitir de 188.114.96.0/20 Permitir de 197.234.240.0/22 Permitir de 198.41.128.0/17 Permitir de 162.158.0.0/15 Permitir de 104.16.0.0/13 Permitir de 104.24.0.0/14 Permitir de 172.64.0.0/13 Permitir de 131.0.72.0/22 Permitir de 2400: cb00 :: / 32 Permitir de 2606: 4700 :: / 32 Permitir de 2803: f800 :: / 32 Permitir de 2405: b500 :: / 32 Permitir de 2405: 8100 :: / 32 Permitir de 2a06: 98c0: : / 29 Permitir de 2c0f: f248 :: / 32 </ FilesMatch & gt; # END Prevenção de desvio do firewall de sites na web

Se o código de prevenção de bypass padrão não funcionar, pode tentar o seguinte código, que requer o cabeçalho WAF da Sucuri.

# BEGIN Prevenção de ignorar o firewall de sites na web RewriteEngine On RewriteCond & percnt; & # 123; HTTP: X-SUCURI-CLIENTIP & # 125; & # 94; & # 36; RewriteCond & percnt; & # 123; HTTP: X-SUCURI-COUNTRY & # 125; & # 94; & # 36; RewriteRule & # 94; (. *) & # 36; - & lsqb; F, L & rsqb; ErrorDocument 403 Forbidden # END Prevenção de desvio do firewall de sites na web

O código alternativo irá verificar se os cabeçalhos X-SUCURI-CLIENTIP e X-SUCURI-COUNTRY estão presentes e, se não estiverem, devolverá o código de estado de resposta 403 Proibido.

Wordpress Gerido

Se a sua conta aparecer como alojamento WPaaS, o servidor HAproxy ou openresty pode não estar a passar os endereços IP corretos no pedido. Use o seguinte código para corrigir o problema. 

# BEGIN Prevenção de ignorar firewall de sites na web RewriteEngine On RewriteCond%{HTTP_HOST} ^ (www.)? coolexample.com $ RewriteCond %{HTTP:X-SUCURI-CLIENTIP} ^ $ RewriteCond %{HTTP:X-SUCURI-COUNTRY} ^ $ RewriteRule ^ (. *) $ - [F, L] ErrorDocument 403 Proibido # END Prevenção de desvio de firewall de site web

Certifique-se de que substitui coolexample.com pelo nome de domínio real. Certifique-se de que limpa também o cache de verniz do WordPress Gerido antes de testar a prevenção de contornar o firewall, pois pode continuar a obter uma resposta em cache 200 OK . Isso pode ser feito no painel de administração do WordPress ou acessando o SSH (Secure Shell) através do WP-CLI, a ferramenta de linha de comando para o gerenciamento de sites do WordPress.

Mais informações

  • Se estiver usando o IIS, as instruções variam entre as versões - IIS 7 e IIS 8 . Você também pode tentar usar o arquivo web.config para evitar o bypass.
  • Você está recebendo um código de erro 500 após adicionar as regras de prevenção de ignorar? Remova a linha que se refere ao IPv6 do código de prevenção de bypass e veja se o erro desapareceu. Pode demorar alguns minutos para que o erro 500 seja eliminado após a remoção dessa linha.

Artigos relacionados