LWS Protect : pare-feu applicatif pour la sécurité de vos sites web

Définition

Introduction à LWS Protect

L'outil LWS Protect vous permet de sécuriser en quelques clics faciles votre site web en personnalisant les règles de sécurités en place en amont du serveur web de votre formule d'hébergement.

LWS Protect : pare-feu applicatif pour la sécurité de vos sites web

Ces règles de sécurités sont effectifs dès l'arrivée du trafic en amont du serveur web, bien au délà d'Apache ou PHP, ce qui vous permet une forte économie de ressources et une efficacité accrue. Les requêtes HTTP(s) sont analysés par le pare-feu applicatif intégré à Fastest Cache, avant sa transmission auprès du serveur web et donc bien avant ModSecurity ou même vos plugins de sécurités.

Au délà de simple règles de sécurités comme le propose ModSecurity, LWS Protect utilise des outils d'analyses de réputations externes ainsi que des règles de sécurités développés en interne en réponses aux attaques identifiés par nos administrateurs systèmes. Un grand nombre de règles ont été déjà présentes depuis la première sortie de Fastest Cache, mais le module LWS Protect, introduit très récemment, permet leurs manipulations.

Récapitulatif des règles LWS Protect

Description Recommandation Valeurs possible
Règles génériques
Vérification navigateur sur les pages d'administrations courantes Recommandé Activé
Désactivé
Bloquer les accès HTTP sur les dossiers de développement courantes Recommandé Activé
Désactivé
Bloquer les accès HTTP sur les fichiers .php A activer avec prudence Activé
Désactivé
Anti-DDoS aggressif A activer avec prudence Activé
Désactivé
WordPress
WordPress : blocage xmlrpc.php Recommandé
Peut causer des problèmes de compatibilité
Activé
Désactivé
WordPress: Limiter le nombre de requêtes possibles sur /wp-admin et /wp-login.php Recommandé Désactivé
5 req/min
20 req/min
40 req/min
WordPress : blocage fichiers sensibles Recommandé Activé
Désactivé
Bots
Bloquer/limiter les robots SEO   Désactivé
Tout bloquer
5 req/min
20 req/min
40 req/min
Bloquer les faux Google Bot Recommandé Activé
Désactivé
Bloquer les robots malveillants   Activé
Désactivé
Bloquer les User-Agent vides Recommandé Activé
Désactivé
Réputation IP
Bloquer les IPs malveillants Recommandé Activé
Désactivé
Bloquer le réseau Tor   Activé
Désactivé

Pourquoi choisir LWS Protect au lieu d'installer un plugin de sécurité ?

Contrairement aux plugins de sécurité fournis sur les CMS, LWS Protect agit en amont du serveur web, avant même que PHP ne puisse s'exécuter. Au contraire, les plugins de sécurité des CMS nécessitent que PHP soit en exécution et qu'au moins une partie du CMS a démarré. Ce qui rend chaque requête coûteuse en ressources et affecte donc négativement la performance des autres visiteurs du site. Certes, pour un petit site, ce problème peut être discret et transparent, mais à une échelle plus grande, vous risquez de saturer votre formule d'hébergement web, notamment si vous avez beaucoup de visiteurs simultanées et que ceux-ci accèdent tous à des éléments dynamiques (= nécessitent l'exécution de PHP).

LWS Protect résout ce problème en filtrant les requêtes en amont du serveur web, donc avant l'exécution de PHP et avant le démarrage du CMS, avant même que le serveur web ne fasse quoi que ce soit. Ainsi, en supposant par exemple que vous avez 1000 visiteurs simultanés sur votre site WordPress et que 50% d'entre eux sont malveillantes, vous évitez donc 500 exécutions de votre CMS et 500 exécutions de PHP. Vous économisez à la fois de la mémoire vive, de nombre de requêtes MySQL et vous empêchez que ces visites malveillantes ne puissent affecter la performance de vos vrais visiteurs.

Procédure

Les règles de sécurité LWS Protect

Les règles de sécurité proposés par LWS Protect sont regroupés sur différentes catégories en fonction de leurs périmètre d'action :

  • Les règles génériques s'adressent à tous les sites web
  • Les règles WordPress ont été conçus pour sécuriser l'accès à un site WordPress
  • Les règles regroupés dans l'onglet "Bots" affectent l'accès aux robots et outils de crawling
  • Les règles de réputation IP se basent sur des systèmes de réputation d'adresse IP

LWS Protect : pare-feu applicatif pour la sécurité de vos sites web

Chaque règle de sécurité dispose au minimum de deux états : actif et inactif. En activant certaines règles, il vous est possible d'affiner ses paramètres :

LWS Protect : pare-feu applicatif pour la sécurité de vos sites web

Les règles sont actifs instantanément et sont compatibles avec tous nos autres outils d'optimisation de performance : Fastest Cache, LiteSpeed et Ipxchange.

Vérification navigateur sur les pages d'administrations courantes

Règle recommandée.

Cette règle mets en place une vérification préliminaire lors de l'accès aux pages d'administrations courantes (wp-admin, administrator, admin*, wp-login.php, ...) afin de bloquer les outils se faisant passer pour un navigateur web.

La vérification se fait par l'envoi d'une action à faire par le navigateur web. Par exemple, si LWS Protect détecte l'user-agent d'un navigateur qui devrait savoir prendre en compte un cookie, il demandera au navigateur de garder un cookie aléatoire qui sera vérifiée à la prochaine requête. Si le cookie n'est pas gardé, alors la requête va être refusée.

Bloquer les accès HTTP sur les dossiers de développement courantes

Règle recommandée.

Cette règle empêche l'accès HTTP aux dossiers de développement courantes, tels que les fichiers .sql, et dossiers .git, les fichiers .env. Ceci permet d'éviter une fuite d'information au cas où vous avez oublié de supprimer un fichier de sauvegarde .sql par exemple, sur votre site Internet, pendant votre phase de conception.

Bloquer les accès HTTP sur les fichiers .php

A activer avec prudence. Incompatible avec WordPress.

Cette règle bloque l'accès directs aux fichiers .php en empêchant l'accès à tous les URL ayant le terme ".php", ce qui empêche tout contournement possible aux réécritures d'URL que vous avez défini dans votre fichier .htaccess.

Anti-DDoS aggressif

A activer avec prudence.

L'anti-DDoS aggressif effectue une vérification préliminaire sur tous les requêtes HTTP effectués sur votre site web sans exception. Le mécanisme, identique au mécanisme de vérification navigateur des dossiers administrateurs, empêche ainsi les robots automatisés d'atteindre votre site web.

WordPress : blocage xmlrpc.php

A activer avec prudence. Peut causer des problèmes avec certains plugins WordPress.

Bloque systématiquement l'accès au fichier xmlrpc.php avec une erreur 403. Un fichier qui fut utilisé pour effectuer des requêtes API à WordPress, elle est aujourd'hui largement remplacé par wp-admin/admin-ajax.php. Toutefois, elle est gardée pour la rétrocompatibilité avec des outils qui reposent toujours sur xmlrpc.php.

WordPress: Limiter le nombre de requêtes possibles sur /wp-admin et /wp-login.php

Recommandée et actif par défaut à 20 requêtes/minutes

Cette règle limite le nombre de requêtes qu'une adresse IP peut effectuer sur wp-admin et wp-login.php. Le compteur de requêtes est commun pour tous les sites web de notre parc, seul le seuil de blocage est propre à chaque site web. Ceci permet de bloquer deux types d'attaques avec une seule règle : les attaques bruteforce ciblant un seul site web, ainsi que les attaques bruteforce ciblant un grand nombre de sites web.

Le compteur étant commun, il vous sera nécessaire d'ajuster ce seuil de blocage selon le nombre de sites que vous hébergés et que vous accédez en simultanée. Si vous avez plusieurs sites et que vous ouvrez le tableau de bord simultanément sur un seul PC, il est fortement probable que vous deviez ajuster le seuil de blocage pour éviter de se faire bloquer.

Une erreur 403 est affiché quand le blocage est effectif, et le déblocage se fait dès que le nombre de requêtes effectués par l'adresse IP sur les derniers 60 secondes passent à nouveau en dessous du seuil de blocage.

WordPress : blocage fichiers sensibles

Recommandé et actif par défaut

Cette règle empêche l'accès aux fichiers et chemins sensibles de WordPress. Elle empêche, entre autre, l'exécution de fichiers .php dans le dossier d'upload de WordPress et dans le dossier wp-includes, diminuant ainsi le risques de dégâts suite à une intrusion ou une infection de virus sur votre site.

Bloquer/limiter les robots SEO

Bloquer ou limiter le nombre de requêtes par minute que les robots SEO tels que Ahrefs, Semrush et Majestic peuvent faire. Les robots sont identifiés grâce à leurs User-Agent et/ou leurs adresses IP.

Bloquer les faux Google Bot

Recommandé.

Permet de bloquer les faux Google Bot. La détection des faux Google Bot est effectuée grâce à son adresse IP, l'User-Agent fourni et le reverse DNS. Les données sont ensuites comparés avec les informations fournies par Google lui-même concernant ses bots, et si un élément est incohérent, le blocage se manifeste avec une erreur 403.

Bloquer les robots malveillants

Bloque les robots malveillants répertoriés sur les listes noires publiques de robots. Les robots sont identifiés comme malveillantes ou non grâce à son adresse IP et/ou son User-Agent. Une erreur 403 sera alors affichée.

Bloquer les User-Agent vides

Recommandé.

Bloquer la requête quand l'en-tête HTTP "User-Agent" est vide. Ceci se produit souvent avec les configurations par défaut des outils de scans de vulnérabilités utilisés par les pirates. Une erreur 403 sera alors affichée.

Bloquer les IPs malveillants

Recommandé et actif par défaut.

Cette règle bloquer l'accès au site web par les adresses IPs rapportés comme malveillants. Nous utilisons plusieurs bases de données publiques pour identifier les adresses IPs malveillantes. La réputation d'une adresse IP est gardée jusqu'à 24 heures dans nos enregistrements. Une erreur 403 sera alors affichée si l'adresse IP a mauvaise réputation.

Bloquer le réseau Tor

Cette règle permet de bloquer l'accès à votre site web depuis le réseau Tor. La détection du réseau Tor est effectuée grâce à l'identification de l'adresse IP dans la base de données publique des Tor Exit Nodes. Une erreur 403 sera alors affichée si l'adresse IP figure dans la liste.

Notez cet article :

5/5 | 1 avis

Cet article vous a été utile ?

Article utileOui

Article non utileNon

Vous souhaitez nous laisser un commentaire concernant cet article ?

Si cela concerne une erreur dans la documentation ou un manque d'informations, n'hésitez pas à nous en faire part depuis le formulaire.

Pour toute question non liée à cette documentation ou problème technique sur l'un de vos services, contactez le support commercial ou le support technique

Merci ! N'hésitez pas à poser des questions sur nos documentations si vous souhaitez plus d'informations et nous aider à les améliorer.


Vous avez noté 0 étoile(s)

9mn de lecture

Comment installer un certificat SSL payant sur cPanel facilement ?

4mn de lecture

Utiliser et configurer le Firewall applicatif ModSecurity sur cPanel

10mn de lecture

Comment utiliser le Firewall sur cPanel pour autoriser ou bloquer des IP ?

8mn de lecture

Comment activer un certificat SSL let's encrypt sur Cpanel ?


Poser une question à l'équipe LWS et à sa communauté