Plesk administravimo meniu siūloma galimybė konfigūruoti žiniatinklio programų užkardą (plesk modsecurity).
Kas yra modsecurity?
"Plesk Modsecurity" yra žiniatinklio programa Ugniasienėt. y. ugniasienę, kuri blokuoja prieigą prie žiniatinklio programų, pvz. turinio valdymo sistemos (WordPress, joomlair t. t.) ar kitų programų ir užkerta kelią žinomoms atakoms.
Modsecurity privalumas - galimybė pirmiausia išanalizuoti prieigas ir atitinkamai nustatyti, kurios prieigos yra teisėtos, o kurios turi būti tiesiogiai atmestos.
Žinoma, neįmanoma visko nustatyti patiems, tačiau yra paslaugų teikėjų, kurie teikia paruoštas taisykles, kai kurios iš jų yra tiesioginės, todėl galima tiesiogiai reaguoti į esamas grėsmes.
Pavyzdžiui, jei yra nauja tam tikros turinio valdymo sistemos ataka, šie paslaugų teikėjai atnaujina savo taisykles ir "modsecurity" gali blokuoti šias prieigas, kol dar neįvyko užkrėtimas.
"Plesk" naudotojams tai gera programa, kuria galima sustabdyti daugumą žinomų jūsų programos atakų.
Kartu su ugniasiene, kuri filtruoja ir blokuoja IP adresus, galite gerai apsaugoti savo serverį.
Išoriniai sprendimai
Išorinė užkarda, pvz. "Cloudflare" WAF veikia panašiai, iš dalies pagal tas pačias taisykles, tačiau suteikia galimybę atremti atakas dar prieš joms pasiekiant serverį. Todėl optimali apsauga būtų "Cloudflare" žiniatinklio programų užkarda arba "Imperva/Incapsula" ir tada naudokite specialias taisykles tik serveryje. Taip taupoma apdorojimo galia ir gerokai pagreitinamas puslapio veikimas.
Taip pat galite nustatyti modsecurity kaip atvirkštinį tarpinį serverį ir taip naudoti ne tik "Apache", bet ir visus kitus žiniatinklio serverius.
Kaip įdiegti "Plesk modsecurity"?
Būdami administratoriai, tiesiog spustelėkite Nustatymai ir pasirinkite Žiniatinklio programų užkardą (modsecurity).
"Plesk" meniu galite pasirinkti paslaugų teikėją, iš kurio norite naudoti taisykles. OWASP arba "Atomic Basic" taisyklės yra nemokamos. Tačiau jų trūkumas yra tas, kad jos retai atnaujinamos, arba, OWASP atveju, taisyklės yra per griežtos, todėl kyla problemų, pavyzdžiui, su "WordPress", kurias pirmiausia reikia pašalinti.
Čia vis dar yra nebrangių "comodo" taisyklių, kurios užtikrina gerą apsaugą nuo visų grėsmių. Tačiau licencija taip pat turi būti visada atnaujinama.
Kas tingi, gali tiesiog naudoti "Atomic" prenumeratos taisykles, kurios užtikrina tiesioginę apsaugą. Tačiau čia reikia pastebėti, kad tai taip pat nėra visiškai teisinga, nes žiniatinklio serverį reikia įkelti iš naujo, ir tada vėl atsiranda 502 blogo vartų problema.
Praktiška yra "Atomic Professional" apsauga, kurią galima įsigyti kartu su "Cloudflare" pakuotėje. Čia galite lengvai perimti žiniatinklio programų ugniasienę iš "Plesk" ir perjungti visus savo domenus į "Cloudflare" kaip papildomą apsaugos mechanizmą.
Problema ta, kad galite apsaugoti tik subdomenus, todėl jūsų svetainė turėtų būti pasiekiama tik www.ihrefirma.de, o ne yourcompany.com. Kaip "Cloudflare" partneris taip pat galite naudoti "Cloudflare" vardų serverius ir taip užtikrinti visišką apsaugą.
Kadangi "Plesk" ir priedų licencijų kainos vėl ir vėl nesuskaičiuojamai didėja, reikėtų galvoti, kad teikėjas galbūt taip pat turėtų galvoti apie išorinį licencijavimą.
Yra įdomių sprendimų tiesiogiai iš "Atomicorp" arba kitas būdas įjungti mod_security serveryje, arba net tiesiogiai naudoti išorinę apsaugą, pavyzdžiui, "Cloudflare".
Geras pakaitalas Plesk dėl neaiškių privatumo klausimų su visais įskiepiais būtų Vokietijos gamintojas populiarus administratoriaus skydelis "Liveconfig".
"Plesk" plėtiniai su "ModSecurity" palaikymu
Yra keletas "Plesk" plėtinių, kuriais galite apsaugoti serverį. Į jas taip pat įtrauktos modsecurity taisyklės, skirtos apsisaugoti nuo žinomų atakų modelių.
Imunify360
Be savo operacinės sistemos, "Cloudlinux" taip pat siūlo saugumo sprendimą "Imunify360". Tai suteikia labai platų visų serverio saugumo sričių funkcijų spektrą. Ugniasienė stebi protokolus ir prireikus blokuoja IP adresus, kurie, pavyzdžiui, per dažnai jungiasi su klaidingais prisijungimo duomenimis, yra įtraukti į blokavimo sąrašą arba nori prisijungti naudodami žinomus atakų modelius. Taip pat galima tiesiog įjungti DoS apsaugą ir nuskaityti visus failus dėl žinomų kenkėjiškų programų bei iš dalies juos išvalyti. Be to, yra vadinamoji "KernelCare" funkcija, kuri automatiškai atnaujina "Linux" branduolį be būtinybės perkrauti sistemą. Šį plėtinį galima įsigyti tiesiogiai iš "Cloudlinux" ir jis kainuoja daugiau nei pati "Plesk".
