Plesk oferuje możliwość skonfigurowania Web Application Firewall (plesk modsecurity) w menu administracyjnym.
Co to jest modsecurity?
Plesk Modsecurity jest aplikacją sieciową. Firewallfirewall, który umożliwia dostęp do aplikacji internetowych, takich jak systemy zarządzania treścią (Wordpress, joomlaitp.), lub innych zastosowań i zapobiega znanym atakom.
Zaletą modsecurity jest możliwość wcześniejszego przeanalizowania dostępu i odpowiedniego określenia, które z nich są legalne, a które muszą być bezpośrednio odrzucone.
Oczywiście nie da się wszystkiego ustalić samemu, ale są dostawcy, którzy oferują gotowe zasady, niektórzy z nich żyją, a więc mogą bezpośrednio reagować na bieżące zagrożenia.
Na przykład, jeśli dojdzie do nowego ataku na konkretny system zarządzania treścią, dostawcy ci aktualizują swoje zasady i modsecurity mogą wtedy zablokować ten dostęp przed wystąpieniem infekcji.
Dla użytkowników Pleska jest to dobry program do zapobiegania większości znanych ataków na Twoją aplikację.
W połączeniu z zaporą sieciową, która filtruje i blokuje adresy IP, możesz dobrze zabezpieczyć swój serwer.
Rozwiązania zewnętrzne
Zewnętrzny firewall, taki jak Cloudflare WAF działa podobnie z częściowo tymi samymi zasadami, ale oferuje możliwość odpierania ataków zanim dotrą one na serwer. Optymalna ochrona byłaby zatem Zapora ogniowa aplikacji internetowych od Cloudflare lub Imperva/Incapsula, a następnie używać tylko specjalnych reguł na serwerze. Oszczędza to moc obliczeniową, a tym samym znacznie przyspiesza stronę.
Alternatywnie, modsecurity może być oczywiście ustawiony jako odwrotny proxy i w ten sposób korzystać z wszystkich innych serwerów internetowych oprócz Apache'a.
Jak zainstalować Plesk modsecurity?
Jako administrator, po prostu kliknij na Settings i wybierz tam Web Application Firewall (modsecurity).
Z menu Plesk możesz wybrać, u którego dostawcy chcesz korzystać z reguł. Zasady OWASP lub Atomic Basic są bezpłatne. Ich wadą jest jednak to, że są rzadko aktualizowane, a w przypadku OWASP zasady są zbyt silne, więc np. przy wordpressie pojawiają się problemy, które trzeba wykluczyć z nich wszystkich.
Nadal istnieją tu niedrogie zasady comodo, które zapewniają dobrą ochronę przed wszelkimi zagrożeniami. Jednakże, licencja musi być zawsze aktualizowana.
Więc jeśli jesteś zbyt leniwy, możesz po prostu skorzystać z zasad subskrypcji Atomic, które zapewniają ochronę na żywo. Ale należy pamiętać, że nie jest to do końca prawda, ponieważ serwer WWW musi być przeładowany, a następnie problem 502 Bad Gateway pojawia się ponownie.
Praktyczna jest ochrona Atomic Professional, która jest dostępna razem z Cloudflarem w opakowaniu. Tutaj możesz łatwo usunąć zaporę sieciową aplikacji z Pleska i przełączyć swoje domeny na Cloudfalre jako dodatkowy mechanizm zabezpieczający.
Problemem jest jednak to, że możesz chronić tylko subdomeny, więc Twoja strona powinna być dostępna tylko pod adresem www.ihrefirma.de, a nie na yourcompany.com. Alternatywnie można użyć jako partnerów Cloudflare także serwerów Cloudflare Nameservers i zaoferować w ten sposób pełną ochronę.
Ponieważ ceny licencji Pleska i dodatków są stale podwyższane w sposób nieobliczalny, dostawca powinien być może rozważyć udzielenie licencji zewnętrznej.
Istnieją ciekawe rozwiązania bezpośrednio z atomicorp, lub inny sposób na aktywowanie mod_security na serwerze, lub użycie zewnętrznej ochrony, np. bezpośrednio z chmury.
Dobrym zamiennikiem dla Pleska z powodu niepewnych problemów z prywatnością wszystkich wtyczek byłby niemiecki producent popularnego panelu administracyjnego "Liveconfig".
Rozszerzenia Plesk z obsługą ModSecurity
Istnieje kilka rozszerzeń dla Plesk, za pomocą których można zabezpieczyć serwer. Obejmują one również reguły modsecurity służące do obrony przed znanymi wzorcami ataków.
Imunify360
Oprócz własnego systemu operacyjnego Cloudlinux oferuje również rozwiązanie bezpieczeństwa Imunify360. Oferuje to bardzo szeroki zakres funkcji dla wszystkich obszarów bezpieczeństwa serwera. Firewall monitoruje logi i w razie potrzeby blokuje adresy IP, które np. łączą się zbyt często z fałszywymi danymi logowania, znajdują się na liście blokad lub chcą uzyskać dostęp za pomocą znanych schematów ataków. Możesz również po prostu aktywować ochronę DoS i przeskanować wszystkie pliki w poszukiwaniu znanego złośliwego oprogramowania, a także częściowo je wyczyścić. Dodatkowo dostępna jest również tzw. funkcja KernelCare, która automatycznie aktualizuje jądro systemu Linux bez konieczności restartu systemu. Rozszerzenie można uzyskać bezpośrednio z Cloudlinux i kosztuje więcej niż sam Plesk.
