Plesk ponúka možnosť nakonfigurovať webový aplikačný firewall (plesk modsecurity) v ponuke administrácie.
Čo je modsecurity?
Plesk Modsecurity je webová aplikácia Firewall, t. j. brána firewall, ktorá blokuje prístup k webovým aplikáciám, ako je napr. systémy správy obsahu (wordpress, joomlaatď.) alebo iných aplikácií a zabraňuje známym útokom.
Výhodou modsecurity je možnosť najprv analyzovať prístupy a podľa toho definovať, ktoré prístupy sú legitímne a ktoré treba priamo odmietnuť.
Samozrejme, že nie je možné nastaviť si všetko sám, ale existujú poskytovatelia, ktorí poskytujú hotové pravidlá, z ktorých niektoré sú živé, a môžu tak priamo reagovať na aktuálne hrozby.
Ak sa napríklad objaví nový útok na konkrétny systém správy obsahu, títo poskytovatelia aktualizujú svoje pravidlá a modsecurity potom môže tieto prístupy zablokovať skôr, ako dôjde k infekcii.
Pre používateľov systému Plesk je to dobrý program na zastavenie väčšiny známych útokov na vašu aplikáciu.
V spojení s bránou firewall, ktorá potom filtruje a blokuje adresy IP, môžete svoj server dobre zabezpečiť.
Externé riešenia
Externá brána firewall, ako napr. Cloudflare WAF funguje podobne s čiastočne rovnakými pravidlami, ale ponúka možnosť odraziť útoky skôr, ako dorazia na server. Optimálnou ochranou by preto bola Firewall webových aplikácií od spoločnosti Cloudflare alebo Imperva/Incapsula a potom na serveri používať len špeciálne pravidlá. Tým sa šetrí výpočtový výkon a stránka sa výrazne zrýchľuje.
Prípadne môžete samozrejme nastaviť modsecurity ako reverzný proxy server a používať tak všetky ostatné webové servery okrem Apache.
Ako nainštalovať Plesk modsecurity?
Ako správca jednoducho kliknite na položku Nastavenia a vyberte možnosť Web Application Firewall (modsecurity).
V ponuke systému Plesk si môžete vybrať poskytovateľa, od ktorého chcete používať pravidlá. Bezplatné sú pravidlá OWASP alebo Atomic Basic. Tie však majú tú nevýhodu, že sú zriedka aktualizované, alebo s OWASP pravidlá sú príliš silné, takže s wordpress, napríklad, problémy existujú, že potom musíte odstrániť všetky.
Tu sú ešte lacné pravidlá comodo poskytujú dobrú ochranu proti všetkým hrozbám. Licencia však musí byť vždy aktualizovaná.
Kto je príliš lenivý, môže preto jednoducho použiť pravidlá predplatného Atomic, ktoré ponúkajú ochranu v reálnom čase. Tu však treba poznamenať, že ani to nie je celkom pravda, pretože webový server sa musí znovu načítať a potom sa opäť objaví problém 502 bad gateway.
Praktická je ochrana Atomic Professional, ktorá je k dispozícii spolu so službou Cloudflare v balíku. Tu môžete jednoducho prevziať bránu firewall webových aplikácií zo služby Plesk a prepnúť všetky svoje domény na službu Cloudflare ako dodatočný ochranný mechanizmus.
Problém je v tom, že môžete chrániť iba subdomény, takže vaša stránka by mala byť prístupná iba pod www.ihrefirma.de a nie pod yourcompany.com. Ako partner spoločnosti Cloudflare môžete tiež používať menné servery Cloudflare, a tak ponúknuť úplnú ochranu.
Pretože ceny licencií Plesku a doplnkov sa neustále zvyšujú, mali by ste ako poskytovateľ uvažovať aj o externom licencovaní.
Existujú zaujímavé riešenia priamo od spoločnosti Atomicorp, alebo iný spôsob, ako povoliť mod_security na serveri, alebo dokonca priamo použiť externú ochranu, napríklad Cloudflare.
Dobrou náhradou za Plesk kvôli neistým otázkam ochrany osobných údajov so všetkými zásuvnými modulmi by bol nemecký výrobca populárneho administrátorského panelu "Liveconfig".
Rozšírenia Plesk s podporou ModSecurity
Pre Plesk existuje niekoľko rozšírení, pomocou ktorých môžete server zabezpečiť. Tie zahŕňajú aj pravidlá modsecurity na ochranu pred známymi vzormi útokov.
Imunify360
Okrem vlastného operačného systému ponúka Cloudlinux aj bezpečnostné riešenie Imunify360. To ponúka veľmi širokú škálu funkcií pre všetky oblasti zabezpečenia servera. Brána firewall monitoruje protokoly a v prípade potreby blokuje adresy IP, ktoré sa napríklad príliš často pripájajú s falošnými prihlasovacími údajmi, ktoré sú na zozname blokovaných adries alebo chcú pristupovať so známymi vzormi útokov. Môžete tiež jednoducho aktivovať ochranu DoS a skontrolovať všetky súbory na známy škodlivý softvér a čiastočne ich vyčistiť. Okrem toho je k dispozícii aj takzvaná funkcia KernelCare, ktorá automaticky aktualizuje jadro systému Linux bez potreby reštartovania systému. Rozšírenie je možné získať priamo od Cloudlinuxu a stojí viac ako samotný Plesk.
