מה זה לעזאזל WAF, האם באמת זה יעזור לי להגן על אתר הוורדפרס שלי, והאם נכון שזה חשוב עוד יותר דווקא לעצלנים?

חיפוש:

מרוב עצים לא רואים את היער
השנה היא 2023. אינטרנט זה דבר בסיסי כמעט כמו חשמל; מדענים טוענים שעוד שנייה המחשב הקוונטי כאן; טוויטר נרכשה על ידי מאסק; והמילה "סייבר" נפוצה יותר משפעת. פרסומים, סקירות על אירועים, וכתבות על מערכות סייבר מתוחכמות שיעזרו לנו לשמור על אתר האינטרנט שלנו, מציפים אותנו מכל עבר. הבעיה: מרוב חומרים, מומחים ויועצים, הלכנו לאיבוד. אם אתם מרגישים ככה, אתם לא לבד. מסתבר שגם בין בעלי המקצועי הטכניים, ואפילו כאלה שעוסקים בתחום הסייבר עצמו, קיים לא מעט בלבול.
בסדרה של מאמרים קצרים, שזה הראשון שבהם, ננסה לגעת בצורה בהירה וקלה בנושאים שונים הנוגעים לאבטחת אתר הוורדפרס, שיפור ביצועיו ונושאים קשורים נוספים. המטרה אינה להלאות במונחים ומושגים טכניים שכבר שמעתם פעמים רבות, אלא להתמקד בהקניית תובנות וכלים שימושיים וחשובים בתחומים אלו, מבלי לסבך ולהקשות.
במאמר זה נעסוק באחד הכלים היעילים והבסיסיים לשיפור ההגנה של אתר הוורדפרס שלנו (ואתרים בכלל): ה- WAF, או בשמו המלא: Web application firewall.

רגע, WAF ו-Firewall זה לא בעצם אותו דבר?
למרות המכנה המשותף הסמנטי, WAF ו-Firewall הינם שני דברים שונים. מדובר בשתי מערכות הגנה, חשובות, אך הן פועלות כנגד איומים מסוגים שונים, ובשכבות שונות. חומת האש המוכרת, ה-Firewall הקלאסי (שאף הוא עבר תמורות והתפתחויות ונותן היום מענה רחב יותר, אך על זה במאמר אחר), היא מערכת הגנה המסננת את תעבורת הרשת. בדומה לבקר הגבול מנמל התעופה המוודא שהנוסע בכלל מורשה לחצות את הגבול, ה-Firewall יבדוק, למשל, האם כתובת הIP שמנסה לגשת לרשת, מורשת, ואינה מופיעה במאגר כתובות חשודות שבידיו. ללא חומת האש תוכל למעשה כל כתובת לעבור את הסף ולהגיע לרשת המקומית. בשפה "הטכנית" יותר, ולפי מודל 7 השכבות המפורסם (OSI), חומת האש הקלסית פועלת בשכבות 3 ו-4, ומגנות בשכבות אלו על העברת נתונים ותעבורת רשת.
אך למרבה הצער, כפי שכולנו מבינים, העובדה שבקר הגבול אפשר לנוסע, לאחר שאימת את זהותו, לעבור, אינה ערובה לכך שאותו נוסע אינו זומם משהו זדוני. כך גם במקרה שלנו. חומת האש ממלאת תפקיד חיוני, אך מוגבל למדי, ואינה מיועדת ואינה מתיימרת לבלום סוגים רבים של מתקפות המכוונות כנגד אתר האינטרנט שלנו. אותן מתקפות לא ייעצרו על ידי חומת האש. מה שיעמוד בין התוקף, שחומת האש כלל לא הבחינה בו, לבין האתר האינטרנט שלנו, הוא בין היתר מערכת הWAF.

הWAF הוא המאבטח הגדול שעומד בכניסה לאתר האינטרנט שלנו
אם את "חומת האש" השוונו קודם לכן לבקרית הגבול – הגורם המפקח על התעבורה, אז את הWAF אפשר לדמות למאבטח העומד בכניסה לאתר האינטרנט עצמו, ושומר עליו מפני מגוון גדול מאד של סיכונים, כאלה שכאמור חומת האש אינה מיועדת להדוף. בשפה טכנית יותר, אם נחזור למודל 7 השכבות שהוזכר לעיל (OSI), נאמר כי מערכת WAF פועלת בשכבה 7, האחרונה, כלומר שכבת האפליקציה. פרויקט OWASP המפורסם עוסק בדירוג הסיכונים לאפליקציות אינטרנט ומדרג אותן בהתאם לחומרה ופרמטרים נוספים, על בסיס ניתוח שוטף של כמות עצומה של אירוע אבטחת מידע ממקורות שונים לרבות גופי הידע המובילים בעולם. מערכת הWAF מיועדת להעניק שכבת הגנה משמעותית כנגד חלק גדול של אותן פרצות אבטחה ותשפר משמעותית את עמידות אתר האינטרנט בפניהן.
לא נלאה ונסתפק בשלוש דוגמאות לפרצות שכאלה, נפוצות, מוכרות וכואבות: SQL Injection, מתקפת XSS ו-מתקפת DDos. הראשונה הינה למעשה ניצול חולשה (הנובעת לעתים קרובות מטעות תמימה של המפתח בעת בניית האתר), המאפשרת לתוקף לשנות את מסד הנתונים, להשיג ממנו מידע, ל"הנדס" אותו כרצונו, לרבות להפוך עצמו ל"מנהל האתר", על כל המשתמע מכך. XSS (Cross Site Scripting), הנפוצה לא פחות, מוצאת לפועל בדרך כלל באמצעות ניצול חולשה (למשל בתוסף כלשהו) לצורך החדרת סקריפט זדוני לקוד של אתר מהימן, ופיתוי המשתמש, הגולש, ללחוץ עליו, מה שעלול להביא לפגיעה בתצוגת האתר ורעות שונות אחרות (דוגמת גניבת "מזהה משתמש" ועוד). WAF הולם משמש גם הגנה משמעותית נגד מתקפות DDos בשכבת האפליקציה, מתקפות הכוללות שיגור מבול של "בקשות" לאתר עד לקריסתו.
הWAF אפוא עומד בכניסה לאתר האינטרנט ומנטר את הבקשות המגיעות לאתר, בהתאם לסט החוקים של המערכת. הWAF למעשה "מחליט" האם הבקשה שהתקבלה על ידי הגולש (נניח להציג עמוד מסוים אליו ניסה לגשת באתר האינטרנט) הינה לגיטימית. במידה שהמערכת תעריך שהבקשה אינה מורשית, הגולש יסורב ויקבל הודעת שגיאה. הWAF גם מאפשר לקבוע "כללים" שונים (חוקים), כמו למשל חסימת גולשים ממדינות מסוימות, חסימת גולשים מUser-Agent מסוים (רלבנטי מאד לחסימות של בוטים), חסימות גולשים ממקור מסויים (נניח גולשים שניגשים לאתר שלנו דרך אפליקציה או רשת חברתית מסוימת), ועוד ועוד, אך על דברים אלו, ופיצ'רים נוספים, נרחיב בהזדמנות אחרת.

איך כל זה קשור לאתר הוודרפרס הצנוע שלי ומה הקשר לעצלנות?
וורדפרס היא מערכת ניהול התוכן הנפוצה ביותר ברשת, בפער עצום לעומת האחרות. יתרונותיה רבים ומוכרים. בקלות גדולה יחסית ניתן לבנות אתרים מרהיבים, מהירים וחזקים למדי. הקהילה שהתפתחה מסביב לפלטפורמה הינה מהענפות והפוריות הקיימות, והיא כוללת עשרות אלפי תוספים, כמות עצומה של תבניות וערכות, וגרסאות רבות. רובם הגדול ניתנים חינם, חלק גדול אחר כנגד תשלום מועט יחסית. אך אין טוב ללא רע, והשפע, הקלות, והמודולריות הרבה מביאים גם סיכונים רבים. חלק ניכר מהאתרים נבנה באופן הרחוק מלהיות אופטימלי, אם לנקוט בשפה עדינה, ומבלי לקחת בחשבון נקודות כשל טכניות רבות. קריטי לא פחות, חלק גדול מהאתרים, גם כאלה שנבנו כהלכה בזמנו, אינם מתוחזקים ואינם מנוהלים באופן שוטף, ובוודאי לא באופן היסודי המתחייב על מנת לעקוב ולהדביק את קצב החולשות שמתפרסמות והתיקונים והעדכונים הנדרשים.
ללא ספק הדרך הטובה, הנכונה והאחראית להגן על אתר הוורדרפס היא בהקפדה שוטפת על עדכון הרכיבים, עדכון גרסאות, וטיפול בחולשות הרבות שמתפרסמות באופן רציף. אמנם אין בכך כדי להבטיח מניעה מוחלטת של פריצות, ונדמה שבשנת 2023 כבר כולם מבינים שאין מערכת שחסינה לגמרי מפני תקיפה ופגיעה, אולם יש בכך כדי לצמצם מאד את פגיעות האתר, ולהקנות לו רמת אבטחה ראויה. למרבה הצער, וכאמור, צריך להודות על האמת, חלק לא מבוטל של בעלי האתרים ובעלי המקצוע הנלווים, אינו מצליח להגיע לכך. האתגרים הרבים שבניהול כל עסק מביאים חלק גדול מאיתנו להתעלמות מהסיכונים השונים. לעתים מדובר בעניין תקציבי נטו, לעתים מדובר פשוט בחוסר זמן ותעדוף, לעתים מדובר בחוסר מודעות, ולעתים סתם דחיינות ועצימת עיניים.

מערכת WAF ראויה תעניק, אפוא, שכבת הגנה נוספת ויעילה לכל אתר אינטרנט, אך היא קריטית הרבה יותר, דווקא לכל אותם אתרים שנבנו בצורה לא אופטימלית, ולכאלה שאינם מנוהלים מעודכנים ומתוחזקים, באופן רצוף ושוטף, על ידי איש טכני מיומן ומסור. אז אין תחליף אמיתי לטיפול יסודי ושוטף לאתר, אך אין ספק כי לאתר שבעליו "חוטא" בדברים האמורים, הWAF חשוב עוד יותר, ויש בו לצמצם משמעותית חלק גדול מהסיכונים המוכרים, ולמנוע "תאונות" שהשלכותיהן עלולות להיות קשות.

בשוק ניתן למצוא מספר מערכות WAF ראויות וטובות, מתקדמות יותר ומתקדמות פחות, ומומלץ מאד לשקול את השימוש באחת מהן. יופרס משתמשת במוצרי הגנה רבים לצורך אבטחת מערכותיה ומסייעת ללקוחותיה באמצעות כלים שונים לשפר את ההגנה על אתריהם. בתחום מערכות הWAF עומדת ללקוחות יופרס האפשרות לחזק את ההגנה על האתר שלהם בין היתר באמצעות אחת ממערכות ה-WAF פרמיום המובילות מבית ענקית האבטחה F5. אך כאמור בשוק ישנם מערכות WAF נהדרות ומומלצות נוספות, כל אחת עם מאפייניה ויתרונותיה, וכדאי מאד לבחון את השימוש באחת מהן. אנו ממליצים על כך מאד.

רוצים לשמוע עוד? יש לכם שאלות? מוזמנים כרגיל לשלוח הודעה ונשמח להיות לעזר.