Byte weert talloze hackpogingen af dankzij onze firewall genaamd; Level 7 Web Application Firewall, afgekort WAF. In dit artikel leggen we de werking van deze firewall uit en geven we aan wat je hier als klant van zult merken.

Waarom heeft Byte WAF?

Iedere dag worden er tussen de 100.000 en 200.000 hackpogingen uitgevoerd op sites die bij Byte gehost zijn. Dit zijn veelal geautomatiseerde scans die het Internet afstruinen op zoek naar verouderde software waar “een dakraam openstaat”. De meeste pogingen mislukken, omdat de software (Joomla, WordPress, etc. ) reeds is bijgewerkt tot de laatste veilige versie. Maar in enkele gevallen lukt het een hacker om binnen te komen via zo’n oude achterdeur.

Daarom scannen we pro-actief op verdacht gedrag en registreren pogingen om de beveiliging te omzeilen. Enerzijds kunnen we zo goed in de gaten houden welke inbreekmethoden er actueel zijn, anderzijds kunnen we zo veel hackers op heterdaad betrappen en tegenhouden bij de poort.
De technische term hiervoor is een “Level 7 Web Application Firewall” (WAF). Wij gebruiken specifiek ModSecurity, een complex systeem waar we naar behoefte detectie- en filteralgoritmen aan toe kunnen voegen.

Werking van de firewall

Bij de meeste hackpogingen wordt via een lek in de site, kwaadaardige code toegevoegd. Hiermee heeft de aanvaller effectief volledige controle over de site. Doordat wij kijken of er specifieke (PHP) code in de gegevens staan die een website bezoeker (of robot) naar ons toe stuurt (bijvoorbeeld in een headers of POST data) kunnen we de meest voorkomende hacks detecteren en voorkomen. Dit geeft goede resultaten: het voorkomt 95% van de succesvolle hacks.
Hiermee wordt de kans dat jouw site gehacked wordt aanzienlijk kleiner.
Let op! De site wordt hier niet veiliger door. Het is nog steeds belangrijk dat de website up to date gehouden wordt..

Wat merk je er zelf van?

Als klant zou je hier niets van moeten merken. Het is daarom vooral iets wat de boeven zullen merken. Tenzij.. je je eigen site probeert te hacken. Hieronder een voorbeeld:
Wanneer je in de backend van je website bestanden uploadt die PHP code bevatten, zal dit eveneens het alarm af laten gaan. Dit is niet waarschijnlijk, want 99,9% van onze klanten uploadt PHP bestanden via FTP of SCP. Mocht je toch een waarschuwing krijgen, gebruik dan een ander communicatiekanaal (FTP, SCP) of maak eerst een archief (zip bestand) van je code.

Veel gestelde vragen

Worden mijn WordPress/drupal component uploads dan ook geblokkeerd?

Dat is afhankelijk van de mate van compressie van de bestanden. Als ons systeem de PHP bestanden niet kan lezen, dus heel goed gecompresseerd, dan zal er niets aan de hand zijn met het uploaden. In sommige gevallen zal de compressie iets aan de lage kant zitten en dan zal ons systeem de upload wel blokkeren. In dat soort gevallen kun je het beste de upload via FTP uitvoeren.

01