Sécurité site Web et sauvegardes Aide

Nous avons fait de notre mieux afin de traduire cette page pour vous. La page en anglais est également disponible.

Empêcher le contournement du pare-feu d’application Web (WAF)

Si quelqu'un connaît votre adresse IP d'hébergement masquée , il peut contourner votre pare-feu d'application Web (WAF) et essayer d'accéder directement à votre site Web. Ce n'est pas courant ni facile à faire, mais pour plus de sécurité, nous vous recommandons d'autoriser uniquement l'accès HTTP via votre WAF. Vous pouvez limiter l'accès à votre site Web en ajoutant une restriction à votre fichier .htaccess.

Avertissement: Attendez que vos modifications DNS se soient entièrement propagées avant de suivre les instructions ci-dessous. Cette opération peut prendre jusqu'à 24 heures après la configuration de votre WAF .
  1. Aller à votre page GoDaddy page produit GoDaddy.
  2. Pour Sécurité du site Web et sauvegardes , sélectionnez Gérer tout .
  3. Pour le site que vous souhaitez configurer, sélectionnez Détails sous Pare-feu .
  4. Sélectionnez Paramètres.
  5. Sélectionnez Sécurité et faites défiler jusqu’à Empêcher le contournement du pare -feu.
    Empêcher le contournement du pare-feu
  6. Sélectionnez votre type de serveur. Pour les serveurs Apache, ajoutez le code à votre fichier .htaccess. Pour NGINX, vous devrez ajouter le code à votre fichier de configuration NGINX.

Règles communes basées sur les adresses IP

La meilleure façon d'empêcher les pirates de contourner le pare-feu est de limiter leur accès à votre serveur Web. Vous trouverez ci-dessous les règles basées sur les adresses IP couramment utilisées pour limiter l'accès à votre serveur Web.

Apache 2.4

# BEGIN Prévention du contournement du pare-feu de site Web < FilesMatch ". * " > Require ip 208.109.0.0/22 Require ip 192.88.134.0/23 Require ip 185.93.228.0/22 Require ip 66.248.200.0/22 Require ip 2a02: fe80 :: / 29 Require ip 173.245.48.0/20 Require ip 103.21.244.0/ 22 Require ip 103.22.200.0/22 Require ip 103.31.4.0/22 Require ip 141.101.64.0/18 Require ip 108.162.192.0/18 Require ip 190.93.240.0/20 Require ip 188.114.96.0/20 Require ip 197.234.240.0/22 Require ip 198.41.128.0/17 Require ip 162.158.0.0/15 Require ip 104.16.0.0/13 Require ip 104.24.0.0/14 Require ip 172.64.0.0/13 Require ip 131.0.72.0/22 Require ip 2400: cb00 :: / 32 Require ip 2606: 4700 :: / 32 Require ip 2803: f800 :: / 32 Require ip 2405: b500 :: / 32 Require ip 2405: 8100 :: / 32 Require ip 2a06: 98c0 :: / 29 Require ip 2c0f: f248 :: / 32 </ FilesMatch & gt; # END Prévention du contournement du pare-feu de site Web

Si le site Web que vous souhaitez protéger contient des domaines supplémentaires ou des sous-domaines dans la racine du document et que le site utilise Apache 2.4, utilisez le code suivant au lieu de la prévention de contournement basée sur l'en-tête.

# BEGIN Prévention du contournement du pare-feu de site Web < Si "& percnt; & # 123; HTTP_HOST & # 125; == & apos; coolexample.com & apos; || & percnt; & # 123; HTTP_HOST & # 125; & equals; & equals; & apos; www.coolexample.com & apos; " > Require ip 208.109.0.0/22 Require ip 192.88.134.0/23 Require ip 185.93.228.0/22 Require ip 2a02: fe80 :: / 29 Require ip 66.248.200.0/22 Require ip 173.245.48.0/20 Require ip 103.21.244.0/ 22 Require ip 103.22.200.0/22 Require ip 103.31.4.0/22 Require ip 141.101.64.0/18 Require ip 108.162.192.0/18 Require ip 190.93.240.0/20 Require ip 188.114.96.0/20 Require ip 197.234.240.0/22 Require ip 198.41.128.0/17 Require ip 162.158.0.0/15 Require ip 104.16.0.0/13 Require ip 104.24.0.0/14 Require ip 172.64.0.0/13 Require ip 131.0.72.0/22 Require ip 2400: cb00 :: / 32 Require ip 2606: 4700 :: / 32 Require ip 2803: f800 :: / 32 Require ip 2405: b500 :: / 32 Require ip 2405: 8100 :: / 32 Require ip 2a06: 98c0 :: / 29 Require ip 2c0f: f248 :: / 32 </ Si & gt; # END Prévention du contournement du pare-feu de site Web

Apache 2.2

# BEGIN Prévention du contournement du pare-feu de site Web < FilesMatch ". * " > Ordre refusé, autoriser Refuser de tout Autoriser de 208.109.0.0/22 Autoriser de 192.88.134.0/23 Autoriser de 185.93.228.0/22 Autoriser de 2a02: fe80 :: / 29 Autoriser de 66.248.200.0/22 Autoriser de 173.245.48.0/ 20 Autoriser à partir de 103.21.244.0/22 Autoriser à partir de 103.22.200.0/22 Autoriser à partir de 103.31.4.0/22 Autoriser à partir de 141.101.64.0/18 Autoriser à partir de 108.162.192.0/18 Autoriser à partir de 190.93.240.0/20 Autoriser à partir de 188.114.96.0/20 Autoriser à partir de 197.234.240.0/22 Autoriser à partir de 198.41.128.0/17 Autoriser à partir de 162.158.0.0/15 Autoriser à partir de 104.16.0.0/13 Autoriser à partir de 104.24.0.0/14 Autoriser à partir de 172.64.0.0/13 Autoriser à partir de 131.0.72.0/22 Autoriser de 2400: cb00 :: / 32 Autoriser de 2606: 4700 :: / 32 Autoriser de 2803: f800 :: / 32 Autoriser de 2405: b500 :: / 32 Autoriser de 2405: 8100 :: / 32 Autoriser de 2a06: 98c0: : / 29 Autoriser à partir de 2c0f: f248 :: / 32 </ FilesMatch & gt; # END Prévention du contournement du pare-feu de site Web

Si le code de prévention de contournement standard ne fonctionne pas, vous pouvez essayer le code suivant, qui nécessite l'en-tête Sucuri WAF.

# BEGIN Prévention du contournement du pare-feu de site Web RewriteEngine On RewriteCond & percnt; & # 123; HTTP: X-SUCURI-CLIENTIP & # 125; & # 94; & # 36; RewriteCond & percnt; & # 123; HTTP: X-SUCURI-COUNTRY & # 125; & # 94; & # 36; RewriteRule & # 94; (. *) & # 36; - & lsqb; F, L & rsqb; ErrorDocument 403 Forbidden # END Prévention du contournement du pare-feu de site Web

L'autre code vérifie si les en-têtes X-SUCURI-CLIENTIP et X-SUCURI-COUNTRY sont présents et, si ce n'est pas le cas, renvoie le code de statut de réponse 403 Interdit.

Wordpress géré

Si votre compte apparaît comme hébergement WPaaS, le serveur HAproxy ou openresty ne transmet peut-être pas les adresses IP appropriées dans la demande. Utilisez le code suivant pour résoudre le problème.

# BEGIN Prévention du contournement du pare-feu de site Web RewriteEngine On RewriteCond%{HTTP_HOST} ^ (www.)? coolexample.com $ RewriteCond %{HTTP:X-SUCURI-CLIENTIP} ^ $ RewriteCond %{HTTP:X-SUCURI-COUNTRY} ^ $ RewriteRule ^ (. *) $ - [F, L] ErrorDocument 403 Forbidden # END Prévention du contournement du pare-feu de site Web

Veillez à remplacer coolexample.com par le nom de domaine réel. Veillez également à effacer le cache du vernis WordPress géré avant de tester la prévention de contournement du pare-feu, car vous pourriez toujours obtenir une réponse en cache 200 OK . Cela peut être fait dans le tableau de bord d'administration WordPress ou en accédant à SSH (Secure Shell) via WP-CLI, l'outil en ligne de commande pour la gestion des sites WordPress.

En savoir plus

  • Si vous utilisez IIS, les instructions varient selon les versions: IIS 7 et IIS 8 . Vous pouvez également essayer d'utiliser le fichier web.config pour empêcher le contournement.
  • Obtenez-vous un code d'erreur 500 après avoir ajouté les règles de prévention du contournement? Supprimez la ligne faisant référence à IPv6 du code de prévention de contournement et voyez si l'erreur a disparu. L’erreur 500 peut prendre quelques minutes après avoir supprimé cette ligne.