O WAF (Web Application Firewall) é uma solução de segurança que protege aplicações web ao filtrar e monitorar o tráfego HTTP entre a aplicação e a internet. Ele age como uma barreira, bloqueando ataques comuns e tentativas de exploração de vulnerabilidades, garantindo que apenas requisições legítimas alcancem o servidor. É uma ferramenta essencial para aumentar a resiliência de sites contra ameaças cibernéticas.

A seguir, apresentamos um guia passo a passo para habilitar o WAF AWS em uma distribuição CloudFront, oferecendo uma camada extra de segurança para sua aplicação web. 

Habilitar o AWS WAF para uma nova distribuição

O procedimento a seguir mostra como habilitar o AWS WAF ao criar uma distribuição do CloudFront.

1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home 
2. No painel de navegação, selecione a Distribuição.
3. Na Aba Security, clique em Manage security protections.
   • Na seção Web Application Firewall (WAF) Selecione a opção: Enable security protections
   • Clique em Save changes

Ativar proteção adicional específicas para WordPress (opcional)

A ativação da proteção adicional para WordPress e Rate limiting no AWS WAF é opcional e oferece uma camada extra de segurança. No entanto, ela adiciona um custo extra de U$4,00/mês sobre o valor padrão do CloudFront, que é de U$14,00/mês, totalizando U$18,00/mês. Essa proteção inclui regras específicas, como:

• AWSManagedRulesPHPRuleSet: Bloqueia vulnerabilidades associadas ao uso de PHP, incluindo injeções de funções inseguras.
• AWSManagedRulesWordPressRuleSet: Protege contra padrões de ataque comuns em sites WordPress.
• AWSManagedRulesSQLiRuleSet: Bloqueia ataques de injeção SQL, protegendo os bancos de dados da aplicação.
• Rate Limiting: Limita o número de requisições por IP, ajudando a prevenir abusos de recursos e ataques de negação de serviço.

Antes de ativar essa funcionalidade, é importante considerar os custos adicionais. Confira os detalhes de preços no link oficial de custos do AWS.

Criar regra personalizada

É essencial criar uma regra personalizada para permitir o upload de imagens e anexos na biblioteca de mídia do site. A não configuração correta dessa regra resultará em falhas no envio de arquivos pelo painel administrativo, impactando diretamente o funcionamento da biblioteca de mídia.

1. Abra o console do AWS WAF.
2. No painel de navegação à esquerda, escolha Web ACLs.
3. Para Region, selecione Global.
4. Selecione a sua distribuição CloudFront que irá receber a regra
5. Na aba Rules, escolha Add rules e, em seguida, escolha Add own my rules and rule groups.
6. Para Nome, insira: Permitir-Upload-Na-Biblioteca
7. Na seção If a request, escolha: matches the statement
8. Na seção Statement, configure conforme as instruções:
   1. Inspect: URI path
   2. Match type: Exactly matches strings
   3. String to match: /wp/wp-admin/async-upload.php
   4. Text transformation: None
9. Para Action, escolha Allow.
10. Clique Save rule.
11. Na etapa Set rule priority, selecione a regra recém-criada, e mova-o para o topo clicando em Move up
12. Clique em Save

Proteja Sua Aplicação Web

Configurar o WAF Web Application Firewall, garante que você possa proteger sua aplicação web contra ameaças, além de oferecer controle granular sobre as permissões de acesso. Não deixe de explorar outros artigos em nossa base de conhecimento para descobrir mais práticas de segurança para o seu ambiente!