Documentazione Firewall WAF

Guida completa al Web Application Firewall di ShadowProbe

Introduzione

Il modulo Firewall di ShadowProbe è un Web Application Firewall (WAF) di livello enterprise che protegge i tuoi siti WordPress da una vasta gamma di attacchi informatici. Include rilevamento intelligente delle minacce, blocco progressivo, protezione CAPTCHA e analisi dettagliate.

Il WAF richiede il piano Pro per l'Auto-Defense completo. Il piano Free include 2 regole manuali.

Accesso al Firewall

Per accedere al modulo Firewall:

  1. Dalla Dashboard principale, seleziona il sito che desideri proteggere
  2. Nel menu laterale, clicca su "Firewall"
  3. Verrai portato alla pagina principale del Firewall con 5 schede principali
1

Visitatori (Visitors)

Questa scheda mostra in tempo reale tutti i visitatori del tuo sito.

Informazioni visualizzate

  • IP Address: Indirizzo IP del visitatore
  • Paese e Città: Geolocalizzazione del visitatore
  • URI: Pagina richiesta
  • Metodo HTTP: GET, POST, etc.
  • Codice di Stato: Risposta del server (200, 404, etc.)

Livelli di Minaccia

  • Safe (Verde): Nessuna minaccia rilevata
  • Suspicious (Giallo): Comportamento sospetto
  • Threat (Rosso): Minaccia identificata
  • Critical (Nero): Minaccia critica
Usa la ricerca per cercare per IP, città, URI o user agent. Clicca sul pulsante di blocco per bloccare immediatamente un visitatore sospetto.
2

Regole di Blocco (Block Rules)

Gestisci tutte le regole di blocco attive e create manualmente.

Tipi di regole supportati

  • IP: Blocca un singolo indirizzo IP
  • CIDR: Blocca un range di IP (es. 192.168.1.0/24)
  • Paese: Blocca tutti i visitatori da un paese specifico
  • User Agent: Blocca richieste con specifici user agent

Come creare una nuova regola

  1. Clicca sul pulsante "Aggiungi Regola" o "+ New Rule"
  2. Seleziona il tipo di regola (IP, CIDR, Paese o User Agent)
  3. Inserisci il valore da bloccare
  4. Aggiungi un motivo descrittivo (opzionale)
  5. Scegli la durata: Permanente o Temporanea con data di scadenza
  6. Clicca "Salva" o "Create Rule"
Le regole create automaticamente dal sistema Auto-Defense sono etichettate diversamente da quelle manuali per una facile identificazione.
3

Auto-Defense (Difesa Automatica)

Configura il sistema di protezione automatica intelligente contro gli attacchi.

Rate Limiting (Limitazione Richieste)

Il sistema utilizza l'algoritmo Token Bucket che permette picchi di traffico legittimo ma blocca gli abusi:

  • Richieste al minuto: 120 (default)
  • Richieste all'ora: 1200 (default)

Protezione Brute Force

Blocca automaticamente gli IP dopo tentativi ripetuti di login falliti. Le soglie sono configurabili tramite i preset di Auto-Defense (Showcase Site, E-commerce, API/High Traffic) nella sezione Brute Force Threshold (POST requests in 60s), con valori da 5 (Very Strict) a 50 (Very Permissive).

Sensibilità Rilevamento Pattern

  • Bassa: Meno falsi positivi, rileva solo attacchi evidenti
  • Media: Bilanciamento tra sicurezza e usabilità (consigliato)
  • Alta: Massima protezione, possibili falsi positivi

Funzionalità Attivabili

  • Rate Limiting: Limita il numero di richieste per IP
  • Pattern Detection: Rileva attacchi SQL injection, XSS, path traversal, etc.
  • Progressive Blocking: Usa il sistema a "strike" invece di ban immediati
  • Scanner Detection: Identifica vulnerability scanner tramite analisi 404
  • ML Detection: Rilevamento anomalie con Machine Learning
  • Geo-Blocking: Blocca l'accesso da paesi specifici

Whitelist IP

Aggiungi IP che non devono mai essere bloccati (es. il tuo team, servizi legittimi):

  1. Clicca "Aggiungi IP"
  2. Inserisci l'indirizzo IP
  3. Aggiungi una nota descrittiva (opzionale)
  4. Clicca "Salva"
Usa il pulsante "Raccomandazioni IA" per ottenere suggerimenti sui paesi da bloccare basati sul traffico del tuo sito.
4

Eventi di Attacco (Attack Events)

Visualizza tutti gli attacchi rilevati con dettagli completi.

Informazioni mostrate

  • Tipo di Attacco: DDoS, Brute Force, SQL Injection, XSS, Scanner, etc.
  • IP Sorgente: Indirizzo IP dell'attaccante
  • Paese: Provenienza geografica
  • URI: Endpoint attaccato

Livelli di Severità

  • Low (Bassa) - Verde
  • Medium (Media) - Giallo
  • High (Alta) - Arancione
  • Critical (Critica) - Rosso
Usa i filtri per visualizzare solo attacchi di una certa severità o tipo. Puoi marcare gli attacchi come "risolti" dopo averli gestiti.
5

Statistiche (Statistics)

Dashboard analitica con dati degli ultimi 7 giorni.

Metriche disponibili

  • Totale Attacchi: Numero complessivo di attacchi rilevati
  • Attacchi Bloccati vs Non Bloccati: Rapporto di efficacia
  • Distribuzione per Tipo: Grafico con percentuale di ogni tipo di attacco
  • Top 10 IP Attaccanti: IP che hanno generato più traffico malevolo
  • Pattern Geografici: Mappa degli attacchi per paese
  • Efficacia Regole: Performance delle regole di blocco

Sistema di Blocco Progressivo

Invece di bannare immediatamente gli IP sospetti, ShadowProbe utilizza un sistema a "strike" che permette una risposta proporzionata:

  • 1° Strike: Warning (solo log)
  • 2° Strike: Throttle (limitazione traffico) - 30 minuti
  • 3° Strike: Ban Temporaneo - 1 ora
  • 4° Strike: Ban Esteso - 24 ore
  • 5°+ Strike: Ban Permanente
Decadimento Strike: Ogni 7 giorni di "buon comportamento", viene rimosso 1 strike all'IP.

Protezione CAPTCHA

Configura la protezione CAPTCHA per endpoint critici.

Modalità disponibili

  • Always: CAPTCHA richiesto sempre sugli endpoint protetti
  • After Attempts: CAPTCHA richiesto dopo N tentativi falliti
  • Adaptive: CAPTCHA richiesto in base al threat score del visitatore

Endpoint Protetti (predefiniti)

  • /wp-login.php - Pagina di login WordPress
  • /wp-login.php?action=register - Registrazione
  • /xmlrpc.php - Endpoint XML-RPC
  • /wp-json/wp/v2/users - REST API utenti
Puoi aggiungere endpoint personalizzati oltre a quelli predefiniti.

Tipi di Attacchi Rilevati

Pattern-Based (Basati su Pattern)

  • SQL Injection: Tentativi di manipolare query database (UNION SELECT, ' OR 1=1, SLEEP())
  • XSS: Cross-Site Scripting (<script>, onerror=, javascript:)
  • Path Traversal: Accesso a file non autorizzati (../../../etc/passwd)
  • File Inclusion: RFI/LFI (php://filter, data://)
  • Command Injection: Esecuzione comandi shell (; ls, backtick)

Behavior-Based (Basati su Comportamento)

  • DDoS: Troppe richieste al minuto/ora
  • Brute Force: Troppi tentativi di login falliti
  • Scanner Activity: Alto numero di errori 404, probing file sensibili
  • Suspicious Bot: User agent di scanner/bot conosciuti

Best Practices

Configurazione Iniziale Consigliata

  1. Abilita Auto-Defense con le impostazioni predefinite
  2. Abilita Pattern Detection con sensibilità Media
  3. Abilita Progressive Blocking per evitare falsi positivi
  4. Aggiungi alla whitelist gli IP del tuo team e servizi legittimi
  5. Configura le notifiche email per essere avvisato degli attacchi

Monitoraggio Regolare

  • Controlla la scheda Visitatori quotidianamente per i primi giorni
  • Rivedi gli Eventi di Attacco per identificare pattern
  • Analizza le Statistiche settimanalmente
  • Aggiusta le soglie in base ai falsi positivi osservati

Gestione Falsi Positivi

Se noti visitatori legittimi bloccati:

  1. Aggiungi il loro IP alla Whitelist
  2. Considera di abbassare la sensibilità di rilevamento
  3. Rivedi e disabilita regole specifiche troppo aggressive

Risoluzione Problemi

Visitatori legittimi vengono bloccati

Verifica che gli IP non siano in blocklist esterne. Aggiungi gli IP alla whitelist. Riduci la sensibilità del pattern detection.

Gli attacchi non vengono rilevati

Verifica che Auto-Defense sia abilitato. Aumenta la sensibilità del pattern detection. Controlla che le soglie non siano troppo alte.

Troppe notifiche email

Aumenta le soglie di rilevamento. Riduci la sensibilità. Abilita il Progressive Blocking per ridurre i ban immediati.

Glossario

  • WAF: Web Application Firewall - sistema che protegge le applicazioni web
  • CIDR: Notazione per specificare range di indirizzi IP (es. /24 = 256 IP)
  • Token Bucket: Algoritmo di rate limiting che permette burst controllati
  • Strike: Sistema a punti per il blocco progressivo
  • Threat Score: Punteggio da 0 a 100 che indica il livello di minaccia

Hai Bisogno di Aiuto?

Se hai domande o problemi con il Firewall, siamo qui per aiutarti:

  • Consulta la documentazione Quick Start
  • Unisciti alla community Discord
  • Contatta il supporto via email: [email protected]
  • Prenota una demo personalizzata per piani Enterprise