WAF (Web Application Firewall) to warstwa ochrony między Twoją stroną a internetem – filtruje ruch HTTP/HTTPS i blokuje ataki zanim dotrą do serwera. SQL injection, XSS (Cross-Site Scripting), brute force na wp-login, exploity w wtyczkach WordPress, boty spamowe – WAF wykrywa i blokuje te zagrożenia na podstawie reguł, sygnatur i analizy behawioralnej. W praktyce: Cloudflare (darmowy plan) ma podstawowy WAF, a dedykowane rozwiązania (Cloudflare Pro, Sucuri, Wordfence) dają pełną ochronę.
Jak działa WAF – mechanizm filtrowania
Standardowy ruch na stronie: użytkownik → internet → serwer. Z WAF: użytkownik → internet → WAF (filtruje) → serwer. WAF analizuje każde żądanie HTTP zanim dotrze do serwera – sprawdza: URL, parametry, nagłówki, body żądania, cookies, user-agent. Jeśli żądanie wygląda jak atak – blokuje je (zwraca 403 Forbidden) lub challenge’uje (CAPTCHA, JS challenge).
WAF dzia��a na warstwie 7 modelu OSI (warstwa aplikacji) – w odróżnieniu od standardowego firewalla sieciowego (warstwa 3–4), który filtruje po IP i portach. WAF „rozumie” HTTP – widzi nie tylko skąd przychodzi ruch, ale co próbuje zrobić.
Przed czym chroni WAF
| Typ ataku | Jak działa | Co WAF robi |
|---|---|---|
| SQL Injection | Atakujący wstrzykuje kod SQL przez formularz/URL (np. ' OR 1=1 --) |
Wykrywa wzorce SQL w parametrach → blokuje żądanie |
| XSS (Cross-Site Scripting) | Wstrzykuje JavaScript przez formularz/komentarz | Wykrywa tagi <script> i event handlery w input → blokuje |
| Brute force | Tysiące prób logowania (wp-login.php, wp-admin) | Rate limiting: po X próbach z jednego IP → block/challenge |
| File inclusion (LFI/RFI) | Próba załadowania pliku z serwera lub zdalnego | Wykrywa ścieżki (../, http:// w parametrach) → blokuje |
| DDoS (Layer 7) | Masowe żądania HTTP zapychające serwer | Rate limiting, JS challenge, CAPTCHA → odsiewa boty |
| Zero-day exploity wtyczek | Nowa luka w WordPressie/wtyczce, jeszcze bez patcha | Reguły wirtualne (virtual patching) blokują exploit zanim producent wyda update |
| Bad bots / scrapers | Boty kradnące treści, ceny, dane | Bot detection → block/challenge |
| Credential stuffing | Logowanie skradzionymi hasłami z breach-ów | Rate limiting + wykrywanie wzorców automatyzacji |
Typy WAF – cloud vs host-based vs appliance
| Typ | Jak działa | Przykłady | Najlepszy do |
|---|---|---|---|
| Cloud WAF | Ruch przechodzi przez chmurę dostawcy (reverse proxy) | Cloudflare, Sucuri, AWS WAF, Akamai | Większość stron – zero instalacji na serwerze |
| Host-based WAF | Oprogramowanie zainstalowane na serwerze | ModSecurity (Apache/Nginx), Wordfence (WordPress) | VPS/dedykowany serwer z pełną kontrolą |
| Appliance WAF | Fizyczne urządzenie w data center | F5 BIG-IP, Fortinet FortiWeb, Imperva | Enterprise, banki, korporacje |
Dla typowej strony WordPress na hostingu współdzielonym: Cloud WAF (Cloudflare) lub wtyczka WordPress (Wordfence). Nie musisz kupować sprzętu ani konfigurować ModSecurity – robi to dostawca chmurowy lub wtyczka.
WAF dla WordPress – opcje
Cloudflare WAF (cloud)
Darmowy plan Cloudflare daje podstawowy WAF: ochronę przed DDoS, Bot Fight Mode i basic security rules. Plan Pro ($20/mc) dodaje: OWASP Managed Rulesets (reguły przeciw SQL injection, XSS, LFI), custom WAF rules, rate limiting. Plan Business ($200/mc): zaawansowane reguły, dedykowane certyfikaty, custom WAF policies.
Konfiguracja: podłącz domenę do Cloudflare → Security → WAF → włącz Managed Rules. Zero instalacji na serwerze – ruch jest filtrowany w chmurze Cloudflare zanim dotrze do Twojego hostingu.
Wordfence (host-based, wtyczka WP)
Wordfence to najpopularniejsza wtyczka bezpieczeństwa WordPress (~5 milionów instalacji). Darmowa wersja daje: firewall (WAF) na poziomie aplikacji, skaner malware, ochrona brute force (rate limiting wp-login), blokowanie IP/krajów, 2FA.
Wordfence Premium ($119/rok): reguły firewall aktualizowane w real-time (darmowa: opóźnienie 30 dni), premium malware signatures, blokowanie krajów, IP reputation list.
Jak Wordfence działa: wtyczka PHP ładowana przed WordPressem (auto_prepend_file w PHP). Analizuje każde żądanie → jeśli matchuje regułę → blokuje. Raporty w wp-admin → Wordfence → Firewall → Live Traffic.
Sucuri WAF (cloud, premium)
Sucuri to cloud WAF dedykowany do ochrony stron WordPress, Joomla, Drupal, Magento. Ruch przechodzi przez serwery Sucuri (jak Cloudflare), które filtrują ataki. Cena: od $9.99/mc (Basic) do $499/mc (Business).
Sucuri oferuje też cleanup po hackach – jeśli strona jest zainfekowana, ich zespół czyści malware (w ramach planu). Przydatne jeśli strona została już zhakowana i potrzebujesz ratunku.
ModSecurity (open source, serwer)
ModSecurity to open-source’owy WAF dla Apache, Nginx i IIS. Zainstalowany na serwerze jako moduł – filtruje ruch przed dostarczeniem do aplikacji. Wiele hostingów współdzielonych ma ModSecurity preinstalowany (włączony domyślnie lub do włączenia w panelu: cPanel → ModSecurity → ON).
ModSecurity + OWASP Core Rule Set (CRS) = kompletna ochrona przed OWASP Top 10 (SQL injection, XSS, LFI, RCE, SSRF itp.). Konfiguracja: dla administratorów serwerów – na hostingu współdzielonym zwykle nie musisz nic konfigurować.
Cloud WAF vs Wordfence – co wybrać
| Cecha | Cloud WAF (Cloudflare) | Wordfence (wtyczka) |
|---|---|---|
| Gdzie filtruje | W chmurze (przed serwerem) | Na serwerze (w PHP) |
| Obciążenie serwera | Zero (ruch filtrowany zanim dotrze) | Tak (wtyczka PHP zużywa CPU/RAM) |
| DDoS protection | Tak (nieograniczone) | Ograniczone (DDoS dochodzi do serwera) |
| Malware scanning | Nie (Cloudflare nie skanuje plików WP) | Tak (skanuje pliki WP) |
| Brute force | Tak (challenge/block) | Tak (rate limiting) |
| Cena | $0 (basic) / $20/mc (Pro) | $0 (basic) / $119/rok (Premium) |
| Najlepszy do | DDoS, Layer 7 attacks, CDN + WAF | Malware scan, brute force, audyt plików WP |
Najlepsza kombinacja: Cloudflare (cloud WAF + CDN + DDoS) i Wordfence (malware scanner + brute force na wp-login). Cloudflare blokuje 90% ataków w chmurze, a Wordfence łapie to co przejdzie + skanuje pliki na serwerze. Dwie warstwy ochrony.
OWASP Top 10 – przed czym WAF powinien chronić
OWASP Top 10 to lista 10 najczęstszych zagrożeń bezpieczeństwa aplikacji webowych – standard branżowy. Dobry WAF chroni przed wszystkimi:
- Broken Access Control – dostęp do zasobów bez uprawnień
- Cryptographic Failures – brak szyfrowania wrażliwych danych
- Injection – SQL injection, XSS, command injection
- Insecure Design – błędy architektoniczne
- Security Misconfiguration – domyślne hasła, otwarte porty, debug mode
- Vulnerable Components – przestarzałe wtyczki, biblioteki z lukami
- Authentication Failures – brute force, credential stuffing
- Software & Data Integrity Failures – brak weryfikacji integralności
- Logging & Monitoring Failures – brak logów bezpieczeństwa
- Server-Side Request Forgery (SSRF) – wymuszenie żądań z serwera
WAF chroni głównie przed 3 (Injection), 5 (Misconfiguration), 6 (Vulnerable Components), 7 (Authentication) – resztę rozwiązuje się na poziomie kodu i architektury, nie WAF.
Czy WAF jest potrzebny na każdej stronie
Tak – w 2026 każda strona dostępna z internetu potrzebuje jakiejś formy WAF. Boty skanują internet 24/7 szukając luk – nawet mały blog z 50 wizytami dziennie dostaje setki prób ataków (brute force wp-login, skanowanie /xmlrpc.php, szukanie niezaktualizowanych wtyczek). Bez WAF: liczysz na to, że WordPress i wtyczki nie mają luk. Z WAF: ataki są blokowane zanim dotrą do aplikacji.
Minimum: Cloudflare darmowy (basic WAF + DDoS) + Wordfence Free (brute force + malware scan). Zero kosztów, 30 minut konfiguracji, dramatyczny wzrost bezpieczeństwa.
Virtual patching – ochrona przed exploitami w wtyczkach
Virtual patching to kluczowa funkcja WAF: gdy odkryta zostaje luka w wtyczce WordPress (np. krytyczny bug w Elementor, WooCommerce, Contact Form 7), producent wtyczki potrzebuje dni–tygodni na wydanie patcha. WAF może w ciągu godzin dodać regułę blokującą exploit – chroni Cię zanim zaktualizujesz wtyczkę.
Wordfence Premium: reguły virtual patching aktualizowane w real-time (darmowa wersja: opóźnienie 30 dni). Cloudflare Pro: Managed Rules z regułami per-CVE. To dlatego płatne wersje WAF mają sens – czas reakcji na zero-day exploit.
Najczęściej zadawane pytania
Czy WAF spowalnia stronę?
Cloud WAF (Cloudflare): nie – filtrowanie odbywa się w chmurze, a CDN jednocześnie przyspiesza stronę. Netto efekt: szybciej z WAF niż bez. Host-based WAF (Wordfence): minimalnie (1–3% CPU na serwerze). Na szybkim hostingu: niezauważalne. Na słabym shared hostingu: może dodać 50–100 ms do TTFB.
WAF a firewall – jaka różnica?
Firewall sieciowy (iptables, pf, Windows Firewall) działa na warstwie 3–4 OSI – filtruje po IP i portach. WAF działa na warstwie 7 – filtruje po treści żądań HTTP (URL, parametry, body). Firewall blokuje „skąd” przychodzi ruch. WAF blokuje „co” ruch próbuje zrobić. Potrzebujesz obu.
Czy hosting ma WAF wbudowany?
Wiele hostingów ma ModSecurity preinstalowany (cPanel → ModSecurity → ON). Niektóre hostingi (cyber_Folks, SiteGround, Kinsta) mają własne WAF rules zoptymalizowane pod WordPress. Sprawdź u swojego hostingu – może już masz podstawową ochronę.
Wordfence vs Sucuri vs iThemes Security – co wybrać?
Wordfence: najlepszy darmowy (WAF + malware scan + brute force). Sucuri: najlepszy cloud WAF (+ cleanup po hackach), ale płatny. iThemes Security: dobry do hardening (ustawianie zabezpieczeń WP), słabszy WAF niż Wordfence. Rekomendacja: Wordfence Free + Cloudflare Free = najlepsza darmowa ochrona.
Czy WAF chroni przed DDoS?
Cloud WAF (Cloudflare): tak – absorbuje ataki DDoS w chmurze. Host-based WAF (Wordfence): ograniczone – DDoS dociera do serwera (WAF filtruje na serwerze, ale serwer jest obciążony). Do ochrony DDoS: cloud WAF jest jedynym skutecznym rozwiązaniem.
