Ako ste webmaster koji vodi blog ili web stranicu na WordPress, velike su šanse da je sigurnost na webu jedan od vaših glavnih prioriteta. Sve dok je vaša domena omogućena za Cloudflare, možete dodati WordPress-specifična pravila Cloudflare firewall-a da poboljšate sigurnost vaše stranice, pa čak i spriječite napade mnogo prije nego što dođu na vaš server.
Ako koristite besplatni plan Cloudflarea, imate mogućnost da dodate 5 pravila (pro plan vam daje 20).
Cloudflare olakšava i brzo kreiranje pravila zaštitnog zida, a svako pravilo nudi sjajnu fleksibilnost: ne samo da možete učiniti mnogo sa svakim pravilom, već se pravila često mogu konsolidirati, oslobađajući prostor za još više.
U ovom članku ću detaljno pogledati neka od različitih pravila zaštitnog zida koja biste mogli primijeniti kako biste dopunili i poboljšali svoje WordPress postojeće sigurnosne funkcije stranice.
Sažetak: Kako zaštititi svoje WordPress web stranicu sa Cloudflare Firewall-om
- Cloudflareov zaštitni zid za web aplikacije (WAF) je softverski alat koji vam omogućava da zaštitite svoje WordPress web stranice.
- Cloudflare Firewall Pravila vam dozvoljavaju crne ili bijele liste zahtjeva prema fleksibilnim kriterijima koje postavite.
- To stvorite hermetičku zaštitu za svoje WordPress site, sa Cloudflareom možete: pustiti svoju vlastitu IP adresu na bijelu listu, zaštititi svoju administrativnu oblast, blokirati posjetitelje po regiji ili zemlji, blokirati zlonamjerne botove i napade grube sile, blokirati XML-RPC napade i spriječiti neželjenu poštu komentara.
Bijela lista Vaša vlastita IP adresa
Kako biste izbjegli probleme na putu, stavljanje IP adrese vaše web stranice na bijelu listu trebao bi biti prvi zadatak na vašoj listi prije omogućite sva pravila zaštitnog zida.
Zašto i kako staviti svoju IP adresu na bijelu listu u Cloudflareu
Ovo je prvenstveno zato što biste mogli biti zaključani na vlastitoj web stranici ako odlučite da blokirate svoju WordPress admin oblast od drugih.
Za bijelu listu IP adrese vaše web stranice, idite na odjeljak Sigurnost vaše Cloudflare nadzorne ploče i odaberite “WAF”. Zatim kliknite na "Alati" i unesite svoju IP adresu u okvir "Pravila pristupa IP-u", a zatim u padajućem izborniku odaberite "bijela lista".
Da biste pronašli svoju IP adresu, možete učiniti a Google potražite "koji je moj IP" i vratit će vašu IPv4 adresu, a ako vam treba vaš IPv6, možete otići na https://www.whatismyip.com/
Zapamtite da ako se vaša IP adresa promijeni, morat ćete ponovo unijeti/donijeti svoju novu IP adresu na bijelu listu kako biste izbjegli zaključavanje vašeg administratorskog područja.
Pored stavljanja tačne IP adrese vaše stranice na bijelu listu, također možete odabrati da stavite na bijelu listu cijeli vaš IP raspon.
Ako imate dinamičku IP adresu (tj. IP adresu koja je podešena da se stalno neznatno mijenja), onda je ovo definitivno bolji izbor za vas, jer bi stalno ponovno unošenje i stavljanje novih IP adresa na bijelu listu predstavljalo veliki problem.
Također možete na bijelu listu cijele vaše zemlje.
Ovo je definitivno najmanje sigurna opcija jer potencijalno ostavlja vašu administratorsku oblast otvorenom za napade koji dolaze iz vaše zemlje.
Kako god, ako puno putujete zbog posla i često vam pristupate WordPress stranice s različitih Wi-Fi veza, stavljanje vaše zemlje na bijelu listu može biti najpogodnija opcija za vas.
Imajte na umu da će svaka IP adresa ili zemlja koju ste stavili na bijelu listu biti izuzeta od svih ostalih pravila zaštitnog zida, te stoga ne morate brinuti o postavljanju pojedinačnih izuzetaka za svako pravilo.
zaštititi WordPress Kontrolna tabla (WP-Admin Area)
Sada kada ste svoju IP adresu i/ili zemlju stavili na bijelu listu, vrijeme je da čvrsto zaključate svoju wp-admin kontrolnu tablu tako da joj samo vi možete pristupiti.
Zašto i kako zaštititi WordPress Kontrolna tabla u Cloudflareu
Podrazumijeva se da ne želite da nepoznati autsajderi mogu pristupiti vašoj administrativnoj oblasti i izvršiti promjene bez vašeg znanja ili dozvole.
Kao takav, morat ćete napraviti pravilo zaštitnog zida koje sprječava vanjski pristup vašoj kontrolnoj tabli.
Kako god, prije zaključavate svoj WordPress kontrolna tabla, moraćete da napravite dva važna izuzetka.
- /wp-admin/admin-ajax.php. Ova naredba omogućava vašoj web stranici da prikazuje dinamički sadržaj i stoga joj je potrebno pristupiti izvana putem određenih dodataka da bi funkcionirala. Kao takav, iako je pohranjen u folderu /wp-admin/, ovo mora biti dostupno izvana ako ne želite da vaša web stranica prikazuje poruke o grešci posjetiteljima.
- /wp-admin/theme-editor.php. Ova komanda omogućava WordPress da pokrenete provjeru greške svaki put kada promijenite ili uredite temu vašeg web-mjesta. Ako zanemarite da ovo dodate kao izuzetak, vaše promjene neće biti sačuvane i dobit ćete poruku o grešci koja glasi: “Nije moguće povratno komunicirati s web-lokacijom radi provjere fatalnih grešaka.”
Da kreirate pravilo zaštitnog zida, prvo idite na Sigurnost > WAF na vašoj Cloudflare kontrolnoj tabli, a zatim kliknite na dugme „Kreiraj pravilo zaštitnog zida“.
Da biste dodali ove iznimke kada zaštitite područje nadzorne ploče wp-admin, morat ćete kreirati ovo pravilo:
- Polje: URI put
- Operater: sadrži
- Vrijednost: /wp-admin/
[I]
- Polje: URI put
- Operater: ne sadrži
- Vrijednost: /wp-admin/admin-ajax.php
[I]
- Polje: URI put
- Operater: ne sadrži
- Vrijednost: /wp-admin/theme-editor.php
[Akcija: Blokiraj]
Kada završite, kliknite "Razviti" da postavite pravilo zaštitnog zida.
Alternativno, možete kliknuti na “Uredi izraz” i zalijepiti dolje u:
(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")
Blok zemlje/kontinenti
Baš kao što možete na bijelu listu zemlje pristupiti vašoj administratorskoj kontrolnoj tabli.
Također možete postavite pravilo zaštitnog zida na crnu listu zemalja, pa čak i cijelih kontinenata da ne mogu pregledavati ili pristupati vašoj web-lokaciji.
Zašto i kako blokirati zemlje/kontinete u Cloudflareu
Zašto biste mogli blokirati pristup vašoj web-lokaciji za cijelu zemlju ili kontinent?
Pa, ako vaša web stranica opslužuje određenu zemlju ili geografsku regiju i nije globalno relevantna, onda Blokiranje pristupa iz nerelevantnih zemalja i/ili kontinenata je jednostavan način da ograničite rizik od napada zlonamjernog softvera i zlonamjernog prometa koji dolazi iz inostranstva, bez blokiranja pristupa legitimnoj ciljnoj publici vaše web stranice.
Da biste kreirali ovo pravilo, morat ćete još jednom otvoriti svoju Cloudflare kontrolnu ploču i otići na Sigurnost > WAF > Kreiraj pravilo zaštitnog zida.
Da promijenite postavke tako da dozvoljavaju samo određene zemlje, unesite sljedeće:
- Polje: Država ili kontinent
- Operater: "Je unutra"
- Vrijednost: Odaberite zemlje ili kontinente koje želite whitelist
(Napomena: ako želite da dozvolite saobraćaj samo iz jedne zemlje, možete uneti „jednako“ kao operater.)
Ako umjesto toga odlučite blokirati određene zemlje ili kontinente, unesite sljedeće:
- Polje: Država ili kontinent
- Operater: “Nije unutra”
- Vrijednost: Odaberite zemlje ili kontinente koje želite blokirati
Napomena: ovo pravilo može biti loše ako vam je potrebna tehnička podrška, a tim za podršku vašeg web hosta se nalazi u zemlji ili kontinentu koji ste blokirali.
Ovo vjerovatno neće biti problem za većinu ljudi, ali to je nešto čega biste trebali biti svjesni.
Evo primjera kako zabraniti pristup vašoj web stranici iz određene zemlje, gdje se korisnicima iz ove zemlje prikazuje a JavaScript Challenge prije nego pokušate pristupiti vašoj web stranici.
Blokirajte zlonamjerne botove
Na osnovu njihovog korisničkog agenta, Cloudflare vam omogućava da blokirate pristup zlonamjernim botovima koji pokušavaju prodrijeti na vašu web lokaciju.
Ako već koristite 7G, onda ne morate da brinete o postavljanju ovog pravila: 7G WAF blokira pretnje na nivou servera pozivajući se na sveobuhvatnu listu zlonamernih botova.
Međutim, ako ne koristite 7G, htjet ćete konfigurirati pravilo firewall-a koje identificira i blokira loše botove prije nego što mogu uzrokovati bilo kakvu štetu.
Zašto i kako blokirati loše botove u Cloudflareu
Kao i obično, prvo idite na svoju Cloudflare kontrolnu tablu i idite na Sigurnost > WAF > Kreiraj pravilo zaštitnog zida.
Zatim postavite izraz pravila zaštitnog zida kao takav:
- Polje: Korisnički agent
- Operater: “Jednako” ili “Sadrži”
- Vrijednost: naziv lošeg bota ili zlonamjernog agenta kojeg želite blokirati
Kao i kod zemalja koje blokiraju, botovi se mogu blokirati pojedinačno po imenu. Da blokirate više od jednog bota u isto vrijeme, koristite opciju “ILI” na desnoj strani da dodate dodatne botove na listu.
Zatim kliknite na "Razviti" kada završite.
Međutim, ručno blokiranje loših botova postalo je suvišno jer je pokrenut Cloudflare “Način borbe s botom” za sve besplatne korisnike.
i “Super Bot Fight Mode” za korisnike Pro ili Business plana.
Što znači da se loši botovi sada automatski blokiraju za sve tipove Cloudflare korisnika.
Blokirajte napade grube sile (wp-login.php)
Napadi grube sile, poznati i kao wp-login napadi, najčešći su napadi usmjereni na WordPress lokacijama.
Zapravo, ako pogledate logove vašeg servera, vjerovatno ćete pronaći dokaze o takvim napadima u obliku IP adresa sa različitih lokacija širom svijeta pokušavajući pristupiti vašoj wp-login.php datoteci.
Na sreću, Cloudflare vam omogućava da postavite pravilo zaštitnog zida za uspješno blokiranje brutalnih napada.
Zašto i kako zaštititi wp-login.php u Cloudflareu
Iako je većina napada grubom silom automatska skeniranja koja nisu dovoljno moćna da se prođu WordPress's odbrane, ipak je dobra ideja postaviti pravilo da ih blokirate i smirite svoj um.
Kako god, ovo pravilo radi samo ako ste vi jedini administrator/korisnik na vašoj web lokaciji. Ako postoji više od jednog administratora ili ako vaša stranica koristi dodatak za članstvo, preskočite ovo pravilo.
Da kreirate ovo pravilo, vratite se na Sigurnost > WAF > Kreiraj pravilo zaštitnog zida.
Nakon što odaberete ime za ovo pravilo, unesite sljedeće:
- Polje: URI put
- Operater: sadrži
- Vrijednost: /wp-login.php
[Akcija: Blokiraj]
Alternativno, možete kliknuti na “Uredi izraz” i zalijepiti dolje u:
(http.request.uri.path contains "/wp-login.php")Jednom kada primenite pravilo, Cloudflare će početi blokirati sve pokušaje pristupa wp-login koji dolaze iz bilo kojeg izvora osim vaše IP adrese na bijeloj listi.
Kao dodatni bonus, možete provjeriti da li je ova zaštita pokrenuta i radi gledajući u Cloudflare-ov odjeljak Firewall Events, gdje biste trebali biti u mogućnosti vidjeti zapise o svim pokušajima grubih napada.
Blokirajte XML-RPC napade (xmlrpc.php)
Još jedan malo rjeđi (ali ipak opasan) tip napada je XML-RPC napad.
XML-RPC je udaljena procedura koja poziva WordPress, koje napadači mogu potencijalno ciljati u napadu grube sile kako bi dobili vjerodajnice za autentifikaciju.
Zašto i kako blokirati XML-RPC u Cloudflareu
Iako postoje legitimne upotrebe za XML-RPC, kao što je objavljivanje sadržaja na više WordPress blogove istovremeno ili pristupajući vašem WordPress stranice sa pametnog telefona, općenito možete primijeniti ovo pravilo bez brige o neželjenim posljedicama.
Da biste blokirali napade grube sile koji ciljaju na XML-RPC procedure, prvo idite na Sigurnost > WAF > Kreiraj pravilo zaštitnog zida.
Zatim kreirajte sljedeće pravilo:
- Polje: URI put
- Operater: sadrži
- Vrijednost: /xmlrpc.php
[Akcija: Blokiraj]
Alternativno, možete kliknuti na “Uredi izraz” i zalijepiti dolje u:
(http.request.uri.path contains "/xmlrpc.php")I baš tako, sa samo nekoliko jednostavnih koraka, zaštitili ste svoje WordPress stranica od dvije najčešće vrste napada grubom silom.
Sprečavanje neželjene pošte komentara (wp-comments-post.php)
Ako ste webmaster, neželjena pošta na vašoj web stranici je samo jedna od dosadnih životnih činjenica.
Na sreću, Cloudflare Firewall nudi nekoliko pravila koja možete primijeniti da blokirate mnoge uobičajene vrste neželjene pošte, uključujući neželjene komentare.
Zašto i kako blokirati wp-comments-post.php u Cloudflareu
Ako je neželjena pošta u komentarima postala problem na vašoj web lokaciji (ili, još bolje, ako želite proaktivno spriječiti da to postane problem), možete ograničiti wp-comments-post.php da ograničite promet botova.
Ovo se radi na DNS nivou sa Cloudflareom JS izazov, a način na koji radi je relativno jednostavan: neželjeni komentari su automatizirani, a automatizirani izvori ne mogu obraditi JS.
Oni tada ne uspevaju u JS izazovu, i voila – spam je blokiran na nivou DNS-a, a zahtjev nikada ne stigne do vašeg servera.
Dakle, kako kreirati ovo pravilo?
Kao obično, idite na stranicu Sigurnost > WAF i odaberite “Kreiraj pravilo zaštitnog zida”.
Obavezno ovom pravilu date prepoznatljivo ime, kao što je "Neželjeni komentari".
Zatim postavite sljedeće:
- Polje: URI
- Operater: Jednako
- Vrijednost: wp-comments-post.php
[I]
- Polje: Metoda zahtjeva
- Operater: Jednako
- Vrijednost: POST
[I]
- Polje: Referer
- Operater: ne sadrži
- Vrijednost: [vašadomena.com]
[Akcija: JS Challenge]
Pazite da postavite akciju na JS Challenge, jer će to osigurati da komentar bude blokiran bez ometanja općih radnji korisnika na stranici.
Nakon što unesete ove vrijednosti, kliknite na “Deploy” da kreirate svoje pravilo.
Zaključak: Kako možete osigurati svoje WordPress Stranica s pravilima Cloudflare Firewall
U trci u naoružavanju na webu, pravila Cloudflare firewall-a su jedno od najefikasnijih oružja koje imate u svom arsenalu.
Čak i sa besplatnim Cloudflare nalogom, možete primeniti mnoga različita pravila kako biste zaštitili svoje WordPress stranice protiv nekih od najčešćih prijetnji neželjene pošte i zlonamjernog softvera.
Sa samo nekoliko (uglavnom) jednostavnih pritisaka na tipku, možete povećati sigurnost vaše web stranice i neka neometano radi za posjetioce.
Za više o poboljšanju vašeg WordPress sigurnost stranice, provjerite moju vodič za pretvaranje WordPress stranice u statički HTML.
reference
https://developers.cloudflare.com/firewall/
https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/
https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/
