Sådan sikrer du din WordPress Site med Cloudflare Firewall-regler

in Online Sikkerhed, WordPress

Hvis du er webmaster og driver en blog eller et websted på WordPress, sandsynligvis er websikkerhed en af ​​dine topprioriteter. Så længe dit domæne er Cloudflare-aktiveret, kan du tilføje WordPress-specifikke Cloudflare firewall regler at forbedre dit websteds sikkerhed og endda forhindre angreb længe før de når frem til din server.

Hvis du bruger Cloudflares gratis plan, har du mulighed for at tilføje 5 regler (pro-planen giver dig 20). 

Cloudflare gør det nemt og hurtigt at oprette firewall-regler, og hver regel tilbyder fantastisk fleksibilitet: ikke alene kan du gøre meget med hver regel, men regler kan ofte konsolideres, hvilket frigør plads til dig at gøre endnu mere.

cloudflare firewall regler

I denne artikel vil jeg tage et dybdegående kig på nogle af de forskellige firewall-regler, du kan anvende for at komplementere og forbedre din WordPress webstedets eksisterende sikkerhedsfunktioner.

Resumé: Sådan beskytter du din WordPress hjemmeside med Cloudflare Firewall

  • Cloudflares Web Application Firewall (WAF) er et softwareværktøj, der giver dig mulighed for at beskytte din WordPress internet side. 
  • Cloudflare Firewall-regler giver dig mulighed for sortliste eller hvidliste anmodninger efter fleksible kriterier, som du opstiller. 
  • Til skabe lufttæt beskyttelse til din WordPress websted, med Cloudflare kan du: hvidliste din egen IP-adresse, beskytte dit admin-område, blokere besøgende efter region eller land, blokere ondsindede bots og brute force-angreb, blokere XML-RPC-angreb og forhindre kommentarspam.

Whitelist din egen IP-adresse

For at undgå problemer hen ad vejen, whitelisting af dit eget websteds IP-adresse bør være den første opgave på din liste før du aktiverer alle firewall-regler.

Hvorfor og hvordan du hvidlister din IP-adresse i Cloudflare

Dette skyldes primært, at du kan blive låst ude af din egen hjemmeside, hvis du vælger at blokere din WordPress admin område fra andre.

For at hvidliste dit websteds IP-adresse skal du gå til dit Cloudflare-dashboard Sikkerhedssektion og vælge "WAF." Klik derefter på "Værktøjer" og indtast din IP-adresse i boksen "IP-adgangsregler", og vælg "hvidliste" fra rullemenuen.

cloudflare whitelist egen IP-adresse

For at finde din IP-adresse kan du gøre en Google søg efter "hvad er min IP", og det vil returnere din IPv4-adresse, og hvis du har brug for din IPv6, kan du gå til https://www.whatismyip.com/

Husk, at hvis din IP-adresse ændres, bliver du nødt til at genindtaste/hvidliste din nye IP-adresse for at undgå at blive låst ude af dit administrationsområde.

Ud over at hvidliste dit websteds nøjagtige IP-adresse, du kan også vælge at hvidliste hele dit IP-område.

Hvis du har en dynamisk IP-adresse (dvs. en IP-adresse, der er indstillet til konstant at ændre sig lidt), så er dette helt klart det bedre valg for dig, da konstant genindtastning og hvidliste af nye IP-adresser ville være en stor smerte.

Du kan også hvidliste hele dit land. 

Dette er absolut den mindst sikre mulighed, da den potentielt efterlader dit administrationsområde åbent for angreb, der kommer fra dit land.

Imidlertid hvis du rejser meget for arbejde og ofte finder dig selv at få adgang til din WordPress websted fra forskellige Wi-Fi-forbindelser, kan hvidlistning af dit land være den mest bekvemme mulighed for dig.

Husk, at enhver IP-adresse eller ethvert land, du har hvidlistet, vil blive undtaget fra alle andre firewall-regler, og du behøver derfor ikke bekymre dig om at angive individuelle undtagelser for hver regel.

Beskyt WordPress Dashboard (WP-Admin-området)

Nu hvor du har hvidlistet din IP-adresse og/eller land, er det tid for at låse dit wp-admin-dashboard tæt, så kun du kan få adgang til det.

Hvorfor og hvordan man beskytter WordPress Dashboard i Cloudflare

Det siger sig selv, at du ikke ønsker, at ukendte udenforstående skal kunne få adgang til dit admin-område og foretage ændringer uden din viden eller tilladelse.

Som sådan, du bliver nødt til at lave en firewall-regel, der forhindrer ekstern adgang til dit dashboard.

Imidlertid før du låser din WordPress instrumentbrættet, du bliver nødt til at gøre to vigtige undtagelser.

  1. /wp-admin/admin-ajax.php. Denne kommando giver din hjemmeside mulighed for at vise dynamisk indhold og skal derfor tilgås udefra af visse plugins for at fungere. Som sådan, selvom det er gemt i mappen /wp-admin/, skal dette være tilgængeligt udefra, hvis du ikke ønsker, at dit websted skal vise fejlmeddelelser til besøgende.
  2. /wp-admin/theme-editor.php. Denne kommando aktiverer WordPress at køre en fejlkontrol, hver gang du ændrer eller redigerer dit websteds tema. Hvis du undlader at tilføje dette som en undtagelse, vil dine ændringer ikke blive gemt, og du vil modtage en fejlmeddelelse, der lyder: "Kan ikke kommunikere tilbage med webstedet for at kontrollere for fatale fejl."

For at oprette en firewall-regel skal du først gå til Sikkerhed > WAF i dit Cloudflare-dashboard og derefter klikke på knappen "Create Firewall Rule".

cloudflare beskytte wp-admin dashboard

For at tilføje disse undtagelser, når du beskytter dit wp-admin-dashboard-område, skal du oprette denne regel:

  • Felt: URI-sti
  • Operatør: indeholder
  • Værdi: /wp-admin/

[OG]

  • Felt: URI-sti
  • Operatør: indeholder ikke
  • Værdi: /wp-admin/admin-ajax.php

[OG]

  • Felt: URI-sti
  • Operatør: indeholder ikke
  • Værdi: /wp-admin/theme-editor.php

[Handling: Bloker]

Når du er færdig, klik på "Indsætte" for at indstille din firewall-regel.

Alternativt kan du klikke på "Rediger udtryk" og indsætte nedenstående i:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Bloklande/kontinenter

Ligesom du kan hvidliste et land for at få adgang til dit admin-dashboard.

Du kan også sæt en firewall-regel til at sortliste lande og endda hele kontinenter fra at se eller få adgang til dit websted.

Hvorfor og hvordan man blokerer lande/kontinenter i Cloudflare

Hvorfor vil du måske blokere et helt land eller kontinent fra at få adgang til dit websted?

Nå, hvis dit websted betjener et bestemt land eller geografisk område og ikke er globalt relevant, så blokering af adgang fra irrelevante lande og/eller kontinenter er en nem måde at begrænse risikoen for malware-angreb og ondsindet trafik fra udlandet, uden nogensinde at blokere adgangen til din hjemmesides legitime målgruppe.

For at oprette denne regel skal du igen åbne din CloudFlare dashboard og gå til Sikkerhed > WAF > Opret firewallregel.

For at ændre indstillingerne til kun at tillade specifikke lande, skal du indtaste følgende:

  • Felt: Land eller kontinent
  • Operatør: "Er med"
  • Værdi: Vælg de lande eller kontinenter, du vil whitelist

(Bemærk: Hvis du kun vil tillade trafik fra ét land, kan du indtaste "lig med" som operatør.)

Hvis du i stedet vælger at blokere bestemte lande eller kontinenter, skal du indtaste følgende:

  • Felt: Land eller kontinent
  • Operatør: "Er ikke med"
  • Værdi: Vælg de lande eller kontinenter, du vil blokere

Bemærk: denne regel kan give bagslag, hvis du har brug for teknisk support, og din webhosts supportteam er placeret i et land eller en kontinent, som du har blokeret.

Dette vil sandsynligvis ikke være et problem for de fleste mennesker, men det er noget, du bør være opmærksom på.

Her er et eksempel på, hvordan man nægter adgang til dit websted fra et bestemt land, hvor brugere fra dette land får vist en JavaScript-udfordring før du forsøger at få adgang til dit websted.

cloudflare sortliste land

Bloker ondsindede bots

Baseret på deres brugeragent, Cloudflare giver dig mulighed for at blokere adgangen til ondsindede bots, der forsøger at trænge ind på dit websted.

Hvis du allerede bruger 7G, så behøver du ikke bekymre dig om at indstille denne regel: 7G WAF blokerer trusler på serverniveau ved at henvise til en omfattende liste over ondsindede bots.

Men hvis du ikke bruger 7G, du vil konfigurere en firewall-regel, der identificerer og blokerer dårlige bots, før de kan forårsage skade.

Hvorfor og hvordan man blokerer dårlige bots i Cloudflare

Som sædvanlig skal du først gå til dit Cloudflare-dashboard og gå til Sikkerhed > WAF > Opret firewallregel.

cloudflare blokerer dårlige bots

Indstil derefter dit firewall-regeludtryk som sådan:

  • Felt: Brugeragent
  • Operatør: "Svar med" eller "Indeholder"
  • Værdi: navnet på den dårlige bot eller ondsindede agent, du vil blokere

Ligesom med blokerende lande, kan bots blokeres individuelt efter navn. For at blokere mere end én bot på samme tid, brug "ELLER"-indstillingen til højre for at tilføje yderligere bots til listen.

Klik derefter på "Indsætte" knappen, når du er færdig.

Manuel blokering af dårlige bots er dog blevet overflødig, fordi Cloudflare er lanceret "Bot Fight Mode" for alle gratis brugere.

bot fight mode

og "Super Bot Fight Mode" for Pro eller Business plan brugere.

super bot fight mode

Det betyder, at dårlige bots nu blokeres automatisk for alle typer Cloudflare-brugere.

Bloker Brute Force Attacks (wp-login.php)

Brute force-angreb, også kendt som wp-login-angreb, er de mest almindelige angreb rettet mod WordPress websteder. 

Faktisk, hvis du ser på dine serverlogfiler, vil du sandsynligvis finde beviser for sådanne angreb i form af IP-adresser fra forskellige steder rundt om i verden, der forsøger at få adgang til din wp-login.php-fil.

Heldigvis Cloudflare lader dig indstille en firewall-regel til at blokere brute force-angreb.

Hvorfor og hvordan man beskytter wp-login.php i Cloudflare

Selvom de fleste brute force-angreb er automatiserede scanninger, der ikke er kraftige nok til at komme igennem WordPress's forsvar, er det stadig en god idé at sætte en regel for at blokere dem og berolige dit sind.

Imidlertid denne regel virker kun, hvis du er den eneste administrator/bruger på dit websted. Hvis der er mere end én administrator, eller hvis dit websted bruger et medlemskabsplugin, skal du springe denne regel over.

blokere wp-login.php

Gå tilbage til for at oprette denne regel  Sikkerhed > WAF > Opret firewallregel.

Når du har valgt et navn til denne regel, skal du indtaste følgende:

  • Felt: URI-sti
  • Operatør: indeholder
  • Værdi: /wp-login.php

[Handling: Bloker]

Alternativt kan du klikke på "Rediger udtryk" og indsætte nedenstående i:

(http.request.uri.path contains "/wp-login.php")

Når du implementerer reglen, Cloudflare vil begynde at blokere alle forsøg på at få adgang til wp-login, der kommer fra enhver anden kilde end din hvidlistede IP.

Som en ekstra bonus, du kan verificere, at denne beskyttelse er oppe og køre ved at se i Cloudflares Firewall-begivenhedssektion, hvor du burde kunne se en registrering af ethvert forsøg på brute force-angreb.

Bloker XML-RPC-angreb (xmlrpc.php)

En anden lidt mindre almindelig (men stadig farlig) type angreb er en XML-RPC angreb.

XML-RPC er en fjernprocedure, der kalder på WordPress, som angribere potentielt kan målrette mod i et brute force-angreb for at opnå autentificeringsoplysninger.

Hvorfor og hvordan blokeres XML-RPC i Cloudflare

Selvom der er legitime anvendelser for XML-RPC, såsom at sende indhold til flere WordPress blogs samtidigt eller få adgang til din WordPress websted fra en smartphone, kan du generelt implementere denne regel uden at bekymre dig om utilsigtede konsekvenser.

blokere XML-RPC

For at blokere brute force-angreb rettet mod XML-RPC-procedurer skal du først gå til Sikkerhed > WAF > Opret firewallregel.

Opret derefter følgende regel:

  • Felt: URI-sti
  • Operatør: indeholder
  • Værdi: /xmlrpc.php

[Handling: Bloker]

Alternativt kan du klikke på "Rediger udtryk" og indsætte nedenstående i:

(http.request.uri.path contains "/xmlrpc.php")

Og bare sådan, med blot et par enkle trin, har du beskyttet din WordPress websted fra to af de mest almindelige typer af brute force-angreb.

Undgå kommentarspam (wp-comments-post.php)

Hvis du er webmaster, er spam på dit websted blot en af ​​livets irriterende fakta.

Heldigvis Cloudflare Firewall tilbyder flere regler, du kan implementere for at blokere mange almindelige typer spam, herunder kommentarspam.

Hvorfor og hvordan man blokerer wp-comments-post.php i Cloudflare

Hvis kommentarspam er blevet et problem på dit websted (eller endnu bedre, hvis du proaktivt vil forhindre det i at blive et problem), kan du begrænse wp-comments-post.php for at begrænse bottrafik.

Dette gøres på DNS-niveau med en Cloudflare JS udfordring, og måden det fungerer på er relativt simpelt: Spamkommentarer er automatiserede, og automatiserede kilder kan ikke behandle JS.

Så fejler de JS-udfordringen, og voila – spam er blokeret på DNS-niveau, og anmodningen når aldrig din server.

cloudflare blokere wp-comments.php

Så hvordan opretter du denne regel?

Som sædvanligt, gå til siden Sikkerhed > WAF og vælg "Opret firewallregel."

Sørg for at give denne regel et genkendeligt navn, såsom "Kommentarspam".

Indstil derefter følgende:

  • Felt: URI
  • Operatør: Lige til
  • Værdi: wp-comments-post.php

[OG]

  • Felt: Anmodningsmetode
  • Operatør: Lige til
  • Værdi: POST

[OG]

  • Felt: Henviser
  • Operatør: indeholder ikke
  • Værdi: [ditdomæne.com]

[Handling: JS Challenge]

Vær omhyggelig med at indstille handlingen til JS udfordring, da dette vil sikre, at kommentaren blokeres uden at forstyrre generelle brugerhandlinger på siden.

Når du har indtastet disse værdier, klik på "Deploy" for at oprette din regel.

Afslutning: Sådan kan du sikre din WordPress Site med Cloudflare Firewall-regler

I websikkerhedsvåbenkapløbet er Cloudflare firewall-regler et af de mest effektive våben, du har i dit arsenal. 

Selv med en gratis Cloudflare-konto kan du implementere mange forskellige regler for at beskytte din WordPress websted mod nogle af de mest almindelige spam- og malwaretrusler.

Med blot nogle få (for det meste) simple tastetryk kan du øge dit websteds sikkerhed og holde det kørende for besøgende.

For mere om at forbedre din WordPress webstedets sikkerhed, tjek min guide til konvertering WordPress websteder til statisk HTML.

Referencer

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/blog/web-hosting/glossary/what-is-cloudflare/

Om forfatteren

Matt Ahlgren

Mathias Ahlgren er administrerende direktør og grundlægger af Website Rating, der leder et globalt team af redaktører og skribenter. Han har en mastergrad i informationsvidenskab og ledelse. Hans karriere drejede sig om SEO efter tidlige webudviklingserfaringer under universitetet. Med over 15 år inden for SEO, digital marketing og webudvikling. Hans fokus omfatter også webstedssikkerhed, dokumenteret af et certifikat i Cybersikkerhed. Denne mangfoldige ekspertise understøtter hans lederskab ved Website Rating.

WSR Team

"WSR-teamet" er den kollektive gruppe af ekspertredaktører og skribenter med speciale i teknologi, internetsikkerhed, digital markedsføring og webudvikling. De er passionerede omkring det digitale område og producerer gennemarbejdet, indsigtsfuldt og tilgængeligt indhold. Deres engagement i nøjagtighed og klarhed gør Website Rating en pålidelig ressource til at holde sig orienteret i den dynamiske digitale verden.

Hjem » Online Sikkerhed » Sådan sikrer du din WordPress Site med Cloudflare Firewall-regler
Del til...