Kui olete veebihaldur, kes haldab ajaveebi või veebisaiti WordPress, on tõenäoliselt veebiturvalisus üks teie peamisi prioriteete. Kui teie domeen on Cloudflare'i toega, saate seda teha lisama WordPress-spetsiifilised Cloudflare'i tulemüürireeglid saidi turvalisuse parandamiseks ja isegi rünnakute vältimiseks ammu enne, kui need teie serverisse jõuavad.
Kui kasutate Cloudflare'i tasuta paketti, saate lisada 5 reeglit (pro-pakett annab teile 20).
Cloudflare muudab tulemüürireeglite loomise lihtsaks ja kiireks ning iga reegel pakub suurepärast paindlikkust: iga reegliga ei saa mitte ainult palju ära teha, vaid sageli saab reegleid ka koondada, vabastades ruumi veelgi enama tegemiseks.
Käesolevas artiklis vaatlen põhjalikult mõningaid erinevaid tulemüürireegleid, mida saate rakendada, et täiendada ja täiustada WordPress saidi olemasolevad turvaelemendid.
Kokkuvõte: Kuidas kaitsta oma WordPress veebisait Cloudflare'i tulemüüriga
- Cloudflare'i veebirakenduste tulemüür (WAF) on tarkvaratööriist, mis võimaldab teil oma WordPress kodulehel.
- Cloudflare'i tulemüürireeglid võimaldavad teil musta nimekirja või valge nimekirja taotlused vastavalt teie seatud paindlikele kriteeriumidele.
- Et looge omale õhukindel kaitse WordPress siteCloudflare'iga saate: lisada oma IP-aadressi valgesse nimekirja, kaitsta oma administraatoripiirkonda, blokeerida külastajaid piirkonna või riigi järgi, blokeerida pahatahtlikud robotid ja jõhkra jõu rünnakud, blokeerida XML-RPC rünnakud ja vältida kommentaaride rämpsposti.
Lisage oma IP-aadress valgesse nimekirja
Probleemide vältimiseks teel oma veebisaidi IP-aadressi lisamine valgesse loendisse peaks olema teie loendi esimene ülesanne enne lubate kõik tulemüürireeglid.
Miks ja kuidas lisada oma IP-aadress Cloudflare'is valgesse nimekirja
Selle põhjuseks on peamiselt see, et kui otsustate oma veebisaidi blokeerida, võite end oma veebisaidilt lukustada WordPress administraatori ala teistelt.
Veebisaidi IP-aadressi valgesse loendisse lisamiseks minge oma Cloudflare'i armatuurlaua turvalisuse jaotisesse ja valige WAF. Seejärel klõpsake nuppu "Tööriistad" ja sisestage oma IP-aadress väljale "IP-juurdepääsureeglid" ja valige rippmenüüst "valge nimekiri".
Oma IP-aadressi leidmiseks saate teha a Google otsige "mis on minu IP" ja see tagastab teie IPv4-aadressi ja kui vajate oma IPv6-d, võite minna https://www.whatismyip.com/
Pea meeles, et kui teie IP-aadress muutub, peate oma uue IP-aadressi uuesti sisestama/lubatud loendisse, et vältida oma administraatorialast väljapääsu.
Lisaks saidi täpse IP-aadressi lisamisele lubatud loendisse võite lisada ka kogu oma IP-vahemiku valgesse loendisse.
Kui teil on dünaamiline IP-aadress (st IP-aadress, mis on seatud pidevalt veidi muutuma), on see kindlasti teie jaoks parem valik, kuna uute IP-aadresside pidev uuesti sisestamine ja valgesse nimekirja lisamine oleks suur piin.
Te saate ka valgesse nimekirja kogu oma riik.
See on kindlasti kõige vähem turvaline valik, kuna see jätab teie administraatoriala avatuks teie riigist tulevatele rünnakutele.
Kuid kui reisite töö pärast palju ja leiate sageli juurdepääsu oma WordPress saidi erinevate WiFi-ühenduste kaudu, võib teie riigi lisamine lubatud loendisse olla teie jaoks kõige mugavam valik.
Pidage meeles, et kõik IP-aadressid või riigid, mille olete valgesse loendisse lisanud, on vabastatud kõigist muudest tulemüürireeglitest ja seega ei pea te muretsema iga reegli puhul üksikute erandite tegemise pärast.
Kaitsma WordPress Armatuurlaud (WP-administraatori ala)
Nüüd, kui olete oma IP-aadressi ja/või riigi lubatud loendisse lisanud, on aeg et lukustada oma wp-admini armatuurlaud tihedalt, nii et ainult teie pääsete sellele juurde.
Miks ja kuidas kaitsta WordPress Armatuurlaud Cloudflare'is
On ütlematagi selge, et te ei soovi, et tundmatud kõrvalised isikud pääseksid teie administraatorialale juurde ja saaksid muudatusi teha ilma teie teadmata või loata.
Nagu, peate kehtestama tulemüürireegli, mis takistab välist juurdepääsu teie armatuurlauale.
Kuid enne lukustad oma WordPress armatuurlaud, peate tegema kaks olulist erandit.
- /wp-admin/admin-ajax.php. See käsk võimaldab teie veebisaidil kuvada dünaamilist sisu ja seetõttu peavad teatud pistikprogrammid sellele toimimiseks väljastpoolt juurde pääsema. Seega, kuigi see on salvestatud kausta /wp-admin/, peab see olema väljastpoolt juurdepääsetav, kui te ei soovi, et teie veebisait kuvaks külastajatele veateateid.
- /wp-admin/theme-editor.php. See käsk lubab WordPress veakontrolli käivitamiseks iga kord, kui oma saidi teemat muudate või muudate. Kui jätate selle erandina lisamata, siis teie muudatusi ei salvestata ja teile kuvatakse tõrketeade: „Saidiga ei saa saatuslike vigade kontrollimiseks ühendust”.
Tulemüürireegli loomiseks avage esmalt Cloudflare'i armatuurlaual Turvalisus > WAF, seejärel klõpsake nuppu „Loo tulemüüri reegel”.
Nende erandite lisamiseks oma wp-admin armatuurlaua ala kaitsmisel peate looma järgmise reegli:
- Väli: URI tee
- Operaator: sisaldab
- Väärtus: /wp-admin/
[JA]
- Väli: URI tee
- Operaator: ei sisalda
- Väärtus: /wp-admin/admin-ajax.php
[JA]
- Väli: URI tee
- Operaator: ei sisalda
- Väärtus: /wp-admin/theme-editor.php
[Toiming: blokeerimine]
Kui olete valmis, klõpsake "Kasutuselevõtt" tulemüürireegli määramiseks.
Teise võimalusena võite klõpsata valikul "Muuda väljendit" ja kleepida allolevad andmed:
(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")
Blokeeri riigid/kontinendid
Täpselt samamoodi nagu saate oma administraatori juhtpaneelile juurdepääsuks lisada riigi lubatud loendisse.
Te saate ka seadke tulemüüri reegel riikide ja isegi tervete mandrite musta nimekirja lisamiseks teie saidi vaatamise või juurdepääsu eest.
Miks ja kuidas riike/kontinente Cloudflare'is blokeerida
Miks võiksite blokeerida terve riigi või kontinendi juurdepääsu oma saidile?
Noh, kui teie veebisait teenindab teatud riiki või geograafilist piirkonda ega ole globaalselt asjakohane, juurdepääsu blokeerimine asjassepuutumatutest riikidest ja/või kontinentidelt on lihtne viis piirata pahavara rünnakute ja välismaalt tuleva pahatahtliku liikluse ohtu, ilma et see blokeeriks juurdepääsu teie veebisaidi seaduslikule sihtrühmale.
Selle reegli loomiseks peate uuesti avama oma CloudFlare armatuurlaud ja minge aadressile Turvalisus > WAF > Loo tulemüüri reegel.
Seadete muutmiseks, et lubada ainult teatud riike, sisestage järgmine.
- Väli: riik või kontinent
- Operaator: "On sees"
- Väärtus: valige soovitud riigid või mandrid valgesse
(Märkus: kui soovite lubada liiklust ainult ühest riigist, võite operaatoriks sisestada "võrdub".)
Kui otsustate selle asemel teatud riigid või mandrid blokeerida, sisestage järgmine.
- Väli: riik või kontinent
- Operaator: "Pole sees"
- Väärtus: valige soovitud riigid või mandrid blokeerima
Märkus. See reegel võib anda tagasilöögi, kui vajate tehnilist tuge ja teie veebimajutaja tugitiim asub riigis või kontinendil, mille olete blokeerinud.
Tõenäoliselt pole see enamiku inimeste jaoks probleem, kuid see on midagi, mida peaksite teadma.
Siin on näide sellest, kuidas keelata juurdepääs oma saidile teatud riigist, kus kuvatakse selle riigi kasutajatele a JavaScripti väljakutse enne kui proovite oma saidile juurde pääseda.
Blokeeri pahatahtlikud robotid
Nende kasutajaagendi põhjal Cloudflare võimaldab teil blokeerida juurdepääsu pahatahtlikele robotitele, mis üritavad teie saidile tungida.
Kui kasutate juba 7G-d, siis ei pea te selle reegli seadmise pärast muretsema: 7G WAF blokeerib ohud serveri tasemel, viidates pahatahtlike robotite põhjalikule loendile.
Kui te aga 7G-d ei kasuta, soovite konfigureerida tulemüürireegli, mis tuvastab ja blokeerib halvad robotid, enne kui need võivad kahjustada.
Miks ja kuidas Cloudflare'is halbu roboteid blokeerida
Nagu tavaliselt, avage esmalt oma Cloudflare'i armatuurlaud ja minge aadressile Turvalisus > WAF > Loo tulemüüri reegel.
Seejärel määrake tulemüürireegli avaldis järgmiselt:
- Väli: kasutajaagent
- Operaator: "Võrdub" või "Sisaldab"
- Väärtus: halva roboti või pahatahtliku agendi nimi, mille soovite blokeerida
Nii nagu blokeerivate riikide puhul, saab ka roboteid ükshaaval nime järgi blokeerida. Kui soovite korraga blokeerida rohkem kui ühe roboti, kasutage loendisse täiendavate robotite lisamiseks paremal olevat valikut VÕI.
Seejärel klõpsake "Kasutuselevõtt" kui olete lõpetanud.
Halbade robotite käsitsi blokeerimine on aga muutunud üleliigseks, kuna Cloudflare on käivitunud "Bot Fight Mode" kõigile tasuta kasutajatele.
ja “Superbotite võitlusrežiim” Pro või äriplaani kasutajatele.
See tähendab, et halvad robotid blokeeritakse nüüd automaatselt igat tüüpi Cloudflare'i kasutajate jaoks.
Brute Force rünnakute blokeerimine (wp-login.php)
Jõhre jõu rünnakud, tuntud ka kui wp-login rünnakud, on kõige levinumad rünnakud, mille vastu on suunatud WordPress saite.
Tegelikult, kui vaatate oma serveri logisid, leiate tõenäoliselt selliste rünnakute kohta tõendeid IP-aadresside kujul erinevatest kohtadest üle maailma, mis üritavad teie failile wp-login.php juurde pääseda.
Õnneks Cloudflare võimaldab teil määrata tulemüürireegli, et edukalt blokeerida jõhkra jõu rünnakud.
Miks ja kuidas kaitsta wp-login.php-d Cloudflare'is
Kuigi enamik jõhkra jõuga rünnakuid on automaatsed skaneeringud, mis ei ole piisavalt võimsad, et läbida WordPress'i kaitsemehhanisme, on siiski hea mõte kehtestada reegel nende blokeerimiseks ja meele rahustamiseks.
Kuid see reegel töötab ainult siis, kui olete oma saidi ainus administraator/kasutaja. Kui administraatoreid on rohkem kui üks või kui teie sait kasutab liikmelisuse pistikprogrammi, peaksite selle reegli vahele jätma.
Selle reegli loomiseks minge tagasi lehele Turvalisus > WAF > Loo tulemüüri reegel.
Kui olete sellele reeglile nime valinud, sisestage järgmine:
- Väli: URI tee
- Operaator: sisaldab
- Väärtus: /wp-login.php
[Toiming: blokeerimine]
Teise võimalusena võite klõpsata valikul "Muuda väljendit" ja kleepida allolevad andmed:
(http.request.uri.path contains "/wp-login.php")
Kui olete reegli juurutanud, Cloudflare hakkab blokeerima kõik katsed pääseda juurde wp-sisselogimisele, mis pärinevad mis tahes muust allikast peale teie lubatud IP-aadressi.
Lisaboonusena saate kontrollida, kas see kaitse töötab ja töötab, vaadates Cloudflare'i tulemüüri sündmuste jaotist, kus peaksite nägema kõigi jõhkra jõu rünnakukatsete kirjet.
Blokeeri XML-RPC rünnakud (xmlrpc.php)
Teine veidi vähem levinud (kuid siiski ohtlik) ründetüüp on an XML-RPC rünnak.
XML-RPC on kaugprotseduur, mis kutsub sisse WordPress, mille ründajad võivad autentimismandaatide hankimiseks jõhkra jõu rünnaku korral sihtida.
Miks ja kuidas XML-RPC-d Cloudflare'is blokeerida
Kuigi XML-RPC-l on seaduslikke kasutusviise, näiteks sisu postitamine mitmele WordPress ajaveebid samaaegselt või pääsete juurde teie WordPress saidil nutitelefonist, saate selle reegli üldiselt juurutada, muretsemata soovimatute tagajärgede pärast.
XML-RPC protseduuridele suunatud jõhkra jõu rünnakute blokeerimiseks minge esmalt aadressile Turvalisus > WAF > Loo tulemüüri reegel.
Seejärel looge järgmine reegel:
- Väli: URI tee
- Operaator: sisaldab
- Väärtus: /xmlrpc.php
[Toiming: blokeerimine]
Teise võimalusena võite klõpsata valikul "Muuda väljendit" ja kleepida allolevad andmed:
(http.request.uri.path contains "/xmlrpc.php")
Ja just nii, vaid mõne lihtsa sammuga, olete kaitsnud oma WordPress sait kahest kõige levinumast toore jõu rünnakust.
Vältige kommentaaride rämpsposti (wp-comments-post.php)
Kui olete veebihaldur, on teie saidil olev rämpspost vaid üks tüütuid fakte elus.
Õnneks Cloudflare'i tulemüür pakub mitmeid reegleid, mida saate kasutada paljude levinud rämpsposti tüüpide blokeerimiseks, sealhulgas kommentaaride rämpspost.
Miks ja kuidas blokeerida wp-comments-post.php Cloudflare'is
Kui kommentaaride rämpspost on teie saidil muutunud probleemiks (või veel parem, kui soovite ennetavalt selle probleemiks muutumist vältida), saate piirata faili wp-comments-post.php, et piirata robotiliiklust.
Seda tehakse DNS-i tasemel Cloudflare'iga JS väljakutse, ja selle toimimisviis on suhteliselt lihtne: rämpspostikommentaarid on automatiseeritud ja automatiseeritud allikad ei saa JS-i töödelda.
Seejärel ebaõnnestuvad nad JS-i väljakutses ja voila - rämpspost on DNS-i tasemel blokeeritud ja päring ei jõua kunagi isegi teie serverisse.
Niisiis, kuidas seda reeglit luua?
Nagu tavaliselt, minge lehele Turvalisus > WAF ja valige "Loo tulemüüri reegel".
Andke sellele reeglile kindlasti äratuntav nimi, näiteks "Kommentaaride rämpspost".
Seejärel määrake järgmine:
- Väli: URI
- Operaator: Võrdne
- Väärtus: wp-comments-post.php
[JA]
- Väli: Taotluse meetod
- Operaator: Võrdne
- Väärtus: POST
[JA]
- Väli: viitaja
- Operaator: ei sisalda
- Väärtus: [teiedomeen.com]
[Tegevus: JS väljakutse]
Olge toimingu seadistamisel ettevaatlik JS väljakutse, kuna see tagab kommentaari blokeerimise, ilma et see segaks kasutaja üldisi toiminguid saidil.
Kui olete need väärtused sisestanud, klõpsake oma reegli loomiseks nuppu „Juuvita”.
Kokkuvõte: kuidas saate oma turvalisust kaitsta WordPress Cloudflare'i tulemüürireeglitega sait
Veebiturbe võidurelvastumises on Cloudflare'i tulemüürireeglid üks tõhusamaid relvi, mis teie arsenalis on.
Isegi tasuta Cloudflare'i kontoga saate oma kaitsmiseks juurutada palju erinevaid reegleid WordPress saidi kõige levinumate rämpsposti- ja pahavaraohtude vastu.
Vaid mõne (enamasti) lihtsa klahvivajutusega saate oma saidi turvalisust tõsta ja et see külastajate jaoks sujuvalt toimiks.
Lisateavet oma täiustamise kohta WordPress saidi turvalisus, vaadake minu juhend teisendamiseks WordPress saidid staatilisele HTML-ile.
viited
https://developers.cloudflare.com/firewall/
https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/
https://www.websiterating.com/blog/web-hosting/glossary/what-is-cloudflare/