چگونه خود را ایمن کنیم WordPress سایت با قوانین فایروال Cloudflare

اگر یک وب مستر هستید که یک وبلاگ یا وب سایت را در آن اجرا می کنید WordPress، به احتمال زیاد امنیت وب یکی از اولویت های اصلی شماست. تا زمانی که دامنه شما با Cloudflare فعال باشد، می توانید اضافه کردن WordPressقوانین فایروال Cloudflare خاص برای بهبود امنیت سایت خود و حتی جلوگیری از حملات بسیار قبل از ورود به سرور شما.

اگر از طرح رایگان Cloudflare استفاده می کنید، می توانید 5 قانون اضافه کنید (طرح حرفه ای 20 قانون را به شما می دهد). 

Cloudflare ایجاد قوانین فایروال را آسان و سریع می کند و هر قانون انعطاف پذیری فوق العاده ای را ارائه می دهد: نه تنها با هر قانون می توانید کارهای زیادی انجام دهید، بلکه قوانین اغلب می توانند ادغام شوند و فضای بیشتری را برای انجام کارهای بیشتر آزاد کنید.

در این مقاله، من نگاهی عمیق به برخی از قوانین مختلف فایروال که می‌توانید برای تکمیل و ارتقای خود اعمال کنید، می‌اندازم. WordPress ویژگی های امنیتی موجود سایت

خلاصه: چگونه از خود محافظت کنیم WordPress وب سایت با فایروال Cloudflare

• فایروال برنامه وب Cloudflare (WAF) یک ابزار نرم افزاری است که به شما امکان می دهد از خود محافظت کنید WordPress وب سایت. 
• قوانین فایروال Cloudflare به شما اجازه می دهد لیست سیاه یا درخواست های لیست سفید با توجه به معیارهای انعطاف پذیری که شما تعیین کرده اید. 
• به محافظت هوادهی برای خود ایجاد کنید WordPress سایتبا Cloudflare می‌توانید: آدرس IP خود را در لیست سفید قرار دهید، از ناحیه مدیریت خود محافظت کنید، بازدیدکنندگان را بر اساس منطقه یا کشور مسدود کنید، ربات‌های مخرب و حملات brute force را مسدود کنید، حملات XML-RPC را مسدود کنید و از اسپم نظرات جلوگیری کنید.

آدرس IP خود را در لیست سفید قرار دهید

برای جلوگیری از مشکلات در مسیر، قرار دادن آدرس IP وب سایت خود در لیست سفید باید اولین کار در لیست شما باشد قبل از شما هر قانون فایروال را فعال می کنید.

چرا و چگونه آدرس IP خود را در Cloudflare در لیست سفید قرار دهید

این در درجه اول به این دلیل است که اگر بخواهید وب سایت خود را مسدود کنید، ممکن است خود را از دسترسی به وب سایت خود قفل کنید WordPress بخش مدیریت از دیگران

برای لیست سفید آدرس IP وب سایت خود، به بخش امنیت داشبورد Cloudflare بروید و «WAF» را انتخاب کنید. سپس روی "ابزارها" کلیک کنید و آدرس IP خود را در کادر "قوانین دسترسی IP" وارد کنید و از منوی کشویی "لیست سفید" را انتخاب کنید.

برای پیدا کردن آدرس IP خود می توانید یک کار انجام دهید Google "What's My IP" را جستجو کنید و آدرس IPv4 شما را برمی گرداند و اگر به IPv6 خود نیاز دارید، می توانید به آدرس https://www.whatismyip.com/

به یاد داشته باشید که اگر آدرس IP شما تغییر کند، باید آدرس IP جدید خود را دوباره وارد کنید/فهرست سفید کنید تا از قفل شدن در ناحیه مدیریت خود جلوگیری کنید.

علاوه بر قرار دادن آدرس IP دقیق سایت خود در لیست سفید، همچنین می توانید کل محدوده IP خود را در لیست سفید قرار دهید.

اگر یک آدرس IP پویا دارید (یعنی یک آدرس IP که به طور مداوم کمی تغییر می کند)، مطمئناً این گزینه برای شما بهتر است، زیرا وارد کردن مداوم آدرس های IP جدید و قرار دادن آنها در لیست سفید دردسر بزرگی خواهد بود.

شما نیز می توانید کل کشور خود را در لیست سفید قرار دهید 

این قطعاً کم‌ایمن‌ترین گزینه است زیرا به طور بالقوه منطقه مدیریت شما را برای حملاتی که از داخل کشور شما وارد می‌شوند باز می‌گذارد.

با این حال، اگر برای کار زیاد سفر می کنید و اغلب می بینید که به شما دسترسی دارید WordPress سایت از اتصالات Wi-Fi مختلف، قرار دادن کشور شما در لیست سفید ممکن است راحت ترین گزینه برای شما باشد.

به خاطر داشته باشید که هر آدرس IP یا کشوری که در لیست سفید قرار داده اید از سایر قوانین فایروال مستثنی می شود و بنابراین لازم نیست نگران تعیین استثناهای جداگانه برای هر قانون باشید.

حفاظت از WordPress داشبورد (منطقه WP-Admin)

اکنون که آدرس IP و/یا کشور خود را در لیست سفید قرار داده اید، زمان آن فرا رسیده است تا داشبورد wp-admin خود را محکم قفل کنید تا فقط شما بتوانید به آن دسترسی داشته باشید.

چرا و چگونه از آن محافظت کنیم WordPress داشبورد در Cloudflare

ناگفته نماند که نمی خواهید افراد خارجی ناشناخته بتوانند بدون اطلاع یا اجازه شما به بخش مدیریت شما دسترسی داشته باشند و تغییراتی را ایجاد کنند.

همینطور، شما باید یک قانون فایروال ایجاد کنید که از دسترسی خارجی به داشبورد شما جلوگیری کند.

با این حال، قبل از شما خود را قفل می کنید WordPress داشبورد، شما باید دو استثنا مهم قائل شوید.

1. /wp-admin/admin-ajax.php. این دستور به وب سایت شما اجازه می دهد تا محتوای پویا را نمایش دهد و بنابراین برای عملکرد باید از خارج توسط پلاگین های خاصی به آن دسترسی داشته باشید. به این ترتیب، حتی اگر در پوشه /wp-admin/ ذخیره می شود، اگر نمی خواهید وب سایت شما پیام های خطا را برای بازدیدکنندگان نمایش دهد، باید از بیرون قابل دسترسی باشد.
2. /wp-admin/theme-editor.php. این دستور فعال می کند WordPress هر بار که تم سایت خود را تغییر می دهید یا ویرایش می کنید، یک بررسی خطا انجام دهید. اگر از اضافه کردن این مورد به عنوان استثنا غافل شوید، تغییرات شما ذخیره نمی‌شوند و یک پیام خطایی دریافت خواهید کرد که به این مضمون می‌گوید: «نمی‌توان با سایت ارتباط برقرار کرد تا خطاهای مهلک را بررسی کند.»

برای ایجاد یک قانون فایروال، ابتدا به Security > WAF در داشبورد Cloudflare خود بروید، سپس بر روی دکمه "ایجاد قانون فایروال" کلیک کنید.

برای افزودن این استثناها هنگام محافظت از ناحیه داشبورد wp-admin خود، باید این قانون را ایجاد کنید:

• فیلد: مسیر URI
• اپراتور: شامل
• مقدار: /wp-admin/

[و]

• فیلد: مسیر URI
• اپراتور: شامل نمی شود
• مقدار: /wp-admin/admin-ajax.php

[و]

• فیلد: مسیر URI
• اپراتور: شامل نمی شود
• مقدار: /wp-admin/theme-editor.php

[عمل: مسدود کردن]

پس از پایان کار ، کلیک کنید "استقرار" برای تنظیم قانون فایروال خود

همچنین، می‌توانید روی «ویرایش عبارت» کلیک کنید و موارد زیر را در آن قرار دهید:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

کشورها / قاره ها را مسدود کنید

درست مانند اینکه می توانید یک کشور را برای دسترسی به داشبورد مدیریت خود در لیست سفید قرار دهید.

شما نیز می توانید یک قانون فایروال برای لیست سیاه کشورها و حتی کل قاره ها از مشاهده یا دسترسی به سایت شما تنظیم کنید.

چرا و چگونه کشورها/قاره ها را در Cloudflare مسدود کنیم

چرا ممکن است بخواهید کل یک کشور یا قاره را از دسترسی به سایت خود مسدود کنید؟

خوب، اگر وب سایت شما به یک کشور یا منطقه جغرافیایی خاصی خدمات رسانی می کند و در سطح جهانی مرتبط نیست، پس مسدود کردن دسترسی از کشورها و/یا قاره‌های نامربوط راهی آسان برای محدود کردن خطر حملات بدافزار و ترافیک مخربی است که از خارج از کشور وارد می‌شود، بدون اینکه دسترسی به مخاطبان هدف قانونی وب‌سایت خود را مسدود کنید.

برای ایجاد این قانون، یک بار دیگر باید داشبورد Cloudflare خود را باز کنید و به آن بروید امنیت > WAF > ایجاد قانون فایروال.

برای تغییر تنظیمات به گونه ای که فقط کشورهای خاصی مجاز باشند، موارد زیر را وارد کنید:

• زمینه: کشور یا قاره
• اپراتور: "در است"
• ارزش: کشورها یا قاره هایی را که می خواهید انتخاب کنید لیست سفید

(توجه: اگر می خواهید ترافیک فقط از یک کشور مجاز باشد، می توانید "برابر" را به عنوان اپراتور وارد کنید.)

اگر تصمیم گرفتید به جای آن کشورها یا قاره های خاصی را مسدود کنید، موارد زیر را وارد کنید:

• زمینه: کشور یا قاره
• اپراتور: "در نیست"
• ارزش: کشورها یا قاره هایی را که می خواهید انتخاب کنید مسدود کردن

توجه: اگر به پشتیبانی فنی نیاز دارید و تیم پشتیبانی میزبان وب شما در کشور یا قاره‌ای که مسدود کرده‌اید قرار دارد، ممکن است این قانون نتیجه معکوس داشته باشد.

این احتمالاً برای اکثر مردم مشکلی ایجاد نخواهد کرد، اما چیزی است که باید از آن آگاه باشید.

در اینجا مثالی از نحوه عدم دسترسی به سایت شما از یک کشور خاص، که در آن کاربران این کشور نشان داده می شوند، آمده است چالش جاوا اسکریپت قبل از تلاش برای دسترسی به سایت خود

ربات های مخرب را مسدود کنید

بر اساس عامل کاربر آنها، Cloudflare شما را قادر می سازد دسترسی به ربات های مخربی را که قصد نفوذ به سایت شما را دارند مسدود کنید.

اگر قبلاً از 7G استفاده می‌کنید، دیگر لازم نیست نگران تنظیم این قانون باشید: 7G WAF با مراجعه به فهرست جامعی از ربات‌های مخرب، تهدیدات را در سطح سرور مسدود می‌کند.

با این حال، اگر از 7G استفاده نمی کنید، شما می خواهید یک قانون فایروال را پیکربندی کنید که ربات های بد را قبل از اینکه آسیبی وارد کنند شناسایی و مسدود می کند.

چرا و چگونه ربات های بد را در Cloudflare مسدود کنیم

طبق معمول ابتدا به داشبورد Cloudflare خود بروید و به امنیت > WAF > ایجاد قانون فایروال.

سپس عبارت قانون فایروال خود را به این صورت تنظیم کنید:

• زمینه: عامل کاربر
• اپراتور: "برابر" یا "شامل"
• مقدار: نام ربات بد یا عامل مخربی که می خواهید مسدود کنید

درست مانند کشورهای مسدود کننده، ربات ها را می توان به صورت جداگانه با نام مسدود کرد. برای مسدود کردن بیش از یک ربات به طور همزمان، از گزینه "OR" در سمت راست استفاده کنید تا ربات های اضافی را به لیست اضافه کنید.

سپس روی آن کلیک کنید "استقرار" دکمه که تمام شد

با این حال، مسدود کردن دستی ربات‌های بد به دلیل راه‌اندازی Cloudflare، اضافی شده است "حالت مبارزه با ربات" برای همه کاربران رایگان

و "حالت مسابقه سوپر ربات" برای کاربران حرفه ای یا طرح کسب و کار.

به این معنی که ربات های بد اکنون به طور خودکار برای همه انواع کاربران Cloudflare مسدود می شوند.

مسدود کردن حملات Brute Force (wp-login.php)

حملات Brute Force، همچنین به عنوان حملات wp-login شناخته می شوند، رایج ترین حملاتی هستند که هدف آنها قرار می گیرد WordPress سایت های. 

در واقع، اگر به گزارش‌های سرور خود نگاه کنید، احتمالاً شواهدی از چنین حملاتی را در قالب آدرس‌های IP از مکان‌های مختلف در سراسر جهان در تلاش برای دسترسی به فایل wp-login.php خواهید یافت.

خوشبختانه، Cloudflare به شما امکان می دهد یک قانون فایروال تنظیم کنید تا با موفقیت از حملات brute force جلوگیری کنید.

چرا و چگونه از wp-login.php در Cloudflare محافظت کنیم

اگرچه بیشتر حملات brute force اسکن‌های خودکاری هستند که برای عبور از آن به اندازه کافی قدرتمند نیستند WordPressبا دفاعیات، هنوز هم ایده خوبی است که قاعده ای برای جلوگیری از آنها وضع کنید و خیال خود را راحت کنید.

با این حال، این قانون فقط در صورتی کار می کند که شما تنها مدیر/کاربر سایت خود باشید. اگر بیش از یک مدیر وجود دارد، یا اگر سایت شما از افزونه عضویت استفاده می کند، باید از این قانون صرف نظر کنید.

برای ایجاد این قانون، برگردید به  امنیت > WAF > ایجاد قانون فایروال.

پس از انتخاب نام برای این قانون، موارد زیر را وارد کنید:

• فیلد: مسیر URI
• اپراتور: شامل
• مقدار: /wp-login.php

[عمل: مسدود کردن]

همچنین، می‌توانید روی «ویرایش عبارت» کلیک کنید و موارد زیر را در آن قرار دهید:

(http.request.uri.path contains "/wp-login.php")

وقتی قانون را اجرا کردید، Cloudflare شروع به مسدود کردن تمام تلاش‌ها برای دسترسی به wp-login می‌کند که از هر منبعی غیر از IP لیست سفید شما می‌آیند.

به عنوان یک جایزه اضافی ، با نگاه کردن به بخش رویدادهای فایروال Cloudflare، می توانید تأیید کنید که این محافظت فعال است. جایی که شما باید بتوانید رکوردی از هرگونه تلاش برای حملات brute force را مشاهده کنید.

مسدود کردن حملات XML-RPC (xmlrpc.php)

نوع دیگری از حمله کمی کمتر رایج (اما هنوز خطرناک) حمله است حمله XML-RPC

XML-RPC یک رویه از راه دور است که فراخوانی می کند WordPress، که مهاجمان به طور بالقوه می توانند در یک حمله brute force برای به دست آوردن اعتبار احراز هویت هدف قرار دهند.

چرا و چگونه XML-RPC را در Cloudflare مسدود کنیم

اگرچه استفاده های قانونی برای XML-RPC وجود دارد، مانند ارسال محتوا به چندگانه WordPress وبلاگ ها به طور همزمان یا دسترسی به شما WordPress سایت از گوشی هوشمند، به طور کلی می توانید این قانون را بدون نگرانی در مورد عواقب ناخواسته اجرا کنید.

برای جلوگیری از حملات brute force که رویه های XML-RPC را هدف قرار می دهند، ابتدا به این آدرس بروید امنیت > WAF > ایجاد قانون فایروال.

سپس قانون زیر را ایجاد کنید:

• فیلد: مسیر URI
• اپراتور: شامل
• مقدار: /xmlrpc.php

[عمل: مسدود کردن]

همچنین، می‌توانید روی «ویرایش عبارت» کلیک کنید و موارد زیر را در آن قرار دهید:

(http.request.uri.path contains "/xmlrpc.php")

و درست مانند آن، تنها با چند مرحله ساده، از خود محافظت کرده اید WordPress سایت از دو مورد از رایج ترین انواع حملات brute force.

جلوگیری از اسپم نظرات (wp-comments-post.php)

اگر یک وب مستر هستید، هرزنامه در سایت شما تنها یکی از حقایق آزاردهنده زندگی است.

خوشبختانه، فایروال Cloudflare چندین قانون ارائه می دهد که می توانید برای مسدود کردن بسیاری از انواع رایج هرزنامه ها اعمال کنید، از جمله هرزنامه نظرات.

چرا و چگونه wp-comments-post.php را در Cloudflare مسدود کنیم

اگر هرزنامه نظرات در سایت شما به یک مشکل تبدیل شده است (یا بهتر است بگوییم اگر می خواهید به طور فعال از مشکل ساز شدن آن جلوگیری کنید)، می توانید wp-comments-post.php را برای محدود کردن ترافیک ربات محدود کنید.

این کار در سطح DNS با یک Cloudflare انجام می شود چالش JS، و روش کار نسبتاً ساده است: نظرات هرزنامه خودکار هستند و منابع خودکار نمی توانند JS را پردازش کنند.

سپس آنها در چالش JS شکست می خورند، و voila - هرزنامه در سطح DNS مسدود می شود و درخواست هرگز حتی به سرور شما نمی رسد.

بنابراین، چگونه این قانون را ایجاد می کنید؟

به طور معمول، به صفحه Security > WAF بروید و "Create Firewall Rule" را انتخاب کنید.

مطمئن شوید که به این قانون یک نام قابل تشخیص داده اید، مانند «هرزنامه نظر».

سپس موارد زیر را تنظیم کنید:

• زمینه: URI
• اپراتور: برابر است
• مقدار: wp-comments-post.php

[و]

• زمینه: روش درخواست
• اپراتور: برابر است
• ارزش: POST

[و]

• زمینه: مرجع
• اپراتور: شامل نمی شود
• ارزش: [yourdomain.com]

[عمل: چالش JS]

مراقب باشید که عمل را روی تنظیم کنید چالش JS، زیرا با این کار مطمئن می شوید که نظر بدون تداخل با اقدامات کلی کاربر در سایت مسدود می شود.

وقتی این مقادیر را وارد کردید، برای ایجاد قانون خود، روی "Deploy" کلیک کنید.

جمع بندی: چگونه می توانید خود را ایمن کنید WordPress سایت با قوانین فایروال Cloudflare

در مسابقه تسلیحاتی امنیت وب، قوانین فایروال Cloudflare یکی از موثرترین سلاح هایی است که در زرادخانه خود دارید. 

حتی با یک حساب رایگان Cloudflare، می توانید قوانین مختلفی را برای محافظت از خود اعمال کنید WordPress سایت در برابر برخی از رایج ترین تهدیدات هرزنامه و بدافزار.

تنها با چند ضربه (بیشتر) ساده، می توانید امنیت سایت خود را افزایش دهید و آن را برای بازدیدکنندگان روان نگه دارید.

برای اطلاعات بیشتر در مورد بهبود خود WordPress امنیت سایت، من را بررسی کنید راهنمای تبدیل WordPress سایت ها به HTML ایستا.

منابع

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/