Comment sécuriser votre WordPress Site avec règles de pare-feu Cloudflare

Écrit par Matt Ahlgren et édité et vérifié par Équipe WSR By Matt Ahlgren & édité par Équipe WSR

in Sécurité en ligne, WordPress

Si vous êtes un webmaster qui gère un blog ou un site Web sur WordPress, il y a de fortes chances que la sécurité Web soit l'une de vos principales priorités. Tant que votre domaine est compatible avec Cloudflare, vous pouvez ajouter WordPress-règles de pare-feu Cloudflare spécifiques pour améliorer la sécurité de votre site et même prévenir les attaques bien avant qu'elles n'atteignent votre serveur.

Si vous utilisez le forfait gratuit de Cloudflare, vous avez la possibilité d'ajouter 5 règles (le forfait pro vous en donne 20). 

Cloudflare facilite et accélère la création de règles de pare-feu, et chaque règle offre une flexibilité impressionnante : non seulement vous pouvez faire beaucoup avec chaque règle, mais les règles peuvent souvent être consolidées, libérant ainsi de l'espace pour que vous puissiez en faire encore plus.

règles de pare-feu cloudflare

Dans cet article, j'examinerai en détail certaines des différentes règles de pare-feu que vous pourriez appliquer pour compléter et améliorer votre WordPress fonctionnalités de sécurité existantes du site.

Résumé : Comment protéger votre WordPress site Web avec pare-feu Cloudflare

  • Pare-feu d'application Web (WAF) de Cloudflare est un outil logiciel qui vous permet de protéger votre WordPress en ligne. 
  • Les règles de pare-feu Cloudflare vous permettent demandes de liste noire ou de liste blanche selon des critères flexibles que vous définissez. 
  • À créer une protection hermétique pour votre WordPress site, avec Cloudflare, vous pouvez : ajouter votre propre adresse IP à la liste blanche, protéger votre zone d'administration, bloquer les visiteurs par région ou par pays, bloquer les robots malveillants et les attaques par force brute, bloquer les attaques XML-RPC et empêcher le spam de commentaires.

Ajoutez votre propre adresse IP à la liste blanche

Pour éviter les problèmes en cours de route, la mise en liste blanche de l'adresse IP de votre propre site Web devrait être la première tâche de votre liste before vous activez toutes les règles de pare-feu.

Pourquoi et comment ajouter votre adresse IP à la liste blanche dans Cloudflare

C'est principalement parce que vous pourriez vous retrouver exclu de votre propre site Web si vous choisissez de bloquer votre WordPress zone d'administration des autres.

Pour ajouter l'adresse IP de votre site Web à la liste blanche, accédez à la section Sécurité de votre tableau de bord Cloudflare et sélectionnez « WAF ». Cliquez ensuite sur "Outils" et entrez votre adresse IP dans la case "Règles d'accès IP", puis choisissez "liste blanche" dans le menu déroulant.

liste blanche de cloudflare propre adresse IP

Pour trouver votre adresse IP, vous pouvez faire un Google recherchez "quelle est mon IP" et il renverra votre adresse IPv4, et si vous avez besoin de votre IPv6, vous pouvez aller à https://www.whatismyip.com/

Rappelez-vous que si votre adresse IP change, vous devrez ressaisir/mettre sur liste blanche votre nouvelle adresse IP pour éviter d'être bloqué hors de votre zone d'administration.

En plus de mettre en liste blanche l'adresse IP exacte de votre site, vous pouvez également choisir de mettre sur liste blanche toute votre plage d'adresses IP.

Si vous avez une adresse IP dynamique (c'est-à-dire une adresse IP qui est configurée pour changer légèrement en permanence), c'est certainement le meilleur choix pour vous, car la rentrée et la liste blanche constantes de nouvelles adresses IP seraient très pénibles.

Vous pouvez aussi vous liste blanche de tout votre pays. 

C'est certainement l'option la moins sécurisée car elle laisse potentiellement votre zone d'administration ouverte aux attaques provenant de votre pays.

Toutefois, si vous voyagez beaucoup pour le travail et que vous vous retrouvez souvent à accéder à votre WordPress site à partir de différentes connexions Wi-Fi, la liste blanche de votre pays peut être l'option la plus pratique pour vous.

Gardez à l'esprit que toute adresse IP ou pays que vous avez ajouté à la liste blanche sera exempté de toutes les autres règles de pare-feu, et vous n'avez donc pas à vous soucier de définir des exceptions individuelles avec chaque règle.

Protéger WordPress Tableau de bord (la zone WP-Admin)

Maintenant que vous avez ajouté votre adresse IP et/ou votre pays à la liste blanche, il est temps pour verrouiller étroitement votre tableau de bord wp-admin afin que vous seul puissiez y accéder.

Pourquoi et comment protéger le WordPress Tableau de bord dans Cloudflare

Il va sans dire que vous ne voulez pas que des étrangers inconnus puissent accéder à votre zone d'administration et apporter des modifications à votre insu ou sans votre permission.

En tant que tel, vous devrez créer une règle de pare-feu qui empêche l'accès extérieur à votre tableau de bord.

Toutefois, before vous verrouillez votre WordPress tableau de bord, vous devrez faire deux exceptions importantes.

  1. /wp-admin/admin-ajax.php. Cette commande permet à votre site Web d'afficher du contenu dynamique et doit donc être accessible de l'extérieur par certains plugins pour fonctionner. En tant que tel, même s'il est stocké dans le dossier /wp-admin/, il doit être accessible de l'extérieur si vous ne voulez pas que votre site Web affiche des messages d'erreur aux visiteurs.
  2. /wp-admin/theme-editor.php. Cette commande permet WordPress pour exécuter une vérification des erreurs chaque fois que vous modifiez ou modifiez le thème de votre site. Si vous omettez de l'ajouter comme exception, vos modifications ne seront pas enregistrées et vous recevrez un message d'erreur indiquant "Impossible de communiquer avec le site pour vérifier les erreurs fatales".

Pour créer une règle de pare-feu, allez d'abord dans Sécurité > WAF dans votre tableau de bord Cloudflare, puis cliquez sur le bouton « Créer une règle de pare-feu ».

cloudflare protège le tableau de bord wp-admin

Pour ajouter ces exceptions lors de la protection de votre zone de tableau de bord wp-admin, vous devrez créer cette règle :

  • Champ : chemin URI
  • Opérateur : contient
  • Valeur : /wp-admin/

[ET]

  • Champ : chemin URI
  • Opérateur : ne contient pas
  • Valeur : /wp-admin/admin-ajax.php

[ET]

  • Champ : chemin URI
  • Opérateur : ne contient pas
  • Valeur : /wp-admin/theme-editor.php

[Action : Bloquer]

Lorsque vous avez terminé, cliquez "Déployer" pour définir votre règle de pare-feu.

Alternativement, vous pouvez cliquer sur "Modifier l'expression" et coller ce qui suit dans :

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Bloquer les pays/continents

Tout comme vous pouvez ajouter un pays à la liste blanche pour accéder à votre tableau de bord d'administration.

Vous pouvez aussi vous définissez une règle de pare-feu pour mettre sur liste noire des pays et même des continents entiers pour qu'ils ne voient pas ou n'accèdent pas à votre site.

Pourquoi et comment bloquer des pays/continents dans Cloudflare

Pourquoi voudriez-vous empêcher un pays ou un continent entier d'accéder à votre site ?

Eh bien, si votre site Web dessert un pays ou une région géographique en particulier et n'est pas pertinent à l'échelle mondiale, alors bloquer l'accès depuis des pays et/ou continents non pertinents est un moyen simple de limiter le risque d'attaques de logiciels malveillants et de trafic malveillant provenant de l'étranger, sans jamais bloquer l'accès au public cible légitime de votre site Web.

Pour créer cette règle, vous devrez à nouveau ouvrir votre tableau de bord Cloudflare et accéder à Sécurité > WAF > Créer une règle de pare-feu.

Pour modifier les paramètres afin d'autoriser uniquement certains pays, saisissez ce qui suit :

  • Champ : Pays ou Continent
  • Opérateur : "Est dans"
  • Valeur : Choisissez les pays ou continents que vous souhaitez whitelist

(Remarque : si vous souhaitez autoriser le trafic à partir d'un seul pays, vous pouvez saisir "égal à" comme opérateur.)

Si vous choisissez de bloquer des pays ou des continents spécifiques à la place, saisissez ce qui suit :

  • Champ : Pays ou Continent
  • Opérateur : "N'est pas dans"
  • Valeur : Choisissez les pays ou continents que vous souhaitez bloc

Remarque : cette règle peut se retourner contre vous si vous avez besoin d'une assistance technique et que l'équipe d'assistance de votre hébergeur est située dans un pays ou un continent que vous avez bloqué.

Ce ne sera probablement pas un problème pour la plupart des gens, mais c'est quelque chose dont vous devez être conscient.

Voici un exemple de comment refuser l'accès à votre site à partir d'un certain pays, où les utilisateurs de ce pays voient un Défi JavaScript avant d'essayer d'accéder à votre site.

pays de la liste noire de cloudflare

Bloquer les robots malveillants

En fonction de leur agent utilisateur, Cloudflare vous permet de bloquer l'accès aux robots malveillants qui tentent de pénétrer votre site.

Si vous utilisez déjà la 7G, vous n'avez pas à vous soucier de définir cette règle : le WAF 7G bloque les menaces au niveau du serveur en se référant à une liste complète de bots malveillants.

Cependant, si vous n'utilisez pas la 7G, vous voudrez configurer une règle de pare-feu qui identifie et bloque les mauvais bots avant qu'ils ne causent des dommages.

Pourquoi et comment bloquer les bad bots dans Cloudflare

Comme d'habitude, accédez d'abord à votre tableau de bord Cloudflare et accédez à Sécurité > WAF > Créer une règle de pare-feu.

cloudflare bloque les mauvais bots

Ensuite, définissez votre expression de règle de pare-feu comme suit :

  • Champ : Agent utilisateur
  • Opérateur : "Égal à" ou "Contient"
  • Valeur : le nom du bot malveillant ou de l'agent malveillant que vous souhaitez bloquer

Tout comme pour les pays bloquants, les bots peuvent être bloqués individuellement par leur nom. Pour bloquer plus d'un bot en même temps, utilisez l'option "OU" à droite pour ajouter des bots supplémentaires à la liste.

Puis cliquez sur le "Déployer" bouton lorsque vous avez terminé.

Cependant, le blocage manuel des mauvais bots est devenu redondant depuis le lancement de Cloudflare "Mode de combat de robots" pour tous les utilisateurs gratuits.

mode de combat de bot

ainsi que le "Mode de combat Super Bot" pour les utilisateurs du plan Pro ou Business.

mode de combat super bot

Cela signifie que les mauvais bots sont désormais bloqués automatiquement pour tous les types d'utilisateurs de Cloudflare.

Bloquer les attaques par force brute (wp-login.php)

Les attaques par force brute, également connues sous le nom d'attaques wp-login, sont les attaques les plus courantes visant à WordPress sites. 

En fait, si vous regardez les journaux de votre serveur, vous trouverez probablement des preuves de telles attaques sous la forme d'adresses IP provenant de différents endroits dans le monde essayant d'accéder à votre fichier wp-login.php.

Heureusement, Cloudflare vous permet de définir une règle de pare-feu pour bloquer avec succès les attaques par force brute.

Pourquoi et comment protéger wp-login.php dans Cloudflare

Bien que la plupart des attaques par force brute soient des analyses automatisées qui ne sont pas assez puissantes pour passer WordPress, c'est quand même une bonne idée de se fixer une règle pour les bloquer et se rassurer.

Toutefois, cette règle ne fonctionne que si vous êtes le seul administrateur/utilisateur de votre site. S'il y a plus d'un administrateur, ou si votre site utilise un plugin d'adhésion, vous devez ignorer cette règle.

bloquer wp-login.php

Pour créer cette règle, revenez à  Sécurité > WAF > Créer une règle de pare-feu.

Après avoir choisi un nom pour cette règle, saisissez ce qui suit :

  • Champ : chemin URI
  • Opérateur : contient
  • Valeur : /wp-login.php

[Action : Bloquer]

Alternativement, vous pouvez cliquer sur "Modifier l'expression" et coller ce qui suit dans :

(http.request.uri.path contains "/wp-login.php")

Une fois la règle déployée, Cloudflare commencera à bloquer toutes les tentatives d'accès à wp-login provenant de toute source autre que votre adresse IP sur liste blanche.

En prime, vous pouvez vérifier que cette protection est opérationnelle en consultant la section Firewall Events de Cloudflare, où vous devriez pouvoir voir un enregistrement de toute tentative d'attaque par force brute.

Bloquer les attaques XML-RPC (xmlrpc.php)

Un autre type d'attaque un peu moins courant (mais tout de même dangereux) est un Attaque XML-RPC.

XML-RPC est une procédure distante faisant appel à WordPress, que les attaquants peuvent potentiellement cibler lors d'une attaque par force brute pour obtenir des identifiants d'authentification.

Pourquoi et comment bloquer XML-RPC dans Cloudflare

Bien qu'il existe des utilisations légitimes pour XML-RPC, telles que la publication de contenu sur plusieurs WordPress blogs simultanément ou en accédant à votre WordPress site depuis un smartphone, vous pouvez généralement déployer cette règle sans vous soucier des conséquences imprévues.

bloc XML-RPC

Pour bloquer les attaques par force brute ciblant les procédures XML-RPC, accédez d'abord à Sécurité > WAF > Créer une règle de pare-feu.

Créez ensuite la règle suivante :

  • Champ : chemin URI
  • Opérateur : contient
  • Valeur : /xmlrpc.php

[Action : Bloquer]

Alternativement, vous pouvez cliquer sur "Modifier l'expression" et coller ce qui suit dans :

(http.request.uri.path contains "/xmlrpc.php")

Et juste comme ça, en quelques étapes simples, vous protégez votre WordPress site contre deux des types d'attaques par force brute les plus courants.

Empêcher le spam de commentaires (wp-comments-post.php)

Si vous êtes un webmaster, le spam sur votre site n'est qu'un des faits ennuyeux de la vie.

Heureusement, Cloudflare Firewall propose plusieurs règles que vous pouvez déployer pour bloquer de nombreux types de spam courants, y compris les spams de commentaires.

Pourquoi et comment bloquer wp-comments-post.php dans Cloudflare

Si le spam de commentaires est devenu un problème sur votre site (ou, mieux encore, si vous souhaitez l'empêcher de manière proactive de devenir un problème), vous pouvez restreindre wp-comments-post.php pour restreindre le trafic des bots.

Cela se fait au niveau DNS avec un Cloudflare Défi JS, et son fonctionnement est relativement simple : les commentaires indésirables sont automatisés et les sources automatisées ne peuvent pas traiter JS.

Ils échouent ensuite au défi JS, et le tour est joué - le spam est bloqué au niveau DNS et la requête n'atteint même jamais votre serveur.

bloc cloudflare wp-comments.php

Alors, comment créez-vous cette règle ?

Comme d'habitude, allez sur la page Sécurité > WAF et sélectionnez « Créer une règle de pare-feu ».

Assurez-vous de donner à cette règle un nom reconnaissable, tel que "Comment Spam".

Ensuite, définissez les éléments suivants :

  • Champ : URI
  • Opérateur : Égal à
  • Valeur : wp-comments-post.php

[ET]

  • Champ : Méthode de requête
  • Opérateur : Égal à
  • Valeur : POST

[ET]

  • Champ : Référent
  • Opérateur : ne contient pas
  • Valeur : [votredomaine.com]

[Action : Défi JS]

Veillez à définir l'action sur Défi JS, car cela garantira que le commentaire est bloqué sans interférer avec les actions générales de l'utilisateur sur le site.

Une fois que vous avez entré ces valeurs, cliquez sur "Déployer" pour créer votre règle.

Conclusion : Comment sécuriser votre WordPress Site avec règles de pare-feu Cloudflare

Dans la course aux armements de la sécurité Web, les règles de pare-feu Cloudflare sont l'une des armes les plus efficaces que vous ayez dans votre arsenal. 

Même avec un compte Cloudflare gratuit, vous pouvez déployer de nombreuses règles différentes pour protéger votre WordPress site contre certaines des menaces de spam et de logiciels malveillants les plus courantes.

Avec seulement quelques frappes (pour la plupart) simples, vous pouvez renforcer la sécurité de votre site ainsi que le qu'il fonctionne bien pour les visiteurs.

Pour en savoir plus sur l'amélioration de votre WordPress sécurité du site, consultez mon guide de conversion WordPress sites en HTML statique.

Bibliographie

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

A propos

Matt Ahlgren

Mathias Ahlgren est le PDG et fondateur de Website Rating, dirigeant une équipe mondiale de rédacteurs et de rédacteurs. Il est titulaire d'une maîtrise en sciences de l'information et en gestion. Sa carrière s'est orientée vers le référencement après ses premières expériences de développement Web à l'université. Avec plus de 15 ans d'expérience dans le référencement, le marketing numérique et le développement Web. Son objectif comprend également la sécurité des sites Web, comme en témoigne un certificat en cybersécurité. Cette expertise diversifiée sous-tend son leadership au sein Website Rating.

Équipe WSR

L'« équipe WSR » est un groupe collectif d'éditeurs et de rédacteurs experts spécialisés dans la technologie, la sécurité Internet, le marketing numérique et le développement Web. Passionnés par le domaine numérique, ils produisent du contenu bien documenté, perspicace et accessible. Leur engagement envers l'exactitude et la clarté fait Website Rating une ressource fiable pour rester informé dans le monde numérique dynamique.

Accueil » Sécurité en ligne » Comment sécuriser votre WordPress Site avec règles de pare-feu Cloudflare

Plus de 50 statistiques et tendances en matière de cybersécurité [Mise à jour 2024]

Comment installer et configurer Yoast SEO (paramètres recommandés)

Rester informé! Rejoignez notre newsletter
Abonnez-vous maintenant et obtenez un accès gratuit aux guides, outils et ressources réservés aux abonnés.
Vous pouvez vous désabonner à tout moment. Vos données sont en sécurité.
Rester informé! Rejoignez notre newsletter
Abonnez-vous maintenant et obtenez un accès gratuit aux guides, outils et ressources réservés aux abonnés.
Vous pouvez vous désabonner à tout moment. Vos données sont en sécurité.
Catégories

cloud Storage

Comparaisons

Campagnes e-mailing

Constructeurs de page d'atterrissage

Online Marketing

Sécurité en ligne

Gestionnaires de mot de passe

Productivité

Une recherche

VPN

Web Hosting

Constructeurs de sites Web

Favoris

Meilleurs Side Hustles en 2024

Comment démarrer un blog en 2024

Comment créer un site Web gratuitement

Meilleur hébergement Web pas cher

Meilleur hébergement de serveur Minecraft

Alternatives à ClickFunnels

Alternatives à Mailchimp

Fiverr Alternatives

Dropbox Alternatives

Revue Toptale

Elementor contre Divi

SiteGround versus Bluehost

Outils et ressources

Ressources et outils

Aide-mémoire HTML, CSS et PHP

Aide-mémoire des codes d'état HTTP

Contrôleur de contraste et de perception des couleurs

Vérificateur de site Web vers le haut ou vers le bas

Quiz gratuit sur le plagiat

Outils d'écriture IA

Ressources d'accessibilité Web

Calculatrices en ligne gratuites

Calculateur de revenus des créateurs

Website Rating vous aide à démarrer, gérer et développer votre site Web, votre blog ou votre boutique en ligne.

Apprendre encore plus à propos de nous or CONTACTEZ-NOUS.

© 2024. Tous les droits sont réservés. Website Rating est exploité par Search Ventures Pty Ltd, une société enregistrée en Australie. Numéro d'entreprise ACN 639906353.

Données privées | Conditions d’utilisation | Remboursements | Plan du site | DMCA

English Français Español Português Italiano Deutsch Nederlands Svenska Dansk Norsk bokmål Русский Български Polski Türkçe Ελληνικά العربية 简体中文 繁體中文 日本語 한국어 Filipino ไทย Bahasa Indonesia Basa Jawa Tiếng Việt Bahasa Melayu हिन्दी বাংলা தமிழ் ગુજરાતી ਪੰਜਾਬੀ اردو Kiswahili Shqip Հայերեն Azərbaycan dili Euskara Беларуская мова Bosanski Català Hrvatski Čeština‎ Eesti Suomi ქართული עִבְרִית Magyar Íslenska Latviešu valoda Lietuvių kalba Македонски јазик Malagasy മലയാളം Maltese Te Reo Māori Монгол ဗမာစာ नेपाली پښتو فارسی Română Српски језик Slovenčina Slovenščina Afsoomaali Basa Sunda Тоҷикӣ Українська
Partager à...
RedditLinkedInBufferFlipboardHacker NouvellesGammeMastodonteMessagerMélangeurs HorizontauxPinterestpocheTelegramtumblrVKWhatsAppXingImpriméCopier