Ինչպես ապահովել ձեր WordPress Կայք Cloudflare Firewall-ի կանոններով

Եթե ​​դուք վեբ վարպետ եք, որն աշխատում է բլոգ կամ կայք WordPress, հավանական է, որ վեբ անվտանգությունը ձեր գլխավոր առաջնահերթություններից մեկն է: Քանի դեռ ձեր տիրույթը միացված է Cloudflare-ին, դուք կարող եք ավելացնել WordPress- հատուկ Cloudflare firewall կանոններ բարելավել ձեր կայքի անվտանգությունը և նույնիսկ կանխել հարձակումները ձեր սերվերին հասնելուց շատ առաջ:

Եթե ​​դուք օգտագործում եք Cloudflare-ի անվճար պլանը, դուք հնարավորություն ունեք ավելացնելու 5 կանոն (պրոֆեսոր պլանը ձեզ տալիս է 20): 

Cloudflare-ը հեշտ և արագ է դարձնում firewall կանոնների ստեղծումը, և յուրաքանչյուր կանոն առաջարկում է հիանալի ճկունություն. ոչ միայն դուք կարող եք շատ բան անել յուրաքանչյուր կանոնով, այլ կանոնները հաճախ կարող են համախմբվել՝ ազատելով ձեզ ավելին անելու տեղ:

Այս հոդվածում ես խորը կանդրադառնամ որոշ տարբեր firewall կանոններին, որոնք կարող եք կիրառել՝ լրացնելու և բարելավելու համար WordPress կայքի առկա անվտանգության առանձնահատկությունները:

Համառոտ. Ինչպես պաշտպանել ձեր WordPress կայք Cloudflare Firewall-ով

• Cloudflare-ի վեբ հավելվածի firewall (WAF) ծրագրային գործիք է, որը թույլ է տալիս պաշտպանել ձեր WordPress կայքէջը: 
• Cloudflare Firewall-ի կանոնները թույլ են տալիս ձեզ սև ցուցակի կամ սպիտակ ցուցակի հարցումներ ըստ ձեր սահմանած ճկուն չափանիշների: 
• Դեպի ստեղծել հերմետիկ պաշտպանություն ձեր համար WordPress ԿայքիCloudflare-ի միջոցով դուք կարող եք՝ սպիտակ ցուցակագրել ձեր սեփական IP հասցեն, պաշտպանել ձեր ադմինիստրատորի տարածքը, արգելափակել այցելուներին ըստ տարածաշրջանի կամ երկրի, արգելափակել վնասակար բոտերին և կոպիտ ուժային հարձակումներին, արգելափակել XML-RPC հարձակումները և կանխել մեկնաբանությունների սպամը:

Ձեր սեփական IP հասցեն սպիտակ ցուցակում

Ճանապարհին խնդիրներից խուսափելու համար, Ձեր սեփական կայքի IP հասցեի սպիտակ ցուցակում ներառելը պետք է լինի ձեր ցուցակի առաջին խնդիրը մինչեւ դուք միացնում եք firewall-ի ցանկացած կանոն:

Ինչու և ինչպես տեղադրել ձեր IP հասցեն Cloudflare-ում

Սա հիմնականում պայմանավորված է նրանով, որ դուք կարող եք արգելափակված լինել ձեր սեփական կայքից, եթե որոշեք արգելափակել ձեր կայքը WordPress ադմինիստրատորի տարածքը ուրիշներից:

Ձեր կայքի IP հասցեն սպիտակ ցուցակում տեղադրելու համար անցեք ձեր Cloudflare վահանակի անվտանգության բաժին և ընտրեք «WAF»: Այնուհետև կտտացրեք «Գործիքներ» և մուտքագրեք ձեր IP հասցեն «IP մուտքի կանոններ» դաշտում և բացվող ընտրացանկից ընտրեք «սպիտակ ցուցակը»:

Ձեր IP հասցեն գտնելու համար կարող եք անել Google որոնեք «what's my IP» և այն կվերադարձնի ձեր IPv4 հասցեն, և եթե ձեզ անհրաժեշտ է ձեր IPv6-ը, կարող եք գնալ https://www.whatismyip.com/

Հիշեք, որ եթե ձեր IP հասցեն փոխվի, դուք ստիպված կլինեք նորից մուտքագրել/սպիտակ ցուցակում ձեր նոր IP հասցեն՝ ձեր ադմինիստրատորի տարածքից արգելափակումից խուսափելու համար:

Բացի ձեր կայքի ճշգրիտ IP հասցեն սպիտակ ցուցակում ներառելուց, Դուք կարող եք նաև ընտրել սպիտակ ցուցակում ձեր IP-ի ողջ տիրույթը:

Եթե ​​ունեք դինամիկ IP հասցե (այսինքն՝ IP հասցե, որը սահմանված է շարունակաբար մի փոքր փոխվելու), ապա սա միանշանակ ավելի լավ ընտրություն է ձեզ համար, քանի որ նոր IP հասցեների անընդհատ նորից մուտքագրումը և սպիտակ ցուցակում ներառելը մեծ ցավ կլինի:

Դուք կարող եք նաեւ սպիտակ ցուցակում ձեր ամբողջ երկիրը: 

Սա, անկասկած, ամենաանվտանգ տարբերակն է, քանի որ այն պոտենցիալ կերպով ձեր ադմինիստրատորի տարածքը բաց է թողնում ձեր երկրից եկող հարձակումների համար:

Սակայն, եթե դուք շատ եք ճանապարհորդում աշխատանքի համար և հաճախ եք գտնում, որ մուտք եք գործում ձեր WordPress կայք տարբեր Wi-Fi կապերից, ձեր երկրի սպիտակ ցուցակում ներառելը կարող է ձեզ համար ամենահարմար տարբերակը լինել:

Հիշեք, որ ձեր սպիտակ ցուցակում նշված ցանկացած IP հասցե կամ երկիր կազատվի firewall-ի բոլոր կանոններից, և, հետևաբար, դուք կարիք չունեք անհանգստանալու յուրաքանչյուր կանոնի հետ առանձին բացառություններ սահմանելու մասին:

Պաշտպանել WordPress Վահանակ (WP-Admin Area)

Այժմ, երբ դուք սպիտակ ցուցակում եք տեղադրել ձեր IP հասցեն և/կամ երկիրը, ժամանակն է ձեր wp-admin վահանակը ամուր փակելու համար, որպեսզի միայն դուք կարողանաք մուտք գործել այն:

Ինչու և ինչպես պաշտպանել WordPress Վահանակ Cloudflare-ում

Անշուշտ պետք է ասել, որ դուք չեք ցանկանում, որ անհայտ կողմնակի անձինք կարողանան մուտք գործել ձեր ադմինիստրատորի տարածք և փոփոխություններ կատարել առանց ձեր իմացության կամ թույլտվության:

Որպես այդպիսին, դուք պետք է սահմանեք firewall-ի կանոն, որը կկանխի արտաքին մուտքը ձեր վահանակ:

Սակայն, մինչեւ դուք կողպեք ձեր WordPress վահանակ, դուք պետք է երկու կարևոր բացառություն անեք:

1. /wp-admin/admin-ajax.php. Այս հրամանը թույլ է տալիս ձեր կայքին ցուցադրել դինամիկ բովանդակություն և այդպիսով անհրաժեշտ է մուտք գործել դրսից որոշակի պլագիններով՝ գործելու համար: Որպես այդպիսին, չնայած այն պահվում է /wp-admin/ թղթապանակում, այն պետք է հասանելի լինի դրսից, եթե չեք ցանկանում, որ ձեր կայքը սխալ հաղորդագրություններ ցուցադրի այցելուներին:
2. /wp-admin/theme-editor.php. Այս հրամանը հնարավորություն է տալիս WordPress ամեն անգամ ձեր կայքի թեման փոխելիս կամ խմբագրելիս սխալների ստուգում կատարեք: Եթե ​​դուք անտեսեք սա որպես բացառություն ավելացնելը, ձեր փոփոխությունները չեն պահպանվի, և դուք կստանաք սխալի հաղորդագրություն, որը կարդում է.

Firewall-ի կանոն ստեղծելու համար նախ անցեք Անվտանգություն > WAF ձեր Cloudflare վահանակում, այնուհետև կտտացրեք «Ստեղծել Firewall-ի կանոնը» կոճակը:

Ձեր wp-admin վահանակի տարածքը պաշտպանելիս այս բացառություններն ավելացնելու համար դուք պետք է ստեղծեք այս կանոնը.

• Դաշտ՝ URI ուղի
• Օպերատոր: պարունակում է
• Արժեքը: /wp-admin/

[ԵՎ]

• Դաշտ՝ URI ուղի
• Օպերատոր. չի պարունակում
• Արժեք՝ /wp-admin/admin-ajax.php

[ԵՎ]

• Դաշտ՝ URI ուղի
• Օպերատոր. չի պարունակում
• Արժեք՝ /wp-admin/theme-editor.php

[Գործողություն՝ արգելափակում]

Երբ եք արել, սեղմեք «Տեղակայել» ձեր firewall կանոնը սահմանելու համար:

Որպես այլընտրանք, կարող եք սեղմել «Խմբագրել արտահայտությունը» և տեղադրել ստորև նշվածը.

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Արգելափակել երկրները/մայրցամաքները

Ճիշտ այնպես, ինչպես դուք կարող եք սպիտակ ցուցակում մի երկիր մուտք գործել ձեր ադմինիստրատորի վահանակ:

Դուք կարող եք նաեւ սահմանեք firewall-ի կանոն, որպեսզի երկրները և նույնիսկ ամբողջ մայրցամաքները ձեր կայքը դիտեն կամ մուտք գործեն սև ցուցակում:

Ինչու և ինչպես արգելափակել երկրները/մայրցամաքները Cloudflare-ում

Ինչո՞ւ կարող եք արգելափակել մի ամբողջ երկրի կամ մայրցամաքի մուտքը ձեր կայք:

Դե, եթե ձեր կայքը ծառայում է որոշակի երկրի կամ աշխարհագրական տարածաշրջանի և գլոբալ առումով համապատասխան չէ, ապա Անհամապատասխան երկրներից և/կամ մայրցամաքներից մուտքն արգելափակելը հեշտ միջոց է սահմանափակելու չարամիտ գրոհների և արտերկրից եկող վնասակար թրաֆիկի վտանգը՝ առանց երբևէ արգելափակելու մուտքը դեպի ձեր վեբ կայքի օրինական թիրախային լսարանը:

Այս կանոնը ստեղծելու համար դուք ևս մեկ անգամ պետք է բացեք ձեր Cloudflare վահանակը և անցնեք դեպի Անվտանգություն > WAF > Ստեղծել Firewall կանոն:

Կարգավորումները փոխելու համար, որպեսզի թույլատրվեն միայն որոշակի երկրներ, մուտքագրեք հետևյալը.

• Ոլորտ՝ երկիր կամ մայրցամաք
• Օպերատոր: «Մտնում է»
• Արժեք. Ընտրեք այն երկրները կամ մայրցամաքները, որոնք ցանկանում եք սպիտակեղեն

(Նշում. եթե ցանկանում եք թույլատրել երթևեկությունը միայն մեկ երկրից, կարող եք մուտքագրել «հավասար» որպես օպերատոր):

Եթե ​​փոխարենը որոշեք արգելափակել որոշակի երկրներ կամ մայրցամաքներ, մուտքագրեք հետևյալը.

• Ոլորտ՝ երկիր կամ մայրցամաք
• Օպերատոր. «Մի մեջ չէ»
• Արժեք. Ընտրեք այն երկրները կամ մայրցամաքները, որոնք ցանկանում եք bloccare

Նշում. այս կանոնը կարող է հակառակ արդյունք տալ, եթե ձեզ անհրաժեշտ է տեխնիկական աջակցություն, և ձեր վեբ հոստերի աջակցության թիմը գտնվում է ձեր արգելափակած երկրում կամ մայրցամաքում:

Սա, հավանաբար, խնդիր չի լինի մարդկանց մեծամասնության համար, բայց դա մի բան է, որը դուք պետք է տեղյակ լինեք:

Ահա մի օրինակ, թե ինչպես է արգելվում մուտք գործել ձեր կայք որոշակի երկրից, որտեղ այս երկրի օգտատերերին ցուցադրվում են ա JavaScript մարտահրավեր նախքան ձեր կայք մուտք գործելու փորձը:

Արգելափակել վնասակար բոտերին

Հիմնվելով իրենց օգտագործողի գործակալի վրա, Cloudflare-ը թույլ է տալիս արգելափակել ձեր կայք ներթափանցելու փորձ կատարող վնասակար բոտերի մուտքը:

Եթե ​​դուք արդեն օգտվում եք 7G-ից, ապա պետք չէ անհանգստանալ այս կանոնը սահմանելու համար. 7G WAF-ն արգելափակում է սպառնալիքները սերվերի մակարդակում՝ հղում կատարելով վնասակար բոտերի համապարփակ ցանկին:

Այնուամենայնիվ, եթե դուք չեք օգտագործում 7G, դուք կցանկանաք կարգավորել firewall-ի կանոնը, որը նույնականացնում և արգելափակում է վատ բոտերը, նախքան դրանք որևէ վնաս պատճառելը:

Ինչու և ինչպես արգելափակել վատ բոտերին Cloudflare-ում

Ինչպես միշտ, նախ գնացեք ձեր Cloudflare վահանակ և գնացեք Անվտանգություն > WAF > Ստեղծել Firewall կանոն:

Այնուհետև սահմանեք ձեր firewall կանոնի արտահայտությունը հետևյալ կերպ.

• Ոլորտ՝ Օգտագործողի գործակալ
• Օպերատոր՝ «Հավասար է» կամ «Պարունակում է»
• Արժեք՝ վատ բոտի կամ վնասակար գործակալի անունը, որը ցանկանում եք արգելափակել

Ինչպես արգելափակող երկրների դեպքում, բոտերը կարող են արգելափակվել անհատապես անունով: Միևնույն ժամանակ մեկից ավելի բոտերի արգելափակման համար օգտագործեք «OR» տարբերակը աջում՝ ցանկում լրացուցիչ բոտեր ավելացնելու համար:

Այնուհետեւ կտտացրեք «Տեղակայել» կոճակը, երբ ավարտես:

Այնուամենայնիվ, վատ բոտերի ձեռքով արգելափակումն ավելորդ է դարձել, քանի որ Cloudflare-ը գործարկվել է «Բոտի պայքարի ռեժիմ» բոլոր անվճար օգտվողների համար:

և «Super Bot Figth Mode» Pro կամ Business Plan օգտվողների համար:

Այսինքն՝ վատ բոտերն այժմ ավտոմատ կերպով արգելափակվում են Cloudflare-ի բոլոր տեսակի օգտատերերի համար:

Արգելափակել կոպիտ ուժային հարձակումները (wp-login.php)

Brute force հարձակումները, որոնք նաև հայտնի են որպես wp-login հարձակումներ, ամենատարածված հարձակումներն են, որոնց ուղղված են WordPress կայքեր. 

Իրականում, եթե նայեք ձեր սերվերի տեղեկամատյաններին, հավանաբար կգտնեք նման հարձակումների ապացույցներ IP հասցեների տեսքով աշխարհի տարբեր վայրերից՝ փորձելով մուտք գործել ձեր wp-login.php ֆայլը:

Բարեբախտաբար, Cloudflare-ը թույլ է տալիս սահմանել firewall-ի կանոն՝ հաջողությամբ արգելափակելու կոպիտ ուժային հարձակումները:

Ինչու և ինչպես պաշտպանել wp-login.php-ը Cloudflare-ում

Չնայած կոպիտ ուժային հարձակումների մեծ մասը ավտոմատացված սկանավորումներ են, որոնք բավականաչափ հզոր չեն դրանց անցնելու համար WordPressի պաշտպանությունը, դեռ լավ գաղափար է կանոն սահմանել դրանք արգելափակելու և ձեր միտքը հանգիստ դարձնելու համար:

Սակայն, այս կանոնը գործում է միայն այն դեպքում, եթե դուք ձեր կայքի միակ ադմին/օգտատերն եք: Եթե ​​կա մեկից ավելի ադմինիստրատոր, կամ եթե ձեր կայքը օգտագործում է անդամակցության հավելված, ապա դուք պետք է բաց թողնեք այս կանոնը:

Այս կանոնը ստեղծելու համար վերադարձեք  Անվտանգություն > WAF > Ստեղծել Firewall կանոն:

Այս կանոնի համար անուն ընտրելուց հետո մուտքագրեք հետևյալը.

• Դաշտ՝ URI ուղի
• Օպերատոր: պարունակում է
• Արժեք՝ /wp-login.php

[Գործողություն՝ արգելափակում]

Որպես այլընտրանք, կարող եք սեղմել «Խմբագրել արտահայտությունը» և տեղադրել ստորև նշվածը.

(http.request.uri.path contains "/wp-login.php")

Կանոնը կիրառելուց հետո, Cloudflare-ը կսկսի արգելափակել wp-login մուտք գործելու բոլոր փորձերը, որոնք գալիս են ցանկացած այլ աղբյուրից, բացի ձեր սպիտակ ցուցակում նշված IP-ից:

Որպես հավելյալ բոնուս, դուք կարող եք ստուգել, ​​որ այս պաշտպանությունը գործարկված է և աշխատում է՝ նայելով Cloudflare-ի «Firewall Events» բաժնում, որտեղ դուք պետք է կարողանաք տեսնել բիրտ ուժի ցանկացած փորձի գրառումը:

Արգելափակել XML-RPC հարձակումները (xmlrpc.php)

Հարձակման ևս մի փոքր ավելի քիչ տարածված (բայց դեռ վտանգավոր) տեսակ է XML-RPC հարձակում.

XML-RPC-ն հեռահար ընթացակարգ է, որը կանչում է WordPress, որը հարձակվողները կարող են պոտենցիալ թիրախավորել բիրտ ուժի հարձակման ժամանակ՝ նույնականացման հավատարմագրեր ստանալու համար:

Ինչու և ինչպես արգելափակել XML-RPC-ն Cloudflare-ում

Չնայած XML-RPC-ի օրինական կիրառություններ կան, ինչպես օրինակ՝ բովանդակության բազմակի տեղադրումը WordPress բլոգեր միաժամանակ կամ մուտք գործել ձեր WordPress կայք սմարթֆոնից, դուք կարող եք ընդհանուր առմամբ կիրառել այս կանոնը՝ առանց անհանգստանալու անցանկալի հետևանքների մասին:

XML-RPC պրոցեդուրաներին ուղղված կոպիտ ուժային հարձակումները արգելափակելու համար նախ գնացեք Անվտանգություն > WAF > Ստեղծել Firewall կանոն:

Այնուհետև ստեղծեք հետևյալ կանոնը.

• Դաշտ՝ URI ուղի
• Օպերատոր: պարունակում է
• Արժեք՝ /xmlrpc.php

[Գործողություն՝ արգելափակում]

Որպես այլընտրանք, կարող եք սեղմել «Խմբագրել արտահայտությունը» և տեղադրել ստորև նշվածը.

(http.request.uri.path contains "/xmlrpc.php")

Եվ հենց այդպես, ընդամենը մի քանի պարզ քայլով, դուք պաշտպանել եք ձերը WordPress կայք՝ բիրտ ուժային հարձակումների երկու ամենատարածված տեսակներից:

Կանխել մեկնաբանությունների սպամ (wp-comments-post.php)

Եթե ​​դուք վեբ-վարպետ եք, ձեր կայքում սպամը կյանքի զայրացուցիչ փաստերից մեկն է:

Բարեբախտաբար, Cloudflare Firewall-ը առաջարկում է մի քանի կանոններ, որոնք կարող եք կիրառել՝ արգելափակելու սպամի շատ սովորական տեսակներ, ներառյալ մեկնաբանությունների սպամը:

Ինչու և ինչպես արգելափակել wp-comments-post.php-ը Cloudflare-ում

Եթե ​​մեկնաբանությունների սպամը խնդիր է դարձել ձեր կայքում (կամ, ավելի լավ է, եթե ցանկանում եք ակտիվորեն կանխել այն խնդիր դառնալուց), կարող եք սահմանափակել wp-comments-post.php-ը՝ բոտերի տրաֆիկը սահմանափակելու համար:

Դա արվում է DNS մակարդակում Cloudflare-ի միջոցով JS մարտահրավեր, և դրա աշխատանքի ձևը համեմատաբար պարզ է. սպամի մեկնաբանությունները ավտոմատացված են, և ավտոմատացված աղբյուրները չեն կարող մշակել JS:

Այնուհետև նրանք ձախողում են JS մարտահրավերը, և voila – սպամն արգելափակված է DNS մակարդակով, և հարցումը երբեք չի հասնում ձեր սերվերին:

Այսպիսով, ինչպես եք ստեղծում այս կանոնը:

Ինչպես միշտ, գնացեք Անվտանգություն > WAF էջ և ընտրեք «Ստեղծել Firewall կանոնը»:

Համոզվեք, որ այս կանոնին տալիս եք ճանաչելի անուն, օրինակ՝ «Մեկնաբանության սպամ»:

Այնուհետև սահմանեք հետևյալը.

• Ոլորտ՝ URI
• Օպերատոր: Հավասար է
• Արժեքը՝ wp-comments-post.php

[ԵՎ]

• Ոլորտ: Հարցման մեթոդ
• Օպերատոր: Հավասար է
• Արժեք՝ POST

[ԵՎ]

• Ոլորտ՝ տեղեկատու
• Օպերատոր. չի պարունակում
• Արժեք՝ [yourdomain.com]

[Գործողություն՝ JS Challenge]

Զգույշ եղեք, որ գործողությունը սահմանեք JS Challenge, քանի որ դա թույլ կտա համոզվել, որ մեկնաբանությունն արգելափակված է առանց կայքի օգտատերերի ընդհանուր գործողություններին միջամտելու:

Այս արժեքները մուտքագրելուց հետո, սեղմեք «Տեղադրել»՝ ձեր կանոնը ստեղծելու համար:

Փաթաթել. Ինչպես կարող եք ապահովել ձեր WordPress Կայք՝ Cloudflare Firewall-ի կանոններով

Վեբ անվտանգության սպառազինությունների մրցավազքում Cloudflare firewall-ի կանոնները ամենաարդյունավետ զենքերից են, որոնք դուք ունեք ձեր զինանոցում: 

Նույնիսկ Cloudflare-ի անվճար հաշվի դեպքում դուք կարող եք կիրառել բազմաթիվ տարբեր կանոններ՝ ձերը պաշտպանելու համար WordPress կայք՝ ընդդեմ ամենատարածված սպամի և չարամիտ ծրագրերի սպառնալիքների:

Ընդամենը մի քանի (հիմնականում) պարզ ստեղնաշարի միջոցով դուք կարող եք բարձրացնել ձեր կայքի անվտանգությունը և պահել այն սահուն այցելուների համար:

Ձեր բարելավման մասին ավելին իմանալու համար WordPress կայքի անվտանգությունը, ստուգեք իմ փոխակերպման ուղեցույց WordPress կայքերը ստատիկ HTML-ի համար.

Սայլակ

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/