Cara Mengamankan Anda WordPress Situs Dengan Aturan Firewall Cloudflare

Ditulis oleh

Jika Anda seorang webmaster yang menjalankan blog atau situs web di WordPress, kemungkinan besar keamanan web adalah salah satu prioritas utama Anda. Selama domain Anda mendukung Cloudflare, Anda dapat menambahkan WordPress-Aturan firewall Cloudflare khusus untuk meningkatkan keamanan situs Anda dan bahkan mencegah serangan jauh sebelum mereka sampai ke server Anda.

Jika Anda menggunakan paket gratis Cloudflare, Anda memiliki kemampuan untuk menambahkan 5 aturan (paket pro memberi Anda 20). 

Cloudflare memudahkan dan mempercepat pembuatan aturan firewall, dan setiap aturan menawarkan fleksibilitas yang luar biasa: Anda tidak hanya dapat melakukan banyak hal dengan setiap aturan, tetapi aturan sering kali dapat dikonsolidasikan, membebaskan ruang bagi Anda untuk melakukan lebih banyak lagi.

aturan firewall cloudflare

Dalam artikel ini, saya akan melihat secara mendalam beberapa aturan firewall berbeda yang dapat Anda terapkan untuk melengkapi dan meningkatkan WordPress fitur keamanan situs yang ada.

Ringkasan: Bagaimana melindungi Anda WordPress situs web dengan Cloudflare Firewall

  • Firewall Aplikasi Web (WAF) Cloudflare adalah alat perangkat lunak yang memungkinkan Anda untuk melindungi WordPress website. 
  • Aturan Firewall Cloudflare memungkinkan Anda permintaan daftar hitam atau daftar putih sesuai dengan kriteria fleksibel yang Anda tetapkan. 
  • Untuk menciptakan perlindungan kedap udara untuk Anda WordPress situs web, dengan Cloudflare Anda dapat: memasukkan alamat IP Anda ke daftar putih, melindungi area admin Anda, memblokir pengunjung menurut wilayah atau negara, memblokir bot jahat dan serangan brute force, memblokir serangan XML-RPC, dan mencegah spam komentar.

Daftar Putih Alamat IP Anda Sendiri

Untuk menghindari masalah di jalan, memasukkan alamat IP situs web Anda ke daftar putih harus menjadi tugas pertama di daftar Anda sebelum Anda mengaktifkan aturan firewall apa pun.

Mengapa dan Bagaimana Membuat Daftar Putih Alamat IP Anda di Cloudflare

Ini terutama karena Anda dapat menemukan diri Anda terkunci dari situs web Anda sendiri jika Anda memilih untuk memblokir WordPress area admin dari orang lain.

Untuk memasukkan alamat IP situs web Anda ke daftar putih, buka bagian Keamanan dasbor Cloudflare Anda dan pilih "WAF." Kemudian klik "Alat" dan masukkan alamat IP Anda ke dalam kotak "Aturan Akses IP", dan pilih "daftar putih" dari menu tarik-turun.

daftar putih cloudflare alamat IP sendiri

Untuk menemukan alamat IP Anda, Anda dapat melakukan a Google cari "what's my IP" dan itu akan mengembalikan alamat IPv4 Anda, dan jika Anda membutuhkan IPv6 Anda, Anda dapat pergi ke https://www.whatismyip.com/

Ingat bahwa jika alamat IP Anda berubah, Anda harus memasukkan kembali/daftar putih alamat IP baru Anda untuk menghindari terkunci dari area admin Anda.

Selain memasukkan alamat IP persis situs Anda ke daftar putih, Anda juga dapat memilih untuk memasukkan daftar putih seluruh rentang IP Anda.

Jika Anda memiliki alamat IP dinamis (yaitu, alamat IP yang diatur untuk terus berubah sedikit), maka ini jelas merupakan pilihan yang lebih baik untuk Anda, karena terus-menerus memasukkan kembali dan memasukkan alamat IP baru ke daftar putih akan sangat merepotkan.

Anda juga bisa daftar putih seluruh negara Anda. 

Ini jelas merupakan opsi yang paling tidak aman karena berpotensi membuat area admin Anda terbuka terhadap serangan yang datang dari dalam negara Anda.

Namun, jika Anda sering bepergian untuk bekerja dan sering menemukan diri Anda mengakses WordPress situs dari koneksi Wi-Fi yang berbeda, memasukkan negara Anda ke daftar putih mungkin merupakan opsi yang paling nyaman bagi Anda.

Ingatlah bahwa setiap alamat IP atau negara yang Anda masukkan ke daftar putih akan dikecualikan dari semua aturan firewall lainnya, dan dengan demikian Anda tidak perlu khawatir untuk menetapkan pengecualian individual dengan setiap aturan.

Melindungi WordPress Dasbor (Area WP-Admin)

Sekarang setelah Anda memasukkan alamat IP dan/atau negara Anda ke daftar putih, saatnya untuk mengunci dasbor wp-admin Anda dengan rapat sehingga hanya Anda yang dapat mengaksesnya.

Mengapa dan Bagaimana Melindunginya WordPress Dasbor di Cloudflare

Tak perlu dikatakan bahwa Anda tidak ingin orang luar yang tidak dikenal dapat mengakses area admin Anda dan membuat perubahan tanpa sepengetahuan atau izin Anda.

Dengan demikian, Anda harus membuat aturan firewall yang mencegah akses luar ke dasbor Anda.

Namun, sebelum Anda mengunci Anda WordPress dasbor, Anda harus membuat dua pengecualian penting.

  1. /wp-admin/admin-ajax.php. Perintah ini memungkinkan situs web Anda untuk menampilkan konten dinamis dan karenanya perlu diakses dari luar oleh plugin tertentu agar berfungsi. Dengan demikian, meskipun disimpan di folder /wp-admin/, ini harus dapat diakses dari luar jika Anda tidak ingin situs web Anda menampilkan pesan kesalahan kepada pengunjung.
  2. /wp-admin/theme-editor.php. Perintah ini memungkinkan WordPress untuk menjalankan pemeriksaan kesalahan setiap kali Anda mengubah atau mengedit tema situs Anda. Jika Anda mengabaikan untuk menambahkan ini sebagai pengecualian, perubahan Anda tidak akan disimpan, dan Anda akan menerima pesan kesalahan yang berbunyi, "Tidak dapat berkomunikasi kembali dengan situs untuk memeriksa kesalahan fatal."

Untuk membuat aturan firewall, pertama buka Keamanan > WAF di dasbor Cloudflare Anda, lalu klik tombol “Buat Aturan Firewall”.

cloudflare melindungi dasbor wp-admin

Untuk menambahkan pengecualian ini saat melindungi area dasbor wp-admin Anda, Anda harus membuat aturan ini:

  • Bidang: jalur URI
  • Operator: berisi
  • Nilai: /wp-admin/

[DAN]

  • Bidang: jalur URI
  • Operator: tidak mengandung
  • Nilai: /wp-admin/admin-ajax.php

[DAN]

  • Bidang: jalur URI
  • Operator: tidak mengandung
  • Nilai: /wp-admin/theme-editor.php

[Tindakan: Blokir]

Setelah selesai, klik "Menyebarkan" untuk mengatur aturan firewall Anda.

Atau, Anda dapat mengklik "Edit ekspresi" dan tempel di bawah ini di:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Blokir Negara/Benua

Sama seperti Anda dapat memasukkan negara ke daftar putih untuk mengakses dasbor admin Anda.

Anda juga bisa tetapkan aturan firewall ke daftar hitam negara dan bahkan seluruh benua agar tidak melihat atau mengakses situs Anda.

Mengapa dan Bagaimana Memblokir Negara/Benua di Cloudflare

Mengapa Anda ingin memblokir seluruh negara atau benua agar tidak mengakses situs Anda?

Nah, jika situs web Anda melayani negara atau wilayah geografis tertentu dan tidak relevan secara global, maka memblokir akses dari negara dan/atau benua yang tidak relevan adalah cara mudah untuk membatasi risiko serangan malware dan lalu lintas berbahaya yang datang dari luar negeri, tanpa pernah memblokir akses ke audiens target situs web Anda yang sah.

Untuk membuat aturan ini, Anda sekali lagi perlu membuka dasbor Cloudflare Anda dan pergi ke Keamanan > WAF > Buat Aturan Firewall.

Untuk mengubah setelan agar hanya mengizinkan negara tertentu, masukkan berikut ini:

  • Bidang: Negara atau Benua
  • Operator: “Ada di”
  • Nilai: Pilih negara atau benua yang Anda inginkan whitelist

(Catatan: jika Anda ingin mengizinkan lalu lintas hanya dari satu negara, Anda dapat memasukkan "sama dengan" sebagai operator.)

Jika Anda memilih untuk memblokir negara atau benua tertentu, masukkan berikut ini:

  • Bidang: Negara atau Benua
  • Operator: “Tidak ada”
  • Nilai: Pilih negara atau benua yang Anda inginkan blok

Catatan: aturan ini dapat menjadi bumerang jika Anda memerlukan dukungan teknis dan tim dukungan host web Anda berada di negara atau benua yang telah Anda blokir.

Ini mungkin tidak akan menjadi masalah bagi kebanyakan orang, tetapi ini adalah sesuatu yang harus Anda waspadai.

Berikut adalah contoh bagaimana menolak akses ke situs Anda dari negara tertentu, di mana pengguna dari negara ini ditampilkan sebagai Tantangan JavaScript sebelum mencoba mengakses situs Anda.

negara daftar hitam cloudflare

Blokir Bot Berbahaya

Berdasarkan agen pengguna mereka, Cloudflare memungkinkan Anda untuk memblokir akses ke bot jahat yang mencoba menembus situs Anda.

Jika Anda sudah menggunakan 7G, maka Anda tidak perlu khawatir tentang pengaturan aturan ini: WAF 7G memblokir ancaman di tingkat server dengan merujuk ke daftar lengkap bot jahat.

Namun, jika Anda tidak menggunakan 7G, Anda akan ingin mengonfigurasi aturan firewall yang mengidentifikasi dan memblokir bot jahat sebelum mereka dapat menyebabkan kerusakan.

Mengapa dan Bagaimana Memblokir Bot Buruk di Cloudflare

Seperti biasa, pertama-tama buka dasbor Cloudflare Anda dan buka Keamanan > WAF > Buat Aturan Firewall.

cloudflare memblokir bot jahat

Kemudian, atur ekspresi aturan firewall Anda seperti ini:

  • Bidang: Agen Pengguna
  • Operator: “Equals” atau “Contains”
  • Nilai: nama bot jahat atau agen jahat yang ingin Anda blokir

Sama seperti negara pemblokiran, bot dapat diblokir satu per satu berdasarkan nama. Untuk memblokir lebih dari satu bot secara bersamaan, gunakan opsi "ATAU" di sebelah kanan untuk menambahkan bot tambahan ke daftar.

Kemudian klik "Menyebarkan" tombol setelah Anda selesai.

Namun secara manual memblokir bot jahat menjadi berlebihan karena Cloudflare telah diluncurkan "Mode Pertarungan Bot" untuk semua pengguna gratis.

mode pertarungan bot

serta "Mode Figth Super Bot" untuk pengguna paket Pro atau Bisnis.

mode pertarungan bot super

Artinya bot jahat sekarang diblokir secara otomatis untuk semua jenis pengguna Cloudflare.

Blokir Serangan Brute Force (wp-login.php)

Serangan brute force, juga dikenal sebagai serangan wp-login, adalah serangan paling umum yang ditujukan untuk WordPress situs. 

Bahkan, jika Anda melihat log server Anda, Anda mungkin akan menemukan bukti serangan tersebut dalam bentuk alamat IP dari berbagai lokasi di seluruh dunia yang mencoba mengakses file wp-login.php Anda.

Untungnya, Cloudflare memungkinkan Anda menetapkan aturan firewall agar berhasil memblokir serangan brute force.

Mengapa dan Bagaimana Melindungi wp-login.php di Cloudflare

Meskipun sebagian besar serangan brute force adalah pemindaian otomatis yang tidak cukup kuat untuk dilewati WordPresspertahanan, itu masih ide yang baik untuk menetapkan aturan untuk memblokir mereka dan menenangkan pikiran Anda.

Namun, aturan ini hanya berfungsi jika Anda adalah satu-satunya admin/pengguna di situs Anda. Jika ada lebih dari satu admin, atau jika situs Anda menggunakan plugin keanggotaan, maka Anda harus melewati aturan ini.

blokir wp-login.php

Untuk membuat aturan ini, kembali ke  Keamanan > WAF > Buat Aturan Firewall.

Setelah Anda memilih nama untuk aturan ini, masukkan berikut ini:

  • Bidang: jalur URI
  • Operator: berisi
  • Nilai: /wp-login.php

[Tindakan: Blokir]

Atau, Anda dapat mengklik "Edit ekspresi" dan tempel di bawah ini di:

(http.request.uri.path contains "/wp-login.php")

Setelah Anda menerapkan aturan, Cloudflare akan mulai memblokir semua upaya untuk mengakses wp-login yang berasal dari sumber apa pun selain IP Anda yang masuk daftar putih.

Sebagai bonus tambahan, Anda dapat memverifikasi bahwa perlindungan ini aktif dan berjalan dengan melihat di bagian Acara Firewall Cloudflare, di mana Anda harus dapat melihat catatan dari setiap upaya serangan brute force.

Blokir Serangan XML-RPC (xmlrpc.php)

Jenis serangan lain yang sedikit kurang umum (tetapi masih berbahaya) adalah Serangan XML-RPC.

XML-RPC adalah prosedur jarak jauh yang memanggil WordPress, yang berpotensi ditargetkan oleh penyerang dalam serangan brute force untuk mendapatkan kredensial autentikasi.

Mengapa dan Bagaimana Memblokir XML-RPC di Cloudflare

Meskipun ada kegunaan yang sah untuk XML-RPC, seperti memposting konten ke banyak WordPress blog secara bersamaan atau mengakses WordPress situs dari ponsel cerdas, Anda biasanya dapat menerapkan aturan ini tanpa mengkhawatirkan konsekuensi yang tidak diinginkan.

blokir XML-RPC

Untuk memblokir serangan brute force yang menargetkan prosedur XML-RPC, pertama buka Keamanan > WAF > Buat Aturan Firewall.

Kemudian buat aturan berikut:

  • Bidang: jalur URI
  • Operator: berisi
  • Nilai: /xmlrpc.php

[Tindakan: Blokir]

Atau, Anda dapat mengklik "Edit ekspresi" dan tempel di bawah ini di:

(http.request.uri.path contains "/xmlrpc.php")

Dan begitu saja, hanya dengan beberapa langkah sederhana, Anda telah melindungi WordPress situs dari dua jenis serangan brute force yang paling umum.

Mencegah Spam Komentar (wp-comments-post.php)

Jika Anda seorang webmaster, spam di situs Anda hanyalah salah satu fakta kehidupan yang mengganggu.

Untungnya, Cloudflare Firewall menawarkan beberapa aturan yang dapat Anda terapkan untuk memblokir banyak jenis spam yang umum, termasuk spam komentar.

Mengapa dan Bagaimana Memblokir wp-comments-post.php di Cloudflare

Jika spam komentar telah menjadi masalah di situs Anda (atau, lebih baik lagi, jika Anda ingin mencegahnya secara proaktif menjadi masalah), Anda dapat membatasi wp-comments-post.php untuk membatasi lalu lintas bot.

Ini dilakukan pada level DNS dengan Cloudflare tantangan JS, dan cara kerjanya relatif sederhana: komentar spam bersifat otomatis, dan sumber otomatis tidak dapat memproses JS.

Mereka kemudian gagal dalam tantangan JS, dan voila – spam diblokir di tingkat DNS, dan permintaan bahkan tidak pernah mencapai server Anda.

blok cloudflare wp-comments.php

Jadi, bagaimana Anda membuat aturan ini?

Seperti biasa, buka halaman Keamanan> WAF dan pilih "Buat Aturan Firewall."

Pastikan Anda memberi aturan ini nama yang dapat dikenali, seperti “Spam Komentar”.

Kemudian, atur yang berikut:

  • Bidang: URI
  • Operator: Sama dengan
  • Nilai: wp-komentar-posting.php

[DAN]

  • Bidang: Metode Permintaan
  • Operator: Sama dengan
  • Nilai: POST

[DAN]

  • Bidang: Referer
  • Operator: tidak mengandung
  • Nilai: [domainanda.com]

[Aksi: Tantangan JS]

Berhati-hatilah untuk mengatur tindakan ke Tantangan JS, karena ini akan memastikan bahwa komentar diblokir tanpa mengganggu tindakan pengguna umum di situs.

Setelah Anda memasukkan nilai-nilai ini, klik "Deploy" untuk membuat aturan Anda.

Ringkasan: Mengamankan Anda WordPress Situs dengan Aturan Firewall Cloudflare

Dalam perlombaan senjata keamanan web, aturan firewall Cloudflare adalah salah satu senjata paling efektif yang Anda miliki di gudang senjata Anda. 

Bahkan dengan akun Cloudflare gratis, Anda dapat menerapkan banyak aturan berbeda untuk melindungi Anda WordPress situs terhadap beberapa ancaman spam dan malware yang paling umum.

Hanya dengan beberapa (kebanyakan) penekanan tombol sederhana, Anda dapat meningkatkan keamanan situs Anda serta tetap berjalan lancar bagi pengunjung.

Untuk lebih lanjut tentang meningkatkan Anda WordPress keamanan situs, periksa my panduan untuk mengonversi WordPress situs ke HTML statis.

Referensi

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

Halaman Depan » Keamanan online » Cara Mengamankan Anda WordPress Situs Dengan Aturan Firewall Cloudflare

Bergabunglah dengan newsletter kami

Berlangganan buletin pengumpulan mingguan kami dan dapatkan berita & tren industri terbaru

Dengan mengklik 'berlangganan" Anda setuju dengan kami Persyaratan penggunaan dan kebijakan privasi.