Come proteggere il tuo WordPress Sito con regole del firewall Cloudflare

Scritto da

Se sei un webmaster che gestisce un blog o un sito web su WordPress, è probabile che la sicurezza web sia una delle tue priorità principali. Finché il tuo dominio è abilitato per Cloudflare, puoi farlo aggiungere WordPress-regole firewall Cloudflare specifiche per migliorare la sicurezza del tuo sito e persino prevenire gli attacchi molto prima che arrivino al tuo server.

Se stai utilizzando il piano gratuito di Cloudflare, hai la possibilità di aggiungere 5 regole (il piano pro ti dà 20). 

Cloudflare rende facile e veloce la creazione di regole del firewall e ogni regola offre una straordinaria flessibilità: non solo puoi fare molto con ogni regola, ma spesso le regole possono essere consolidate, liberando spazio per fare ancora di più.

regole del firewall cloudflare

In questo articolo, darò uno sguardo approfondito ad alcune delle diverse regole del firewall che potresti applicare per completare e migliorare il tuo WordPress funzionalità di sicurezza esistenti del sito.

Riepilogo: come proteggere il tuo WordPress sito Web con Cloudflare Firewall

  • Web Application Firewall (WAF) di Cloudflare è uno strumento software che ti permette di proteggere il tuo WordPress di LPI. 
  • Le regole del firewall di Cloudflare ti consentono richieste di blacklist o whitelist secondo criteri flessibili da te impostati. 
  • A crea una protezione ermetica per il tuo WordPress sito web, con Cloudflare puoi: inserire nella whitelist il tuo indirizzo IP, proteggere la tua area di amministrazione, bloccare i visitatori per regione o paese, bloccare i bot dannosi e gli attacchi di forza bruta, bloccare gli attacchi XML-RPC e prevenire lo spam nei commenti.

Inserisci nella whitelist il tuo indirizzo IP

Per evitare problemi lungo la strada, inserire nella whitelist l'indirizzo IP del tuo sito web dovrebbe essere la prima attività della tua lista prima abiliti tutte le regole del firewall.

Perché e come inserire nella whitelist il tuo indirizzo IP in Cloudflare

Ciò è principalmente dovuto al fatto che potresti ritrovarti bloccato fuori dal tuo sito Web se scegli di bloccare il tuo WordPress area di amministrazione da altri.

Per inserire nella whitelist l'indirizzo IP del tuo sito web, vai alla sezione Sicurezza della dashboard di Cloudflare e seleziona "WAF". Quindi fai clic su "Strumenti" e inserisci il tuo indirizzo IP nella casella "Regole di accesso IP" e scegli "lista bianca" dal menu a discesa.

whitelist di cloudflare proprio indirizzo IP

Per trovare il tuo indirizzo IP puoi fare a Google cerca "qual è il mio IP" e ti restituirà il tuo indirizzo IPv4 e, se hai bisogno del tuo IPv6, puoi andare su https://www.whatismyip.com/

Ricordate che se il tuo indirizzo IP cambia, dovrai reinserire/inserire nella whitelist il tuo nuovo indirizzo IP per evitare di essere bloccato dalla tua area di amministrazione.

Oltre a inserire nella whitelist l'indirizzo IP esatto del tuo sito, puoi anche scegliere di inserire nella whitelist l'intero intervallo di IP.

Se disponi di un indirizzo IP dinamico (ad esempio, un indirizzo IP impostato per cambiare leggermente continuamente), questa è sicuramente la scelta migliore per te, poiché reinserire costantemente e inserire nella whitelist nuovi indirizzi IP sarebbe un grosso problema.

Puoi anche whitelist l'intero paese. 

Questa è sicuramente l'opzione meno sicura poiché potenzialmente lascia la tua area di amministrazione aperta agli attacchi provenienti dal tuo paese.

Però, i se viaggi molto per lavoro e ti ritrovi spesso ad accedere al tuo WordPress sito da diverse connessioni Wi-Fi, inserire nella whitelist il tuo paese potrebbe essere l'opzione più conveniente per te.

Tieni presente che qualsiasi indirizzo IP o paese che hai inserito nella whitelist sarà esentato da tutte le altre regole del firewall e quindi non devi preoccuparti di impostare eccezioni individuali con ciascuna regola.

Proteggere WordPress Dashboard (l'area WP-Admin)

Ora che hai inserito nella whitelist il tuo indirizzo IP e/o il tuo Paese, è il momento per bloccare saldamente la dashboard di wp-admin in modo che solo tu possa accedervi.

Perché e come proteggere il WordPress Dashboard in Cloudflare

Inutile dire che non vuoi che estranei sconosciuti possano accedere alla tua area di amministrazione e apportare modifiche a tua insaputa o autorizzazione.

Come tale, dovrai creare una regola del firewall che impedisca l'accesso esterno alla dashboard.

Però, i prima tu chiudi il tuo WordPress pannello di controllo, dovrai fare due importanti eccezioni.

  1. /wp-admin/admin-ajax.php. Questo comando consente al tuo sito Web di visualizzare contenuti dinamici e quindi deve essere accessibile dall'esterno da alcuni plug-in per funzionare. Pertanto, anche se è archiviato nella cartella /wp-admin/, deve essere accessibile dall'esterno se non desideri che il tuo sito Web mostri messaggi di errore ai visitatori.
  2. /wp-admin/theme-editor.php. Questo comando abilita WordPress per eseguire un controllo degli errori ogni volta che modifichi o modifichi il tema del tuo sito. Se trascuri di aggiungere questa opzione come eccezione, le modifiche non verranno salvate e riceverai un messaggio di errore che dice "Impossibile comunicare con il sito per verificare la presenza di errori irreversibili".

Per creare una regola firewall, vai prima su Sicurezza > WAF nella dashboard di Cloudflare, quindi fai clic sul pulsante "Crea regola firewall".

dashboard di cloudflare protect wp-admin

Per aggiungere queste eccezioni durante la protezione dell'area dashboard di wp-admin, dovrai creare questa regola:

  • Campo: percorso URI
  • Operatore: contiene
  • Valore: /wp-admin/

[E]

  • Campo: percorso URI
  • Operatore: non contiene
  • Valore: /wp-admin/admin-ajax.php

[E]

  • Campo: percorso URI
  • Operatore: non contiene
  • Valore: /wp-admin/theme-editor.php

[Azione: Blocca]

Quando hai finito, fai clic “Distribuire” per impostare la regola del firewall.

In alternativa, puoi fare clic su "Modifica espressione" e incollare quanto segue in:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Blocca Paesi/Continenti

Proprio come puoi autorizzare un paese per accedere alla dashboard di amministrazione.

Puoi anche imposta una regola del firewall per inserire nella lista nera paesi e persino interi continenti dalla visualizzazione o dall'accesso al tuo sito.

Perché e come bloccare paesi/continenti in Cloudflare

Perché potresti voler impedire a un intero paese o continente di accedere al tuo sito?

Bene, se il tuo sito web serve un determinato paese o area geografica e non è rilevante a livello globale, allora bloccare l'accesso da paesi e/o continenti irrilevanti è un modo semplice per limitare il rischio di attacchi di malware e traffico dannoso proveniente dall'estero, senza mai bloccare l'accesso al pubblico di destinazione legittimo del tuo sito web.

Per creare questa regola, dovrai ancora una volta aprire la dashboard di Cloudflare e andare su Sicurezza > WAF > Crea regola firewall.

Per modificare le impostazioni per consentire solo paesi specifici, immettere quanto segue:

  • Campo: Paese o Continente
  • Operatore: "C'è"
  • Valore: scegli i paesi o i continenti che desideri whitelist

(Nota: se vuoi consentire il traffico solo da un paese, puoi inserire "uguale" come operatore.)

Se invece scegli di bloccare paesi o continenti specifici, inserisci quanto segue:

  • Campo: Paese o Continente
  • Operatore: “Non c'è”
  • Valore: scegli i paesi o i continenti che desideri bloccare

Nota: questa regola potrebbe ritorcersi contro se hai bisogno di supporto tecnico e il team di supporto del tuo host web si trova in un paese o continente che hai bloccato.

Questo probabilmente non sarà un problema per la maggior parte delle persone, ma è qualcosa di cui dovresti essere consapevole.

Ecco un esempio di come negare l'accesso al tuo sito da un determinato Paese, dove vengono mostrati gli utenti di questo Paese a Sfida JavaScript prima di provare ad accedere al tuo sito.

Paese della lista nera di cloudflare

Blocca i bot dannosi

In base al loro agente utente, Cloudflare ti consente di bloccare l'accesso ai bot dannosi che tentano di penetrare nel tuo sito.

Se stai già utilizzando 7G, non devi preoccuparti di impostare questa regola: il 7G WAF blocca le minacce a livello di server facendo riferimento a un elenco completo di bot dannosi.

Tuttavia, se non utilizzi il 7G, ti consigliamo di configurare una regola del firewall che identifichi e blocchi i robot dannosi prima che possano causare danni.

Perché e come bloccare i bot dannosi in Cloudflare

Come al solito, prima vai alla dashboard di Cloudflare e vai a Sicurezza > WAF > Crea regola firewall.

cloudflare blocca i robot dannosi

Quindi, imposta l'espressione della regola del firewall come tale:

  • Campo: agente utente
  • Operatore: "Uguale" o "Contiene"
  • Valore: il nome del bot dannoso o dell'agente dannoso che desideri bloccare

Proprio come con i paesi che bloccano, i bot possono essere bloccati individualmente per nome. Per bloccare più di un bot contemporaneamente, usa l'opzione "OR" a destra per aggiungere altri bot all'elenco.

Quindi fare clic su “Distribuire” quando hai finito.

Tuttavia, il blocco manuale dei bot dannosi è diventato ridondante perché è stato lanciato Cloudflare "Modalità combattimento bot" per tutti gli utenti gratuiti.

modalità combattimento bot

e "Modalità Super Bot Combattimento" per gli utenti del piano Pro o Business.

modalità di combattimento super bot

Ciò significa che i robot dannosi vengono ora bloccati automaticamente per tutti i tipi di utenti di Cloudflare.

Blocca gli attacchi di forza bruta (wp-login.php)

Gli attacchi di forza bruta, noti anche come attacchi wp-login, sono gli attacchi più comuni mirati WordPress siti. 

In effetti, se guardi i registri del tuo server, probabilmente troverai prove di tali attacchi sotto forma di indirizzi IP da diverse posizioni in tutto il mondo che tentano di accedere al tuo file wp-login.php.

Fortunatamente, Cloudflare ti consente di impostare una regola del firewall per bloccare con successo gli attacchi di forza bruta.

Perché e come proteggere wp-login.php in Cloudflare

Sebbene la maggior parte degli attacchi di forza bruta siano scansioni automatizzate che non sono abbastanza potenti da superare WordPressDifese, è comunque una buona idea stabilire una regola per bloccarle e mettere a proprio agio la mente.

Però, i questa regola funziona solo se sei l'unico amministratore/utente sul tuo sito. Se è presente più di un amministratore o se il tuo sito utilizza un plug-in di abbonamento, dovresti saltare questa regola.

blocca wp-login.php

Per creare questa regola, torna a  Sicurezza > WAF > Crea regola firewall.

Dopo aver scelto un nome per questa regola, inserisci quanto segue:

  • Campo: percorso URI
  • Operatore: contiene
  • Valore: /wp-login.php

[Azione: Blocca]

In alternativa, puoi fare clic su "Modifica espressione" e incollare quanto segue in:

(http.request.uri.path contains "/wp-login.php")

Dopo aver distribuito la regola, Cloudflare inizierà a bloccare tutti i tentativi di accesso a wp-login provenienti da qualsiasi fonte diversa dal tuo IP nella whitelist.

Come bonus aggiuntivo, puoi verificare che questa protezione sia attiva e funzionante guardando nella sezione Eventi del firewall di Cloudflare, dove dovresti essere in grado di vedere un record di qualsiasi tentativo di attacco di forza bruta.

Blocca attacchi XML-RPC (xmlrpc.php)

Un altro tipo di attacco leggermente meno comune (ma comunque pericoloso) è un Attacco XML-RPC.

XML-RPC è una procedura remota che fa appello WordPress, che gli aggressori possono potenzialmente prendere di mira in un attacco di forza bruta per ottenere le credenziali di autenticazione.

Perché e come bloccare XML-RPC in Cloudflare

Sebbene esistano usi legittimi per XML-RPC, come la pubblicazione di contenuti su più WordPress blog contemporaneamente o accedendo al tuo WordPress sito da uno smartphone, in genere puoi implementare questa regola senza preoccuparti di conseguenze indesiderate.

blocco XML-RPC

Per bloccare gli attacchi di forza bruta contro le procedure XML-RPC, vai prima su Sicurezza > WAF > Crea regola firewall.

Quindi crea la seguente regola:

  • Campo: percorso URI
  • Operatore: contiene
  • Valore: /xmlrpc.php

[Azione: Blocca]

In alternativa, puoi fare clic su "Modifica espressione" e incollare quanto segue in:

(http.request.uri.path contains "/xmlrpc.php")

E proprio così, con pochi semplici passaggi, hai protetto il tuo WordPress sito da due dei tipi più comuni di attacchi di forza bruta.

Prevenire lo spam nei commenti (wp-comments-post.php)

Se sei un webmaster, lo spam sul tuo sito è solo uno dei fatti fastidiosi della vita.

Fortunatamente, Cloudflare Firewall offre diverse regole che puoi implementare per bloccare molti tipi comuni di spam, incluso lo spam nei commenti.

Perché e come bloccare wp-comments-post.php in Cloudflare

Se lo spam nei commenti è diventato un problema sul tuo sito (o, meglio ancora, se vuoi prevenire in modo proattivo che diventi un problema), puoi limitare wp-comments-post.php per limitare il traffico dei bot.

Questo viene fatto a livello DNS con un Cloudflare Sfida JSe il modo in cui funziona è relativamente semplice: i commenti spam sono automatizzati e le fonti automatizzate non possono elaborare JS.

Quindi falliscono la sfida JS e voilà - lo spam è bloccato a livello DNS e la richiesta non raggiunge nemmeno il tuo server.

blocco cloudflare wp-comments.php

Quindi, come si crea questa regola?

Come di solito, vai alla pagina Sicurezza > WAF e seleziona "Crea regola firewall".

Assicurati di assegnare a questa regola un nome riconoscibile, ad esempio "Comment Spam".

Quindi, imposta quanto segue:

  • Campo: URI
  • Operatore: Uguale
  • Valore: wp-comments-post.php

[E]

  • Campo: Metodo di richiesta
  • Operatore: Uguale
  • Valore: POST

[E]

  • Campo: Referente
  • Operatore: non contiene
  • Valore: [tuodominio.com]

[Azione: Sfida JS]

Fare attenzione a impostare l'azione su Sfida JS, in quanto ciò assicurerà che il commento sia bloccato senza interferire con le azioni generali dell'utente sul sito.

Dopo aver inserito questi valori, fai clic su "Distribuisci" per creare la tua regola.

Riepilogo: proteggere il tuo WordPress Sito con regole del firewall Cloudflare

Nella corsa agli armamenti della sicurezza web, le regole del firewall di Cloudflare sono una delle armi più efficaci che hai nel tuo arsenale. 

Anche con un account Cloudflare gratuito, puoi implementare molte regole diverse per proteggere il tuo WordPress sito contro alcune delle più comuni minacce di spam e malware.

Con poche (per lo più) semplici sequenze di tasti, puoi aumentare la sicurezza del tuo sito e fallo funzionare senza intoppi per i visitatori.

Per ulteriori informazioni sul miglioramento del tuo WordPress sicurezza del sito, controlla il mio guida alla conversione WordPress siti in HTML statico.

Referenze

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

Casa » Sicurezza online » Come proteggere il tuo WordPress Sito con regole del firewall Cloudflare

Iscriviti alla nostra newsletter

Iscriviti alla nostra newsletter settimanale di riepilogo e ricevi le ultime notizie e tendenze del settore

Cliccando 'iscriviti' accetti il ​​nostro termini di utilizzo e informativa sulla privacy.