איך לאבטח את שלך WordPress אתר עם כללי חומת אש של Cloudflare

אם אתה מנהל אתרים שמנהל בו בלוג או אתר WordPress, רוב הסיכויים שאבטחת אינטרנט היא אחד מהעדיפויות העליונות שלך. כל עוד הדומיין שלך מאופשר Cloudflare, אתה יכול להוסיף WordPressכללי חומת אש ספציפיים של Cloudflare כדי לשפר את אבטחת האתר שלך ואפילו למנוע התקפות הרבה לפני שהן מגיעות לשרת שלך.

אם אתה משתמש בתוכנית החינמית של Cloudflare, יש לך את היכולת להוסיף 5 כללים (תוכנית המקצוענים נותנת לך 20).

Cloudflare עושה את זה קל ומהיר ליצור חוקי חומת אש, וכל כלל מציע גמישות מדהימה: לא רק שאתה יכול לעשות הרבה עם כל כלל, אלא שלעתים קרובות ניתן לאחד כללים, ולפנות לך מקום לעשות אפילו יותר.

במאמר זה, אבחן לעומק כמה מכללי חומת האש השונים שתוכל להחיל כדי להשלים ולשפר את WordPress תכונות האבטחה הקיימות של האתר.

תקציר: איך להגן על שלך WordPress אתר אינטרנט עם Cloudflare Firewall

חומת האש של אפליקציות אינטרנט (WAF) של Cloudflare הוא כלי תוכנה המאפשר לך להגן על שלך WordPress אתר אינטרנט.
חוקי חומת האש של Cloudflare מאפשרים לך בקשות לרשימה שחורה או לרשימה הלבנה לפי קריטריונים גמישים שקבעתם.
ל ליצור הגנה אטומה עבורך WordPress אתר, עם Cloudflare אתה יכול: לרשום את כתובת ה-IP שלך, להגן על אזור הניהול שלך, לחסום מבקרים לפי אזור או מדינה, לחסום בוטים זדוניים והתקפות כוח גס, לחסום התקפות XML-RPC ולמנוע ספאם של הערות.

רשימת היתרים של כתובת ה-IP שלך

כדי למנוע בעיות בהמשך הדרך, רשימת ההיתרים של כתובת ה-IP של האתר שלך צריכה להיות המשימה הראשונה ברשימה שלך לפני אתה מפעיל כל חוקי חומת אש.

מדוע וכיצד לרשום את כתובת ה-IP שלך ב-Cloudflare

זה בעיקר בגלל שאתה עלול למצוא את עצמך ננעל מחוץ לאתר שלך אם תבחר לחסום את האתר שלך WordPress אזור ניהול מאחרים.

כדי לרשום את כתובת ה-IP של האתר שלך ברשימת היתרים, עבור אל קטע האבטחה של לוח המחוונים של Cloudflare ובחר "WAF". לאחר מכן לחץ על "כלים" והזן את כתובת ה-IP שלך בתיבה "כללי גישה ל-IP", ובחר "רשימה לבנה" מהתפריט הנפתח.

כדי למצוא את כתובת ה-IP שלך אתה יכול לעשות א Google חפש "מה ה-IP שלי" וזה יחזיר את כתובת ה-IPv4 שלך, ואם אתה צריך את ה-IPv6 שלך, אתה יכול ללכת אל https://www.whatismyip.com/

זכור כי אם כתובת ה-IP שלך משתנה, תצטרך להזין מחדש/לרשום את כתובת ה-IP החדשה שלך כדי למנוע נעילה מחוץ לאזור הניהול שלך.

בנוסף לרשימת ההיתרים של כתובת ה-IP המדויקת של האתר שלך, אתה יכול גם לבחור לרשום את כל טווח ה-IP שלך.

אם יש לך כתובת IP דינמית (כלומר, כתובת IP שמוגדרת להשתנות מעט כל הזמן), אז זו בהחלט הבחירה הטובה יותר עבורך, מכיוון שהזנה חוזרת והוספה מתמדת של כתובות IP חדשות תהיה כאב גדול.

אתה יכול גם רשימת היתרים של כל המדינה שלך.

זו בהחלט האפשרות הכי פחות מאובטחת מכיוון שהיא עשויה להשאיר את אזור הניהול שלך פתוח להתקפות המגיעות מתוך המדינה שלך.

עם זאת, אם אתה נוסע הרבה לעבודה ולעתים קרובות מוצא את עצמך ניגש לשלך WordPress אתר מחיבורי Wi-Fi שונים, רשימת ההיתרים של המדינה שלך עשויה להיות האפשרות הנוחה ביותר עבורך.

זכור שכל כתובת IP או ארץ שהכנסת לרשימת ההיתרים תהיה פטורה מכל כללי חומת האש האחרים, ולפיכך אינך צריך לדאוג לגבי הגדרת חריגים בודדים בכל כלל.

להגן WordPress לוח מחוונים (אזור ה-WP-Admin)

כעת, לאחר שרשמתם את כתובת ה-IP ו/או המדינה שלכם ברשימת ההיתרים, הגיע הזמן לנעול בחוזקה את לוח המחוונים של wp-admin כך שרק אתה יכול לגשת אליו.

למה ואיך להגן על WordPress לוח מחוונים ב-Cloudflare

מובן מאליו שאתה לא רוצה שאנשים מבחוץ לא ידועים יוכלו לגשת לאזור הניהול שלך ולבצע שינויים ללא ידיעתך או רשותך.

ככזה, תצטרך ליצור כלל חומת אש שמונע גישה מבחוץ ללוח המחוונים שלך.

עם זאת, לפני אתה נועל את שלך WordPress לוּחַ מַחווָנִים, תצטרך לעשות שני חריגים חשובים.

/wp-admin/admin-ajax.php. פקודה זו מאפשרת לאתר שלך להציג תוכן דינמי ולכן יש צורך לגשת אליו מבחוץ על ידי תוספים מסוימים כדי לתפקד. ככזה, למרות שהוא מאוחסן בתיקייה /wp-admin/, זה צריך להיות נגיש מבחוץ אם אתה לא רוצה שהאתר שלך יציג הודעות שגיאה למבקרים.
/wp-admin/theme-editor.php. פקודה זו מאפשרת WordPress כדי להפעיל בדיקת שגיאה בכל פעם שאתה משנה או ערוך את ערכת הנושא של האתר שלך. אם תזניח להוסיף זאת כחריג, השינויים שלך לא יישמרו, ותקבל הודעת שגיאה שקוראת: "לא ניתן לתקשר בחזרה עם האתר כדי לבדוק אם יש שגיאות קטלניות."

כדי ליצור כלל חומת אש, עבור תחילה אל אבטחה > WAF בלוח המחוונים של Cloudflare שלך, ולאחר מכן לחץ על הלחצן "צור כלל חומת אש".

cloudflare הגן על לוח המחוונים של wp-admin

כדי להוסיף חריגים אלה בעת הגנה על אזור לוח המחוונים של wp-admin, תצטרך ליצור את הכלל הזה:

שדה: נתיב URI
מפעיל: מכיל
ערך: /wp-admin/

[ו]

שדה: נתיב URI
מפעיל: אינו מכיל
ערך: /wp-admin/admin-ajax.php

[ו]

שדה: נתיב URI
מפעיל: אינו מכיל
ערך: /wp-admin/theme-editor.php

[פעולה: חסימה]

כשתסיים, לחץ "לפרוס" כדי להגדיר את כלל חומת האש שלך.

לחלופין, אתה יכול ללחוץ על "ערוך ביטוי" ולהדביק את הביטוי שלהלן ב:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

בלוק מדינות/יבשות

בדיוק כמו שאתה יכול לרשום מדינה לרשימת ההיתרים כדי לגשת למרכז השליטה שלך למנהל המערכת.

אתה יכול גם הגדר כלל חומת אש לרשימה שחורה של מדינות ואפילו יבשות שלמות מהצפייה או הגישה לאתר שלך.

מדוע וכיצד לחסום מדינות/יבשות ב-Cloudflare

מדוע אולי תרצה לחסום מדינה או יבשת שלמה מגישה לאתר שלך?

ובכן, אם האתר שלך משרת מדינה או אזור גיאוגרפי מסוים ואינו רלוונטי כלל עולמית, אז חסימת גישה ממדינות ו/או יבשות לא רלוונטיות היא דרך קלה להגביל את הסיכון להתקפות תוכנות זדוניות ותעבורה זדונית שמגיעה מחו"ל, מבלי לחסום אי פעם את הגישה לקהל היעד הלגיטימי של האתר שלך.

כדי ליצור כלל זה, תצטרך שוב לפתוח את לוח המחוונים של Cloudflare ולעבור אל אבטחה > WAF > צור כלל חומת אש.

כדי לשנות את ההגדרות כך שיאפשרו רק מדינות ספציפיות, הזן את הפרטים הבאים:

שדה: מדינה או יבשת
מפעיל: "נמצא בפנים"
ערך: בחר את המדינות או היבשות שאתה רוצה רשימה לבנה

(הערה: אם אתה רוצה לאפשר תעבורה רק ממדינה אחת, אתה יכול להזין "שווה" כמפעיל.)

אם תבחר לחסום מדינות או יבשות ספציפיות במקום זאת, הזן את הפרטים הבאים:

שדה: מדינה או יבשת
מפעיל: "לא נמצא"
ערך: בחר את המדינות או היבשות שאתה רוצה בלוק

הערה: הכלל הזה עלול להשפיע לאחור אם אתה זקוק לתמיכה טכנית וצוות התמיכה של מארח האינטרנט שלך נמצא במדינה או יבשת שחסמת.

זה כנראה לא יהווה בעיה עבור רוב האנשים, אבל זה משהו שאתה צריך להיות מודע אליו.

הנה דוגמה כיצד למנוע גישה לאתר שלך ממדינה מסוימת, כאשר משתמשים ממדינה זו מוצגים א אתגר JavaScript לפני שתנסה לגשת לאתר שלך.

חסום בוטים זדוניים

בהתבסס על סוכן המשתמש שלהם, Cloudflare מאפשר לך לחסום גישה לבוטים זדוניים המנסים לחדור לאתר שלך.

אם אתה כבר משתמש ב-7G, אז אתה לא צריך לדאוג לגבי הגדרת הכלל הזה: ה-7G WAF חוסם איומים ברמת השרת על ידי הפניה לרשימה מקיפה של בוטים זדוניים.

עם זאת, אם אינך משתמש ב-7G, תרצה להגדיר כלל חומת אש המזהה וחוסם בוטים גרועים לפני שהם יכולים לגרום נזק כלשהו.

מדוע וכיצד לחסום בוטים רעים ב-Cloudflare

כרגיל, תחילה עבור אל לוח המחוונים של Cloudflare ועבור אל אבטחה > WAF > צור כלל חומת אש.

לאחר מכן, הגדר את ביטוי כלל חומת האש שלך ככזה:

שדה: סוכן משתמש
מפעיל: "שווה" או "מכיל"
ערך: שם הבוט הרע או הסוכן הזדוני שברצונך לחסום

בדיוק כמו עם מדינות חסימות, ניתן לחסום בוטים בנפרד לפי שם. כדי לחסום יותר מבוט אחד בו-זמנית, השתמש באפשרות "OR" בצד ימין כדי להוסיף בוטים נוספים לרשימה.

לאחר מכן לחץ על "לפרוס" כשתסיים.

עם זאת, חסימה ידנית של בוטים רעים הפכה למיותרת מכיוון שהושק Cloudflare "מצב קרב בוטים" לכל המשתמשים החינמיים.

ו "מצב קרב בוט" עבור משתמשי פרו או תוכנית עסקית.

כלומר, בוטים רעים נחסמים כעת באופן אוטומטי עבור כל סוגי משתמשי Cloudflare.

חסום התקפות כוח גסות (wp-login.php)

התקפות כוח גסות, הידועות גם בתור התקפות wp-login, הן ההתקפות הנפוצות ביותר שמכוונות אליהן WordPress אתרים.

למעשה, אם תסתכל על יומני השרת שלך, סביר להניח שתמצא עדויות להתקפות כאלה בצורה של כתובות IP ממיקומים שונים ברחבי העולם המנסות לגשת לקובץ wp-login.php שלך.

למרבה המזל, Cloudflare מאפשר לך להגדיר כלל חומת אש כדי לחסום בהצלחה התקפות כוח גס.

מדוע וכיצד להגן על wp-login.php ב-Cloudflare

למרות שרוב התקפות הכוח הגס הן סריקות אוטומטיות שאינן חזקות מספיק כדי לעבור WordPressההגנות של, עדיין מומלץ לקבוע כלל שיחסום אותן ולהניח את דעתך בנחת.

עם זאת, כלל זה עובד רק אם אתה המנהל/המשתמש היחיד באתר שלך. אם יש יותר ממנהל מערכת אחד, או אם האתר שלך משתמש בתוסף חברות, עליך לדלג על כלל זה.

כדי ליצור כלל זה, חזור אל אבטחה > WAF > צור כלל חומת אש.

לאחר שבחרת שם לכלל זה, הזן את הפרטים הבאים:

שדה: נתיב URI
מפעיל: מכיל
ערך: /wp-login.php

[פעולה: חסימה]

לחלופין, אתה יכול ללחוץ על "ערוך ביטוי" ולהדביק את הביטוי שלהלן ב:

(http.request.uri.path contains "/wp-login.php")

לאחר שתפרוס את הכלל, Cloudflare יתחיל לחסום את כל הניסיונות לגשת ל-wp-login שמגיעים מכל מקור מלבד ה-IP שלך ברשימת ההיתרים.

כבונוס נוסף, אתה יכול לוודא שההגנה הזו פועלת על ידי עיון בקטע אירועי חומת האש של Cloudflare, שבו אתה אמור להיות מסוגל לראות תיעוד של כל ניסיון התקפות כוח גס.

חסום התקפות XML-RPC (xmlrpc.php)

עוד סוג קצת פחות נפוץ (אך עדיין מסוכן) של התקפה הוא מתקפת XML-RPC.

XML-RPC הוא הליך מרחוק הקורא WordPress, אשר תוקפים עלולים לכוון אליהם בהתקפת כוח גס כדי להשיג אישורי אימות.

מדוע וכיצד לחסום XML-RPC ב-Cloudflare

למרות שיש שימושים לגיטימיים ל-XML-RPC, כגון פרסום תוכן למספר רב של תוכן WordPress בלוגים בו-זמנית או גישה שלך WordPress אתר מסמארטפון, אתה יכול בדרך כלל לפרוס את הכלל הזה מבלי לדאוג להשלכות לא מכוונות.

כדי לחסום התקפות כוח גס המכוונות להליכי XML-RPC, עבור תחילה אל אבטחה > WAF > צור כלל חומת אש.

לאחר מכן צור את הכלל הבא:

שדה: נתיב URI
מפעיל: מכיל
ערך: /xmlrpc.php

[פעולה: חסימה]

לחלופין, אתה יכול ללחוץ על "ערוך ביטוי" ולהדביק את הביטוי שלהלן ב:

(http.request.uri.path contains "/xmlrpc.php")

ובדיוק ככה, עם כמה צעדים פשוטים, הגנת על שלך WordPress אתר משני הסוגים הנפוצים ביותר של התקפות כוח גס.

מנע ספאם של הערות (wp-comments-post.php)

אם אתה מנהל אתרים, ספאם באתר שלך הוא רק אחת מהעובדות המעצבנות של החיים.

למרבה המזל, Cloudflare Firewall מציע מספר כללים שתוכל לפרוס כדי לחסום סוגים נפוצים רבים של דואר זבל, כולל ספאם של הערות.

מדוע וכיצד לחסום wp-comments-post.php ב-Cloudflare

אם ספאם של הערות הפך לבעיה באתר שלך (או, יותר טוב, אם אתה רוצה למנוע ממנו באופן יזום להפוך לבעיה), אתה יכול להגביל את wp-comments-post.php כדי להגביל את תעבורת הבוטים.

זה נעשה ברמת ה-DNS עם Cloudflare אתגר JS, והדרך שבה זה עובד היא פשוטה יחסית: הערות ספאם הן אוטומטיות, ומקורות אוטומטיים לא יכולים לעבד JS.

לאחר מכן הם נכשלים באתגר JS, והרי - הספאם נחסם ברמת ה-DNS, והבקשה אף פעם לא מגיעה לשרת שלך.