როგორ დავიცვათ თქვენი WordPress საიტი Cloudflare Firewall-ის წესებით

თუ თქვენ ხართ ვებმასტერი, რომელიც აწარმოებს ბლოგს ან ვებსაიტს WordPress, დიდი შანსია, რომ ვებ უსაფრთხოება თქვენი ერთ-ერთი მთავარი პრიორიტეტია. სანამ თქვენი დომენი ჩართულია Cloudflare-ზე, შეგიძლიათ დავამატებთ WordPress-Cloudflare firewall-ის სპეციფიკური წესები თქვენი საიტის უსაფრთხოების გასაუმჯობესებლად და თავდასხმების თავიდან ასაცილებლად დიდი ხნით ადრე, სანამ ისინი თქვენს სერვერზე მოხვდებიან.

თუ იყენებთ Cloudflare-ის უფასო გეგმას, თქვენ გაქვთ შესაძლებლობა დაამატოთ 5 წესი (პრო გეგმა გაძლევთ 20-ს). 

Cloudflare აადვილებს და სწრაფს ქმნის firewall-ის წესების შექმნას და თითოეული წესი გთავაზობთ გასაოცარ მოქნილობას: არა მხოლოდ ბევრი რამის გაკეთება შეგიძლიათ ყველა წესით, არამედ ხშირად შეიძლება წესების კონსოლიდაცია, რაც გაგითავისუფლებთ სივრცეს კიდევ უფრო მეტის გასაკეთებლად.

ამ სტატიაში მე სიღრმისეულად განვიხილავ Firewall-ის ზოგიერთ წესს, რომლებიც შეგიძლიათ გამოიყენოთ თქვენი შეავსებისა და გასაუმჯობესებლად WordPress საიტის არსებული უსაფრთხოების მახასიათებლები.

რეზიუმე: როგორ დავიცვათ თქვენი WordPress ვებსაიტი Cloudflare Firewall-ით

• Cloudflare-ის ვებ აპლიკაციის Firewall (WAF) არის პროგრამული ინსტრუმენტი, რომელიც საშუალებას გაძლევთ დაიცვათ თქვენი WordPress ნახვა. 
• Cloudflare Firewall-ის წესები გაძლევთ საშუალებას შავი სიის ან თეთრი სიის მოთხოვნები თქვენ მიერ დაყენებული მოქნილი კრიტერიუმების მიხედვით. 
• დან შექმენით თქვენი ჰერმეტული დაცვა WordPress საიტიCloudflare-ით შეგიძლიათ: დაალაგოთ თქვენი საკუთარი IP მისამართი, დაიცვათ თქვენი ადმინისტრატორის ტერიტორია, დაბლოკოთ ვიზიტორები რეგიონის ან ქვეყნის მიხედვით, დაბლოკოთ მავნე ბოტები და უხეში ძალის შეტევები, დაბლოკოთ XML-RPC შეტევები და თავიდან აიცილოთ კომენტარების სპამი.

თეთრ სიაში თქვენი საკუთარი IP მისამართი

გზაზე პრობლემების თავიდან ასაცილებლად, თქვენი ვებსაიტის IP მისამართის თეთრ სიაში შეყვანა უნდა იყოს პირველი ამოცანა თქვენს სიაში ადრე თქვენ ჩართავთ Firewall-ის ნებისმიერ წესს.

რატომ და როგორ უნდა შეიყვანოთ თქვენი IP მისამართი Cloudflare-ში

ეს უპირველეს ყოვლისა იმიტომ ხდება, რომ თქვენ შეიძლება აღმოჩნდეთ დაბლოკილი თქვენი ვებსაიტის გარეთ, თუ გადაწყვეტთ თქვენი დაბლოკვას WordPress ადმინისტრაციული ტერიტორია სხვებისგან.

თქვენი ვებსაიტის IP მისამართის თეთრ სიაში რომ მოხვდეთ, გადადით თქვენი Cloudflare დაფის უსაფრთხოების განყოფილებაში და აირჩიეთ „WAF“. შემდეგ დააწკაპუნეთ „ინსტრუმენტებზე“ და შეიყვანეთ თქვენი IP მისამართი „IP წვდომის წესების“ ველში და აირჩიეთ „თეთრი სია“ ჩამოსაშლელი მენიუდან.

თქვენი IP მისამართის მოსაძებნად შეგიძლიათ გააკეთოთ Google მოძებნეთ „What's My IP“ და ის დააბრუნებს თქვენს IPv4 მისამართს და თუ გჭირდებათ თქვენი IPv6, შეგიძლიათ გადახვიდეთ https://www.whatismyip.com/

გახსოვდეთ, რომ თუ თქვენი IP მისამართი შეიცვლება, თქვენ მოგიწევთ ხელახლა შეიყვანოთ/თეთრ სიაში თქვენი ახალი IP მისამართი, რათა თავიდან აიცილოთ თქვენი ადმინისტრატორის ზონის დაბლოკვა.

თქვენი საიტის ზუსტი IP მისამართის თეთრ სიაში შეყვანის გარდა, თქვენ ასევე შეგიძლიათ აირჩიოთ თქვენი IP დიაპაზონის თეთრ სიაში შეყვანა.

თუ თქვენ გაქვთ დინამიური IP მისამართი (ანუ IP მისამართი, რომელიც დაყენებულია მუდმივად ოდნავ შეიცვლება), მაშინ ეს ნამდვილად უკეთესი არჩევანია თქვენთვის, რადგან მუდმივად ხელახლა შეყვანა და ახალი IP მისამართების თეთრ სიაში შეყვანა დიდი ტკივილი იქნება.

ასევე შეგიძლიათ თქვენი მთელი ქვეყნის თეთრ სიაში. 

ეს ნამდვილად ყველაზე ნაკლებად უსაფრთხო ვარიანტია, რადგან ის პოტენციურად ტოვებს თქვენს ადმინისტრაციულ ზონას თქვენი ქვეყნის შიგნიდან შემოსული შეტევებისთვის.

თუმცა, თუ ბევრს მოგზაურობთ სამუშაოდ და ხშირად ხვდებით თქვენს წვდომას WordPress საიტი სხვადასხვა Wi-Fi კავშირისგან, თქვენი ქვეყნის თეთრ სიაში შეიძლება იყოს თქვენთვის ყველაზე მოსახერხებელი ვარიანტი.

გაითვალისწინეთ, რომ ნებისმიერი IP მისამართი ან ქვეყანა, რომელიც თქვენ შეიტანეთ თეთრ სიაში, გათავისუფლდება ყველა სხვა firewall-ის წესებისგან და, შესაბამისად, თქვენ არ უნდა ინერვიულოთ თითოეული წესის ინდივიდუალური გამონაკლისების დაყენებაზე.

დაცვა WordPress დაფა (WP-Admin Area)

ახლა, როცა თქვენი IP მისამართი და/ან ქვეყანა შეიტანეთ თეთრ სიაში, დროა მჭიდროდ ჩაკეტოთ თქვენი wp-admin დაფა ისე, რომ მხოლოდ თქვენ შეძლოთ მასზე წვდომა.

რატომ და როგორ დავიცვათ WordPress დაფა Cloudflare-ში

რა თქმა უნდა, არ გსურთ, რომ უცნობმა აუტსაიდერმა შეძლოს თქვენს ადმინისტრაციულ ზონაში წვდომა და ცვლილებების შეტანა თქვენი ცოდნისა და ნებართვის გარეშე.

იმდენი, თქვენ უნდა შექმნათ firewall-ის წესი, რომელიც ხელს უშლის თქვენს დაფაზე გარე წვდომას.

თუმცა, ადრე შენ ჩაკეტე შენი WordPress დაფა, თქვენ მოგიწევთ ორი მნიშვნელოვანი გამონაკლისის გაკეთება.

1. /wp-admin/admin-ajax.php. ეს ბრძანება საშუალებას აძლევს თქვენს ვებსაიტს აჩვენოს დინამიური შინაარსი და, შესაბამისად, საჭიროა გარედან წვდომა გარკვეული დანამატებით, რათა იმუშაოს. როგორც ასეთი, მიუხედავად იმისა, რომ ის ინახება /wp-admin/ საქაღალდეში, ის უნდა იყოს ხელმისაწვდომი გარედან, თუ არ გსურთ თქვენს ვებსაიტზე ნახოს შეცდომის შეტყობინებები ვიზიტორებისთვის.
2. /wp-admin/theme-editor.php. ეს ბრძანება საშუალებას აძლევს WordPress შეცდომის შემოწმება ყოველ ჯერზე, როცა შეცვლით ან შეცვლით თქვენი საიტის თემას. თუ უგულებელყოფთ ამის გამონაკლისის დამატებას, თქვენი ცვლილებები არ შეინახება და მიიღებთ შეცდომის შეტყობინებას, რომელიც წაიკითხავს: „ვერ ხერხდება საიტთან დაკავშირება ფატალური შეცდომების შესამოწმებლად“.

Firewall-ის წესის შესაქმნელად, ჯერ გადადით Security > WAF თქვენს Cloudflare დაფაზე, შემდეგ დააწკაპუნეთ ღილაკზე „Create Firewall Rule“.

ამ გამონაკლისების დასამატებლად თქვენი wp-admin დაფის არეალის დაცვისას, თქვენ უნდა შექმნათ ეს წესი:

• ველი: URI ბილიკი
• ოპერატორი: შეიცავს
• მნიშვნელობა: /wp-admin/

[და]

• ველი: URI ბილიკი
• ოპერატორი: არ შეიცავს
• მნიშვნელობა: /wp-admin/admin-ajax.php

[და]

• ველი: URI ბილიკი
• ოპერატორი: არ შეიცავს
• მნიშვნელობა: /wp-admin/theme-editor.php

[მოქმედება: დაბლოკვა]

დასრულების შემდეგ დააჭირეთ ღილაკს "განლაგება" თქვენი firewall-ის წესის დასაყენებლად.

გარდა ამისა, შეგიძლიათ დააწკაპუნოთ "გამოხატვის რედაქტირებაზე" და ჩასვათ ქვემოთ:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

დაბლოკეთ ქვეყნები/კონტინენტები

ისევე, როგორც თქვენ შეგიძლიათ თეთრ სიაში ქვეყნების სიაში წვდომა თქვენს ადმინისტრაციულ დაფაზე.

ასევე შეგიძლიათ დააწესეთ firewall-ის წესი ქვეყნების და მთელი კონტინენტების შავ სიაში თქვენი საიტის ნახვის ან წვდომისთვის.

რატომ და როგორ დავბლოკოთ ქვეყნები/კონტინენტები Cloudflare-ში

რატომ შეიძლება გინდოდეთ დაბლოკოთ მთელი ქვეყანა ან კონტინენტი თქვენს საიტზე?

კარგად, თუ თქვენი ვებსაიტი ემსახურება კონკრეტულ ქვეყანას ან გეოგრაფიულ რეგიონს და არ არის გლობალურად აქტუალური, მაშინ შეუსაბამო ქვეყნებიდან და/ან კონტინენტებიდან წვდომის დაბლოკვა მარტივი გზაა მავნე პროგრამების შეტევებისა და უცხოეთიდან შემოსული მავნე ტრაფიკის რისკის შესაზღუდად, თქვენი ვებსაიტის ლეგიტიმურ სამიზნე აუდიტორიაზე წვდომის დაბლოკვის გარეშე.

ამ წესის შესაქმნელად, თქვენ კიდევ ერთხელ უნდა გახსნათ თქვენი Cloudflare დაფა და გადახვიდეთ უსაფრთხოება > WAF > Firewall-ის წესის შექმნა.

პარამეტრების შესაცვლელად მხოლოდ კონკრეტული ქვეყნების დასაშვებად, შეიყვანეთ შემდეგი:

• სფერო: ქვეყანა ან კონტინენტი
• ოპერატორი: "შედის"
• ღირებულება: აირჩიეთ თქვენთვის სასურველი ქვეყნები ან კონტინენტები whitelist

(შენიშვნა: თუ გსურთ დაუშვათ ტრაფიკი მხოლოდ ერთი ქვეყნიდან, შეგიძლიათ შეიყვანოთ „ტოლები“, როგორც ოპერატორი.)

თუ აირჩევთ კონკრეტული ქვეყნების ან კონტინენტების დაბლოკვას, შეიყვანეთ შემდეგი:

• სფერო: ქვეყანა ან კონტინენტი
• ოპერატორი: "არ არის"
• ღირებულება: აირჩიეთ თქვენთვის სასურველი ქვეყნები ან კონტინენტები დაბლოკვა

შენიშვნა: ეს წესი შეიძლება უკუშედეგი იყოს, თუ გჭირდებათ ტექნიკური მხარდაჭერა და თქვენი ვებ ჰოსტის მხარდაჭერის გუნდი მდებარეობს ქვეყანაში ან კონტინენტზე, რომელიც თქვენ დაბლოკეთ.

ეს სავარაუდოდ არ იქნება პრობლემა ადამიანების უმეტესობისთვის, მაგრამ ეს არის ის, რაც უნდა იცოდეთ.

აი, მაგალითი იმისა, თუ როგორ აკრძალავთ თქვენს საიტზე წვდომას გარკვეული ქვეყნიდან, სადაც ნაჩვენებია მომხმარებლები ამ ქვეყნიდან ა JavaScript გამოწვევა სანამ შეეცდებით თქვენს საიტზე წვდომას.

მავნე ბოტების დაბლოკვა

მათი მომხმარებლის აგენტზე დაყრდნობით, Cloudflare გაძლევთ საშუალებას დაბლოკოთ წვდომა მავნე ბოტებზე, რომლებიც ცდილობენ თქვენს საიტზე შეღწევას.

თუ თქვენ უკვე იყენებთ 7G-ს, მაშინ არ უნდა ინერვიულოთ ამ წესის დაყენებაზე: 7G WAF ბლოკავს საფრთხეებს სერვერის დონეზე მავნე ბოტების ყოვლისმომცველი ჩამონათვალის მითითებით.

თუმცა, თუ არ იყენებთ 7G, თქვენ გსურთ დააკონფიგურიროთ firewall-ის წესი, რომელიც განსაზღვრავს და ბლოკავს ცუდ ბოტებს, სანამ ისინი რაიმე ზიანს მიაყენებენ.

რატომ და როგორ დავბლოკოთ ცუდი ბოტები Cloudflare-ში

ჩვეულებისამებრ, ჯერ გადადით თქვენს Cloudflare დაფაზე და გადადით უსაფრთხოება > WAF > Firewall-ის წესის შექმნა.

შემდეგ დააყენეთ თქვენი firewall წესის გამოხატულება ასე:

• ველი: მომხმარებლის აგენტი
• ოპერატორი: "ტოლია" ან "შეიცავს"
• მნიშვნელობა: ცუდი ბოტის ან მავნე აგენტის სახელი, რომლის დაბლოკვაც გსურთ

ისევე, როგორც დაბლოკილი ქვეყნების შემთხვევაში, ბოტების დაბლოკვა შესაძლებელია ინდივიდუალურად სახელით. ერთზე მეტი ბოტის დაბლოკვის მიზნით, გამოიყენეთ "OR" ოფცია მარჯვნივ, რათა დაამატოთ დამატებითი ბოტები სიაში.

შემდეგ დააჭირეთ ღილაკს "განლაგება" დასრულების ღილაკი.

თუმცა ცუდი ბოტების ხელით დაბლოკვა ზედმეტი გახდა, რადგან Cloudflare დაიწყო "ბოტის ბრძოლის რეჟიმი" ყველა უფასო მომხმარებლისთვის.

მდე "სუპერ ბოტის ბრძოლის რეჟიმი" პრო ან ბიზნეს გეგმის მომხმარებლებისთვის.

ეს ნიშნავს, რომ ცუდი ბოტები ახლა ავტომატურად იბლოკება Cloudflare-ის ყველა ტიპის მომხმარებლისთვის.

უხეში ძალის შეტევების დაბლოკვა (wp-login.php)

უხეში ძალის შეტევები, ასევე ცნობილი როგორც wp-login თავდასხმები, ყველაზე გავრცელებული თავდასხმებია WordPress საიტები. 

სინამდვილეში, თუ გადახედავთ თქვენი სერვერის ჟურნალებს, სავარაუდოდ ნახავთ ასეთი თავდასხმების მტკიცებულებებს IP მისამართების სახით მსოფლიოს სხვადასხვა მდებარეობიდან, რომლებიც ცდილობენ თქვენს wp-login.php ფაილზე წვდომას.

საბედნიეროდ, Cloudflare საშუალებას გაძლევთ დააყენოთ firewall-ის წესი, რათა წარმატებით დაბლოკოთ უხეში ძალის შეტევები.

რატომ და როგორ დავიცვათ wp-login.php Cloudflare-ში

მიუხედავად იმისა, რომ უხეში ძალის შეტევების უმეტესობა არის ავტომატური სკანირება, რომელიც საკმარისად ძლიერი არ არის WordPressდაცვით, მაინც კარგი იდეაა დაწესოთ წესი მათი დაბლოკვისა და გონების დამშვიდების მიზნით.

თუმცა, ეს წესი მუშაობს მხოლოდ იმ შემთხვევაში, თუ თქვენ ხართ თქვენი საიტის ერთადერთი ადმინი/მომხმარებელი. თუ ერთზე მეტი ადმინისტრატორია, ან თუ თქვენი საიტი იყენებს წევრობის დანამატს, მაშინ უნდა გამოტოვოთ ეს წესი.

ამ წესის შესაქმნელად, დაბრუნდით  უსაფრთხოება > WAF > Firewall-ის წესის შექმნა.

მას შემდეგ რაც ამ წესისთვის სახელი აირჩევთ, შეიყვანეთ შემდეგი:

• ველი: URI ბილიკი
• ოპერატორი: შეიცავს
• მნიშვნელობა: /wp-login.php

[მოქმედება: დაბლოკვა]

გარდა ამისა, შეგიძლიათ დააწკაპუნოთ "გამოხატვის რედაქტირებაზე" და ჩასვათ ქვემოთ:

(http.request.uri.path contains "/wp-login.php")

როგორც კი წესს გამოიყენებთ, Cloudflare დაიწყებს wp-login-ზე წვდომის ყველა მცდელობის დაბლოკვას, რომელიც მოდის ნებისმიერი წყაროდან, გარდა თქვენი თეთრი სიაში შეყვანილი IP-ისა.

როგორც დამატებითი ბონუსი, შეგიძლიათ გადაამოწმოთ, რომ ეს დაცვა მუშაობს და მუშაობს Cloudflare-ის Firewall-ის მოვლენების განყოფილებაში, სადაც თქვენ უნდა ნახოთ ნებისმიერი უხეში ძალის შეტევის მცდელობის ჩანაწერი.

XML-RPC თავდასხმების დაბლოკვა (xmlrpc.php)

შეტევის კიდევ ერთი ოდნავ ნაკლებად გავრცელებული (მაგრამ მაინც საშიში) ტიპია XML-RPC შეტევა.

XML-RPC არის მოწოდების დისტანციური პროცედურა WordPress, რომელიც თავდამსხმელებს პოტენციურად შეუძლიათ მიზანმიმართული უხეში ძალის შეტევის დროს, რათა მიიღონ ავთენტიფიკაციის სერთიფიკატები.

რატომ და როგორ დავბლოკოთ XML-RPC Cloudflare-ში

მიუხედავად იმისა, რომ არსებობს XML-RPC-ის ლეგიტიმური გამოყენება, როგორიცაა შინაარსის განთავსება მრავალჯერ WordPress ბლოგები ერთდროულად ან თქვენს WordPress საიტი სმარტფონიდან, შეგიძლიათ ზოგადად განათავსოთ ეს წესი არასასურველი შედეგების შესახებ ფიქრის გარეშე.

იმისათვის, რომ დაბლოკოთ უხეში ძალის შეტევები, რომლებიც მიზნად ისახავს XML-RPC პროცედურებს, ჯერ გადადით უსაფრთხოება > WAF > Firewall-ის წესის შექმნა.

შემდეგ შექმენით შემდეგი წესი:

• ველი: URI ბილიკი
• ოპერატორი: შეიცავს
• მნიშვნელობა: /xmlrpc.php

[მოქმედება: დაბლოკვა]

გარდა ამისა, შეგიძლიათ დააწკაპუნოთ "გამოხატვის რედაქტირებაზე" და ჩასვათ ქვემოთ:

(http.request.uri.path contains "/xmlrpc.php")

და სწორედ ასე, მხოლოდ რამდენიმე მარტივი ნაბიჯით, თქვენ დაიცავით თქვენი WordPress საიტი უხეში ძალის შეტევების ორი ყველაზე გავრცელებული ტიპისგან.

კომენტარების სპამის თავიდან აცილება (wp-comments-post.php)

თუ ვებმასტერი ხართ, თქვენს საიტზე სპამი მხოლოდ ცხოვრების ერთ-ერთი შემაშფოთებელი ფაქტია.

საბედნიეროდ, Cloudflare Firewall გთავაზობთ რამდენიმე წესს, რომელთა გამოყენება შეგიძლიათ სპამის მრავალი გავრცელებული ტიპის დასაბლოკად, მათ შორის კომენტარების სპამი.

რატომ და როგორ დავბლოკოთ wp-comments-post.php Cloudflare-ში

თუ კომენტარის სპამი პრობლემად იქცა თქვენს საიტზე (ან, კიდევ უკეთესი, თუ გსურთ პროაქტიულად თავიდან აიცილოთ ის პრობლემად), შეგიძლიათ შეზღუდოთ wp-comments-post.php ბოტის ტრაფიკის შეზღუდვის მიზნით.

ეს კეთდება DNS დონეზე Cloudflare-ით JS გამოწვევადა მისი მუშაობის მეთოდი შედარებით მარტივია: სპამის კომენტარები ავტომატიზირებულია და ავტომატური წყაროები ვერ ამუშავებენ JS-ს.

შემდეგ ისინი ვერ ახერხებენ JS გამოწვევას და voila - სპამი დაბლოკილია DNS დონეზე და მოთხოვნა არასოდეს აღწევს თქვენს სერვერზე.

მაშ, როგორ ქმნით ამ წესს?

როგორც წესი, გადადით უსაფრთხოება > WAF გვერდზე და აირჩიეთ „Firewall-ის წესის შექმნა“.

დარწმუნდით, რომ ამ წესს მიანიჭებთ ცნობად სახელს, როგორიცაა „კომენტარის სპამი“.

შემდეგ დააყენეთ შემდეგი:

• სფერო: URI
• ოპერატორი: ტოლია
• მნიშვნელობა: wp-comments-post.php

[და]

• სფერო: მოთხოვნის მეთოდი
• ოპერატორი: ტოლია
• ღირებულება: POST

[და]

• სფერო: რეფერენტი
• ოპერატორი: არ შეიცავს
• ღირებულება: [yourdomain.com]

[მოქმედება: JS Challenge]

ფრთხილად იყავით, რომ დააყენოთ მოქმედება JS გამოწვევა, რადგან ეს დარწმუნდება, რომ კომენტარი დაიბლოკება საიტზე მომხმარებლის ზოგადი ქმედებებში ჩარევის გარეშე.

მას შემდეგ რაც შეიყვანთ ამ მნიშვნელობებს, დააწკაპუნეთ "განლაგებაზე" თქვენი წესის შესაქმნელად.

შეფუთვა: როგორ შეგიძლიათ დაიცვათ თქვენი WordPress საიტი Cloudflare Firewall-ის წესებით

ვებ-უსაფრთხოების შეიარაღების რბოლაში, Cloudflare firewall-ის წესები ერთ-ერთი ყველაზე ეფექტური იარაღია, რომელიც თქვენს არსენალში გაქვთ. 

Cloudflare-ის უფასო ანგარიშითაც კი, თქვენ შეგიძლიათ განათავსოთ მრავალი განსხვავებული წესი თქვენი დასაცავად WordPress საიტი ზოგიერთი ყველაზე გავრცელებული სპამისა და მავნე პროგრამების საფრთხის წინააღმდეგ.

მხოლოდ რამდენიმე (ძირითადად) მარტივი კლავიშების დაჭერით, შეგიძლიათ გაზარდოთ თქვენი საიტის უსაფრთხოება მდე შეუფერხებლად იმოქმედოს ვიზიტორებისთვის.

მეტი თქვენი გაუმჯობესების შესახებ WordPress საიტის უსაფრთხოება, შეამოწმეთ ჩემი კონვერტაციის სახელმძღვანელო WordPress საიტები სტატიკური HTML-ისთვის.

ლიტერატურა

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/