Ако сте веб-администратор кој работи на блог или веб-локација WordPress, голема е веројатноста дека веб-безбедноста е еден од вашите врвни приоритети. Сè додека вашиот домен е овозможен за Cloudflare, можете додадете WordPress-специфични правила за заштитен ѕид на Cloudflare да ја подобрите безбедноста на вашата страница, па дури и да спречите напади долго пред да стигнат до вашиот сервер.
Ако го користите бесплатниот план на Cloudflare, имате можност да додадете 5 правила (профи планот ви дава 20).
Cloudflare го олеснува и брзо креирањето правила за заштитен ѕид, а секое правило нуди одлична флексибилност: не само што можете да направите многу со секое правило, туку правилата често може да се консолидираат, ослободувајќи ви простор да направите уште повеќе.
Во оваа статија, ќе разгледам подетално некои од различните правила за заштитен ѕид што би можеле да ги примените за да го надополните и подобрите вашиот WordPress постоечките безбедносни карактеристики на страницата.
Резиме: Како да го заштитите вашиот WordPress веб-страница со Cloudflare Firewall
- Заштитен ѕид за веб-апликации на Cloudflare (WAF) е софтверска алатка која ви овозможува да ги заштитите вашите WordPress веб-страница.
- Правилата за заштитниот ѕид на Cloudflare ви дозволуваат барања за црна листа или бела листа според флексибилните критериуми што ги поставивте.
- До создадете херметичка заштита за вашиот WordPress сајт, со Cloudflare можете: да ја ставите вашата сопствена IP адреса на белата листа, да ја заштитите вашата административна област, да блокирате посетители по регион или земја, да блокирате малициозни ботови и напади со брутална сила, да блокирате XML-RPC напади и да спречите спам за коментари.
Белата листа на вашата сопствена IP адреса
За да избегнете проблеми на патот, ставањето на белата листа на IP адресата на вашата веб-локација треба да биде првата задача на вашата листа пред ги овозможувате сите правила на заштитен ѕид.
Зошто и како да ја ставите вашата IP адреса на белата листа во Cloudflare
Ова е првенствено затоа што би можеле да се најдете заклучени надвор од вашата веб-страница ако изберете да ја блокирате вашата веб-страница WordPress административна област од други.
За да ја ставите на белата листа на IP адресата на вашата веб-локација, одете во делот за безбедност на контролната табла на Cloudflare и изберете „WAF“. Потоа кликнете на „Алатки“ и внесете ја вашата IP адреса во полето „Правила за пристап до IP“ и изберете „Бела листа“ од паѓачкото мени.
За да ја пронајдете вашата IP адреса, можете да направите Google побарајте „what's my IP“ и ќе ви ја врати IPv4 адресата, а ако ви треба вашиот IPv6, можете да отидете на https://www.whatismyip.com/
Се сеќавам дека ако вашата IP-адреса се промени, ќе мора повторно да ја внесете вашата нова IP-адреса/бела листа за да избегнете да бидете заклучени надвор од вашата административна област.
Покрај ставањето на белата листа на точната IP адреса на вашиот сајт, можете исто така да изберете да го ставите целиот ваш опсег на IP на белата листа.
Ако имате динамична IP адреса (т.е., IP адреса која е поставена постојано да се менува малку), тогаш ова е дефинитивно подобар избор за вас, бидејќи постојаното повторно внесување и ставање на нови IP адреси на белата листа би било голема болка.
Можете исто така да Белата листа на целата ваша земја.
Ова е дефинитивно најмалку безбедната опција бидејќи потенцијално ја остава вашата административна област отворена за напади кои доаѓаат од вашата земја.
Сепак, ако патувате многу поради работа и често се наоѓате себеси како пристапувате до вашите WordPress сајт од различни Wi-Fi конекции, ставањето на белата листа на вашата земја може да биде најзгодната опција за вас.
Имајте на ум дека која било IP адреса или земја што сте ја ставиле на белата листа ќе бидат изземени од сите други правила за заштитен ѕид и затоа не треба да се грижите за поставување поединечни исклучоци со секое правило.
Заштитете WordPress Контролна табла (област на WP-администратор)
Сега кога сте ги ставиле на белата листа на вашата IP адреса и/или земја, време е цврсто да ја заклучите контролната табла на wp-admin за да можете само вие да пристапите до неа.
Зошто и како да се заштити WordPress Контролна табла во Cloudflare
Се подразбира дека не сакате непознати аутсајдери да можат да пристапат до вашата административна област и да прават промени без ваше знаење или дозвола.
Како таква, ќе треба да направите правило за заштитен ѕид што го спречува надворешниот пристап до вашата контролна табла.
Сепак, пред ја заклучуваш својата WordPress контролна табла, ќе мора да направите два важни исклучоци.
- /wp-admin/admin-ajax.php. Оваа команда овозможува вашата веб-локација да прикажува динамична содржина и затоа треба да се пристапи однадвор со одредени приклучоци за да функционира. Како таков, иако е зачуван во папката /wp-admin/, ова треба да биде достапно однадвор ако не сакате вашата веб-страница да прикажува пораки за грешка на посетителите.
- /wp-admin/theme-editor.php. Оваа команда овозможува WordPress да извршите проверка на грешка секогаш кога ја менувате или уредувате темата на вашата страница. Ако занемарите да го додадете ова како исклучок, вашите промени нема да се зачуваат и ќе добиете порака за грешка која гласи: „Не можам да комуницирам назад со страницата за да провериме дали има фатални грешки“.
За да креирате правило за заштитен ѕид, прво одете до Безбедност > WAF во контролната табла на Cloudflare, а потоа кликнете на копчето „Креирај правило за заштитен ѕид“.
За да ги додадете овие исклучоци кога ја заштитувате областа на вашата контролна табла на wp-admin, ќе треба да го креирате ова правило:
- Поле: патека на URI
- Оператор: содржи
- Вредност: /wp-admin/
[И]
- Поле: патека на URI
- Оператор: не содржи
- Вредност: /wp-admin/admin-ajax.php
[И]
- Поле: патека на URI
- Оператор: не содржи
- Вредност: /wp-admin/theme-editor.php
[Акција: Блокирај]
Кога ќе завршите, кликнете "Распоредување" да го поставите правилото за вашиот заштитен ѕид.
Алтернативно, можете да кликнете на „Уреди израз“ и да го залепите подолу во:
(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")
Блокирајте земји/континенти
Исто како што можете да направите бела листа на земја за пристап до контролната табла на администраторот.
Можете исто така да поставете правило за заштитен ѕид за земјите, па дури и цели континенти да не гледаат или пристапуваат до вашата страница.
Зошто и како да блокирате земји/континенти во Cloudflare
Зошто можеби сакате да блокирате цела земја или континент да пристапи до вашата страница?
Па, ако вашата веб-страница служи за одредена земја или географски регион и не е глобално релевантна, тогаш блокирањето на пристапот од ирелевантни земји и/или континенти е лесен начин да се ограничи ризикот од напади на малициозен софтвер и злонамерен сообраќај што доаѓа од странство, без воопшто да се блокира пристапот до легитимната целна публика на вашата веб-локација.
За да го креирате ова правило, повторно ќе треба да ја отворите контролната табла на Cloudflare и да отидете на Безбедност > WAF > Креирај правило за заштитен ѕид.
За да ги промените поставките да дозволуваат само одредени земји, внесете го следново:
- Поле: Земја или континент
- Оператор: „Е во“
- Вредност: Изберете ги земјите или континентите што ги сакате бела листа
(Забелешка: ако сакате да дозволите сообраќај само од една земја, можете да внесете „еднакво“ како оператор.)
Ако изберете да блокирате одредени земји или континенти наместо тоа, внесете го следново:
- Поле: Земја или континент
- Оператор: „Не е внатре“
- Вредност: Изберете ги земјите или континентите што ги сакате блокира
Забелешка: ова правило може да се врати во спротивно ако ви треба техничка поддршка и тимот за поддршка на вашиот веб-домаќин се наоѓа во земја или континент што сте го блокирале.
Ова веројатно нема да биде проблем за повеќето луѓе, но тоа е нешто за што треба да бидете свесни.
Еве пример за тоа како да се одбие пристапот до вашата страница од одредена земја, каде што на корисниците од оваа земја се прикажани а JavaScript предизвик пред да се обидете да пристапите на вашата страница.
Блокирајте малициозни ботови
Врз основа на нивниот кориснички агент, Cloudflare ви овозможува да го блокирате пристапот до малициозни ботови кои се обидуваат да навлезат во вашата страница.
Ако веќе користите 7G, тогаш не треба да се грижите за поставувањето на ова правило: 7G WAF ги блокира заканите на ниво на сервер, повикувајќи се на сеопфатна листа на малициозни ботови.
Меѓутоа, ако не користите 7G, ќе сакате да конфигурирате правило за заштитен ѕид што ги идентификува и блокира лошите ботови пред да предизвикаат каква било штета.
Зошто и како да блокирате лоши ботови во Cloudflare
Како и обично, прво одете на контролната табла на Cloudflare и одете на Безбедност > WAF > Креирај правило за заштитен ѕид.
Потоа, поставете го изразот на правилото за заштитен ѕид како таков:
- Поле: Кориснички агент
- Оператор: „Еднакво“ или „Содржи“
- Вредност: името на лошиот бот или злонамерниот агент што сакате да го блокирате
Исто како и со земјите што блокираат, ботови може да се блокираат поединечно по име. За да блокирате повеќе од еден бот во исто време, користете ја опцијата „ИЛИ“ од десната страна за да додадете дополнителни ботови на списокот.
Потоа кликнете на "Распоредување" копче кога ќе завршиш.
Сепак, рачното блокирање на лоши ботови стана излишно бидејќи Cloudflare започна „Режим за борба со ботови“ за сите бесплатни корисници.
„Режим за борба со супер бот“ за корисници на про или бизнис план.
Што значи дека лошите ботови сега се блокираат автоматски за сите видови корисници на Cloudflare.
Блокирајте напади со брутална сила (wp-login.php)
Нападите со брутална сила, познати и како wp-login напади, се најчестите напади насочени кон WordPress сајтови.
Всушност, ако ги погледнете дневниците на вашиот сервер, најверојатно ќе најдете докази за такви напади во форма на IP-адреси од различни локации низ целиот свет кои се обидуваат да пристапат до вашата датотека wp-login.php.
За среќа, Cloudflare ви овозможува да поставите правило за заштитен ѕид за успешно да ги блокирате нападите со брутална сила.
Зошто и како да се заштити wp-login.php во Cloudflare
Иако повеќето напади со брутална сила се автоматизирани скенирања кои не се доволно моќни за да се пробијат WordPressОдбраните на, сепак е добра идеја да поставите правило за да ги блокирате и да го смирите вашиот ум.
Сепак, ова правило функционира само ако сте единствениот админ/корисник на вашата страница. Ако има повеќе од еден администратор или ако вашиот сајт користи приклучок за членство, тогаш треба да го прескокнете ова правило.
За да го креирате ова правило, вратете се на Безбедност > WAF > Креирај правило за заштитен ѕид.
Откако ќе изберете име за ова правило, внесете го следново:
- Поле: патека на URI
- Оператор: содржи
- Вредност: /wp-login.php
[Акција: Блокирај]
Алтернативно, можете да кликнете на „Уреди израз“ и да го залепите подолу во:
(http.request.uri.path contains "/wp-login.php")Откако ќе го примените правилото, Cloudflare ќе започне да ги блокира сите обиди за пристап до wp-login што доаѓаат од кој било извор освен вашата IP адреса на белата листа.
Како дополнителен бонус, можете да потврдите дека оваа заштита е отворена и работи гледајќи во делот Настани во заштитниот ѕид на Cloudflare, каде што треба да можете да видите запис за какви било обиди за напади со брутална сила.
Блокирај XML-RPC напади (xmlrpc.php)
Друг малку поретки (но сепак опасен) тип на напад е ан XML-RPC напад.
XML-RPC е далечинска процедура која повикува WordPress, кои напаѓачите потенцијално можат да ги таргетираат во напад со брутална сила за да добијат акредитиви за автентикација.
Зошто и како да блокирате XML-RPC во Cloudflare
Иако постојат легитимни употреби за XML-RPC, како што е објавување содржина на повеќекратни WordPress блогови истовремено или пристап до вашите WordPress страница од паметен телефон, генерално можете да го примените ова правило без да се грижите за несакани последици.
За да ги блокирате нападите со брутална сила насочени кон процедурите XML-RPC, прво одете на Безбедност > WAF > Креирај правило за заштитен ѕид.
Потоа креирајте го следново правило:
- Поле: патека на URI
- Оператор: содржи
- Вредност: /xmlrpc.php
[Акција: Блокирај]
Алтернативно, можете да кликнете на „Уреди израз“ и да го залепите подолу во:
(http.request.uri.path contains "/xmlrpc.php")И токму така, со само неколку едноставни чекори, го заштитивте вашето WordPress сајт од два од најчестите типови на напади со брутална сила.
Спречете спам за коментари (wp-comments-post.php)
Ако сте вебмастер, спам на вашиот сајт е само еден од досадните факти во животот.
За среќа, Cloudflare Firewall нуди неколку правила што можете да ги примените за да блокирате многу вообичаени типови на спам, вклучувајќи спам за коментари.
Зошто и како да блокирате wp-comments-post.php во Cloudflare
Ако спам-от за коментари стана проблем на вашата страница (или, уште подобро, ако сакате проактивно да спречите да стане проблем), можете да го ограничите wp-comments-post.php за да го ограничите сообраќајот на ботови.
Ова е направено на ниво на DNS со Cloudflare JS предизвик, а начинот на кој функционира е релативно едноставен: спам-коментарите се автоматизирани, а автоматизираните извори не можат да обработуваат JS.
Тие потоа не успеваат во предизвикот JS, и Voila - спам-от е блокиран на ниво на DNS, а барањето никогаш не стигнува до вашиот сервер.
Па, како го креирате ова правило?
Како и обично, одете на страницата Безбедност > WAF и изберете „Креирај правило за заштитен ѕид“.
Погрижете се да му дадете на ова правило препознатливо име, како што е „Спам за коментари“.
Потоа, поставете го следново:
- Поле: URI
- Оператор: Еднакво
- Вредност: wp-comments-post.php
[И]
- Поле: Метод на барање
- Оператор: Еднакво
- Вредност: ПОСТ
[И]
- Поле: Референт
- Оператор: не содржи
- Вредност: [yourdomain.com]
[Акција: JS Challenge]
Внимавајте да го поставите дејството на JS предизвик, бидејќи така ќе се осигураме дека коментарот е блокиран без да се меша со општите кориснички дејства на страницата.
Откако ќе ги внесете овие вредности, кликнете на „Распореди“ за да го креирате вашето правило.
Заврши: Како можете да го обезбедите вашиот WordPress Сајт со правила за заштитен ѕид на Cloudflare
Во трката за вооружување на веб-безбедноста, правилата за заштитен ѕид на Cloudflare се едно од најефикасните оружја што ги имате во вашиот арсенал.
Дури и со бесплатна сметка на Cloudflare, можете да распоредите многу различни правила за да ја заштитите вашата WordPress страница против некои од најчестите закани за спам и малициозен софтвер.
Со само неколку (најчесто) едноставни притискања на копчињата, можете да ја зајакнете безбедноста на вашата страница нека работи непречено за посетителите.
За повеќе за подобрување на вашиот WordPress безбедноста на страницата, проверете ја мојата водич за конвертирање WordPress сајтови до статичен HTML.
Референци
https://developers.cloudflare.com/firewall/
https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/
https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/
