Hoe u uw . kunt beveiligen WordPress Site met Cloudflare Firewall-regels

Geschreven door

Als u een webmaster bent die een blog of website beheert op WordPress, is de kans groot dat webbeveiliging een van uw topprioriteiten is. Zolang uw domein Cloudflare-enabled is, kunt u: toevoegen WordPress-specifieke Cloudflare-firewallregels om de beveiliging van uw site te verbeteren en zelfs aanvallen te voorkomen lang voordat ze uw server bereiken.

Als je het gratis abonnement van Cloudflare gebruikt, heb je de mogelijkheid om 5 regels toe te voegen (het pro-abonnement geeft je 20). 

Cloudflare maakt het gemakkelijk en snel om firewallregels te maken, en elke regel biedt geweldige flexibiliteit: je kunt niet alleen veel doen met elke regel, maar regels kunnen vaak worden geconsolideerd, waardoor je ruimte vrijmaakt om nog meer te doen.

cloudflare firewall-regels

In dit artikel ga ik dieper in op enkele van de verschillende firewallregels die u kunt toepassen om uw WordPress bestaande beveiligingsfuncties van de site.

Samenvatting: Hoe u uw . kunt beschermen WordPress website met Cloudflare Firewall

  • Cloudflare's Web Application Firewall (WAF) is een softwaretool waarmee u uw WordPress website. 
  • Met Cloudflare Firewall-regels kunt u: zwarte lijst of witte lijst verzoeken volgens flexibele criteria die u instelt. 
  • Naar creëer luchtdichte bescherming voor uw WordPress website, met Cloudflare kunt u: uw eigen IP-adres op de witte lijst zetten, uw beheerdersgebied beschermen, bezoekers per regio of land blokkeren, kwaadaardige bots en brute force-aanvallen blokkeren, XML-RPC-aanvallen blokkeren en reactiespam voorkomen.

Uw eigen IP-adres op de witte lijst zetten

Om problemen onderweg te voorkomen, het op de witte lijst zetten van het IP-adres van uw eigen website zou de eerste taak op uw lijst moeten zijn voor u schakelt eventuele firewallregels in.

Waarom en hoe u uw IP-adres op de witte lijst kunt zetten in Cloudflare

Dit komt voornamelijk omdat je zou kunnen merken dat je buitengesloten wordt van je eigen website als je ervoor kiest om je WordPress admin gebied van anderen.

Om het IP-adres van uw website op de witte lijst te zetten, gaat u naar het gedeelte Beveiliging van uw Cloudflare-dashboard en selecteert u "WAF". Klik vervolgens op "Extra" en voer uw IP-adres in het vak "IP-toegangsregels" in en kies "witte lijst" in het vervolgkeuzemenu.

cloudflare whitelist eigen IP-adres

Om uw IP-adres te vinden, kunt u een: Google zoek naar "wat is mijn IP" en het zal je IPv4-adres retourneren, en als je je IPv6 nodig hebt, ga je naar https://www.whatismyip.com/

Vergeet niet dat als uw IP-adres verandert, moet u uw nieuwe IP-adres opnieuw invoeren/op de witte lijst zetten om te voorkomen dat u wordt buitengesloten van uw beheerdersgebied.

Naast het op de witte lijst zetten van het exacte IP-adres van uw site, u kunt er ook voor kiezen om uw volledige IP-bereik op de witte lijst te zetten.

Als u een dynamisch IP-adres heeft (dwz een IP-adres dat is ingesteld om voortdurend lichtjes te veranderen), dan is dit zeker de betere keuze voor u, aangezien het voortdurend opnieuw invoeren en op de witte lijst zetten van nieuwe IP-adressen een groot probleem zou zijn.

Ook zet je hele land op de witte lijst. 

Dit is absoluut de minst veilige optie, omdat het uw beheerdersgebied mogelijk open laat voor aanvallen vanuit uw land.

Echter, als u veel reist voor uw werk en vaak merkt dat u uw WordPress site van verschillende Wi-Fi-verbindingen, is het op de witte lijst zetten van uw land wellicht de handigste optie voor u.

Houd er rekening mee dat elk IP-adres of land dat u op de witte lijst heeft gezet, wordt vrijgesteld van alle andere firewallregels, en dat u zich dus geen zorgen hoeft te maken over het instellen van individuele uitzonderingen bij elke regel.

Beschermen WordPress Dashboard (het WP-Admin-gedeelte)

Nu je je IP-adres en/of land op de witte lijst hebt gezet, is het tijd om uw wp-admin-dashboard stevig te vergrendelen, zodat alleen u er toegang toe hebt.

Waarom en hoe de te beschermen WordPress Dashboard in Cloudflare

Het spreekt voor zich dat u niet wilt dat onbekende buitenstaanders zonder uw medeweten of toestemming toegang kunnen krijgen tot uw admin-gebied en wijzigingen kunnen aanbrengen.

Als zodanig, u moet een firewallregel maken die externe toegang tot uw dashboard verhindert.

Echter, voor je sluit je WordPress dashboard, je zult twee belangrijke uitzonderingen moeten maken.

  1. /wp-admin/admin-ajax.php. Met deze opdracht kan uw website dynamische inhoud weergeven en moet deze door bepaalde plug-ins van buitenaf worden benaderd om te kunnen functioneren. Als zodanig, hoewel het is opgeslagen in de /wp-admin/ map, moet dit van buitenaf toegankelijk zijn als u niet wilt dat uw website foutmeldingen weergeeft aan bezoekers.
  2. /wp-admin/thema-editor.php. Deze opdracht maakt: WordPress om elke keer dat u het thema van uw site wijzigt of bewerkt een foutencontrole uit te voeren. Als u dit niet als uitzondering toevoegt, worden uw wijzigingen niet opgeslagen en ontvangt u een foutmelding met de tekst 'Kan niet terug communiceren met de site om te controleren op fatale fouten'.

Om een ​​firewallregel aan te maken, ga je eerst naar Beveiliging > WAF in je Cloudflare-dashboard en klik je vervolgens op de knop "Firewallregel maken".

cloudflare beschermen wp-admin dashboard

Om deze uitzonderingen toe te voegen bij het beschermen van uw wp-admin-dashboardgebied, moet u deze regel maken:

  • Veld: URI-pad
  • Operator: bevat
  • Waarde: /wp-admin/

[EN]

  • Veld: URI-pad
  • Operator: bevat geen
  • Waarde: /wp-admin/admin-ajax.php

[EN]

  • Veld: URI-pad
  • Operator: bevat geen
  • Waarde: /wp-admin/theme-editor.php

[Actie: Blokkeren]

Als je klaar bent, klik je op "Inzetten" om uw firewallregel in te stellen.

U kunt ook op "Uitdrukking bewerken" klikken en het onderstaande plakken in:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Landen/continenten blokkeren

Net zoals u een land op de witte lijst kunt zetten om toegang te krijgen tot uw beheerdersdashboard.

Ook stel een firewallregel in om landen en zelfs hele continenten op de zwarte lijst te zetten zodat ze uw site niet kunnen bekijken of openen.

Waarom en hoe landen/continenten in Cloudflare te blokkeren

Waarom zou u de toegang tot uw site voor een heel land of continent willen blokkeren?

Welnu, als uw website een bepaald land of een bepaalde geografische regio bedient en niet wereldwijd relevant is, dan het blokkeren van toegang vanuit irrelevante landen en/of continenten is een gemakkelijke manier om het risico op malware-aanvallen en kwaadaardig verkeer uit het buitenland te beperken, zonder ooit de toegang tot de legitieme doelgroep van uw website te blokkeren.

Om deze regel te maken, moet je opnieuw je Cloudflare-dashboard openen en naar . gaan Beveiliging > WAF > Firewallregel maken.

Voer het volgende in om de instellingen te wijzigen om alleen specifieke landen toe te staan:

  • Veld: Land of Continent
  • Operator: "Is binnen"
  • Waarde: Kies de landen of continenten die u wilt whitelist

(Opmerking: als u alleen verkeer uit één land wilt toestaan, kunt u "is gelijk aan" invoeren als de operator.)

Als u ervoor kiest om in plaats daarvan specifieke landen of continenten te blokkeren, voert u het volgende in:

  • Veld: Land of Continent
  • Operator: "Is niet in"
  • Waarde: Kies de landen of continenten die u wilt blok

Opmerking: deze regel kan averechts werken als je technische ondersteuning nodig hebt en het ondersteuningsteam van je webhost zich in een land of continent bevindt dat je hebt geblokkeerd.

Dit zal voor de meeste mensen waarschijnlijk geen probleem zijn, maar het is iets waar u zich bewust van moet zijn.

Hier is een voorbeeld van hoe de toegang tot uw site wordt geweigerd vanuit een bepaald land, waarbij gebruikers uit dit land een JavaScript-uitdaging voordat u toegang probeert te krijgen tot uw site.

cloudflare zwarte lijst land

Schadelijke bots blokkeren

Op basis van hun user-agent, Met Cloudflare kunt u de toegang blokkeren voor kwaadwillende bots die proberen uw site binnen te dringen.

Als je al 7G gebruikt, hoef je je geen zorgen te maken over het instellen van deze regel: de 7G WAF blokkeert bedreigingen op serverniveau door te verwijzen naar een uitgebreide lijst met kwaadaardige bots.

Als u echter geen 7G gebruikt, u wilt een firewallregel configureren die slechte bots identificeert en blokkeert voordat ze schade kunnen aanrichten.

Waarom en hoe slechte bots in Cloudflare te blokkeren

Ga zoals gewoonlijk eerst naar je Cloudflare-dashboard en ga naar Beveiliging > WAF > Firewallregel maken.

cloudflare blokkeert slechte bots

Stel vervolgens de expressie van uw firewallregel als volgt in:

  • Veld: Gebruikersagent
  • Operator: "Is gelijk aan" of "Bevat"
  • Waarde: de naam van de slechte bot of kwaadwillende agent die u wilt blokkeren

Net als bij het blokkeren van landen, kunnen bots afzonderlijk op naam worden geblokkeerd. Om meer dan één bot tegelijk te blokkeren, gebruikt u de optie "OF" aan de rechterkant om extra bots aan de lijst toe te voegen.

Klik vervolgens op de "Inzetten" knop als je klaar bent.

Het handmatig blokkeren van slechte bots is echter overbodig geworden omdat Cloudflare is gelanceerd "Bot Fight-modus" voor alle gratis gebruikers.

bot-vechtmodus

en "Super Bot Vechtmodus" voor gebruikers van Pro- of Business-abonnementen.

super bot vechtmodus

Dit betekent dat slechte bots nu automatisch worden geblokkeerd voor alle soorten Cloudflare-gebruikers.

Brute Force-aanvallen blokkeren (wp-login.php)

Brute force-aanvallen, ook wel wp-login-aanvallen genoemd, zijn de meest voorkomende aanvallen waarop WordPress sites. 

Als u naar uw serverlogboeken kijkt, zult u waarschijnlijk bewijzen van dergelijke aanvallen vinden in de vorm van IP-adressen van verschillende locaties over de hele wereld die proberen toegang te krijgen tot uw wp-login.php-bestand.

Gelukkig, Met Cloudflare kun je een firewallregel instellen om brute force-aanvallen met succes te blokkeren.

Waarom en hoe wp-login.php te beschermen in Cloudflare

Hoewel de meeste brute force-aanvallen geautomatiseerde scans zijn die niet krachtig genoeg zijn om er doorheen te komen WordPress's verdedigingen, is het nog steeds een goed idee om een ​​regel in te stellen om ze te blokkeren en je gerust te stellen.

Echter, deze regel werkt alleen als u de enige beheerder/gebruiker op uw site bent. Als er meer dan één beheerder is, of als uw site een lidmaatschapsplug-in gebruikt, moet u deze regel overslaan.

blokkeer wp-login.php

Ga terug naar . om deze regel te maken  Beveiliging > WAF > Firewallregel maken.

Nadat u een naam voor deze regel heeft gekozen, voert u het volgende in:

  • Veld: URI-pad
  • Operator: bevat
  • Waarde: /wp-login.php

[Actie: Blokkeren]

U kunt ook op "Uitdrukking bewerken" klikken en het onderstaande plakken in:

(http.request.uri.path contains "/wp-login.php")

Zodra u de regel implementeert, Cloudflare zal beginnen met het blokkeren van alle pogingen om toegang te krijgen tot wp-login die afkomstig zijn van een andere bron dan uw op de witte lijst geplaatste IP.

Als een toegevoegde bonus, je kunt controleren of deze bescherming actief is door te kijken in de sectie Firewall-evenementen van Cloudflare, waar u een record zou moeten kunnen zien van elke poging tot brute force-aanvallen.

XML-RPC-aanvallen blokkeren (xmlrpc.php)

Een ander, iets minder vaak voorkomend (maar nog steeds gevaarlijk) type aanval is een XML-RPC-aanval.

XML-RPC is een procedure op afstand die aanroept: WordPress, waarop aanvallers zich mogelijk kunnen richten in een brute force-aanval om authenticatiegegevens te verkrijgen.

Waarom en hoe XML-RPC in Cloudflare te blokkeren

Hoewel er legitieme toepassingen zijn voor XML-RPC, zoals het plaatsen van inhoud op meerdere WordPress blogs tegelijkertijd of toegang tot uw WordPress site vanaf een smartphone, kunt u deze regel over het algemeen implementeren zonder u zorgen te maken over onbedoelde gevolgen.

blok XML-RPC

Om brute force-aanvallen gericht op XML-RPC-procedures te blokkeren, gaat u eerst naar: Beveiliging > WAF > Firewallregel maken.

Maak dan de volgende regel aan:

  • Veld: URI-pad
  • Operator: bevat
  • Waarde: /xmlrpc.php

[Actie: Blokkeren]

U kunt ook op "Uitdrukking bewerken" klikken en het onderstaande plakken in:

(http.request.uri.path contains "/xmlrpc.php")

En zomaar, met slechts een paar eenvoudige stappen, heb je je WordPress site van twee van de meest voorkomende soorten brute force-aanvallen.

Voorkom reactiespam (wp-comments-post.php)

Als u een webmaster bent, is spam op uw site slechts een van de vervelende feiten van het leven.

Gelukkig, Cloudflare Firewall biedt verschillende regels die u kunt inzetten om veelvoorkomende soorten spam te blokkeren, inclusief commentaarspam.

Waarom en hoe wp-comments-post.php in Cloudflare te blokkeren

Als commentaarspam een ​​probleem is geworden op uw site (of, beter nog, als u proactief wilt voorkomen dat het een probleem wordt), kunt u wp-comments-post.php beperken om botverkeer te beperken.

Dit gebeurt op DNS-niveau met een Cloudflare JS-uitdaging, en de manier waarop het werkt is relatief eenvoudig: spamcommentaar wordt geautomatiseerd en geautomatiseerde bronnen kunnen JS niet verwerken.

Ze slagen dan niet in de JS-uitdaging, en voila - de spam wordt op DNS-niveau geblokkeerd en het verzoek bereikt zelfs nooit uw server.

cloudflare blok wp-comments.php

Dus, hoe creëer je deze regel?

Zoals gebruikelijk ga naar de pagina Beveiliging > WAF en selecteer 'Firewallregel maken'.

Zorg ervoor dat je deze regel een herkenbare naam geeft, zoals 'Reactiespam'.

Stel vervolgens het volgende in:

  • Veld: URI
  • Operator: Is gelijk aan
  • Waarde: wp-comments-post.php

[EN]

  • Veld: Aanvraagmethode
  • Operator: Is gelijk aan
  • Waarde: POST

[EN]

  • Veld: Verwijzer
  • Operator: bevat geen
  • Waarde: [uwdomein.com]

[Actie: JS-uitdaging]

Zorg ervoor dat u de actie instelt op: JS-uitdaging, omdat dit ervoor zorgt dat de opmerking wordt geblokkeerd zonder de algemene gebruikersacties op de site te verstoren.

Nadat u deze waarden heeft ingevoerd, klik op "Deploy" om uw regel te maken.

Samenvatting: Uw . beveiligen WordPress Site met Cloudflare Firewall-regels

In de wapenwedloop voor webbeveiliging zijn de firewallregels van Cloudflare een van de meest effectieve wapens die je in je arsenaal hebt. 

Zelfs met een gratis Cloudflare-account kun je veel verschillende regels toepassen om je WordPress website tegen enkele van de meest voorkomende spam- en malwarebedreigingen.

Met slechts een paar (meestal) eenvoudige toetsaanslagen kunt u de beveiliging van uw site verbeteren en om het vlot te laten verlopen voor bezoekers.

Voor meer informatie over het verbeteren van uw WordPress site's veiligheid, check out my gids voor het converteren WordPress sites naar statische HTML.

Referenties

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

Home » Online beveiliging » Hoe u uw . kunt beveiligen WordPress Site met Cloudflare Firewall-regels

Schrijf je in op onze nieuwsbrief

Abonneer u op onze wekelijkse roundup-nieuwsbrief en ontvang het laatste nieuws en trends in de branche

Door op 'abonneren' te klikken ga je akkoord met onze gebruiksvoorwaarden en privacybeleid.