Slik sikrer du din WordPress Nettsted med Cloudflare-brannmurregler

Written by

Hvis du er en webmaster som driver en blogg eller et nettsted på WordPress, er sjansen stor for at nettsikkerhet er en av dine toppprioriteringer. Så lenge domenet ditt er Cloudflare-aktivert, kan du legge til WordPress-spesifikke Cloudflare brannmurregler for å forbedre nettstedets sikkerhet og til og med forhindre angrep lenge før de når serveren din.

Hvis du bruker Cloudflares gratisplan, har du muligheten til å legge til 5 regler (pro-planen gir deg 20). 

Cloudflare gjør det enkelt og raskt å lage brannmurregler, og hver regel tilbyr fantastisk fleksibilitet: ikke bare kan du gjøre mye med hver regel, men regler kan ofte konsolideres, og frigjøre plass for deg å gjøre enda mer.

cloudflare brannmurregler

I denne artikkelen skal jeg ta en grundig titt på noen av de forskjellige brannmurreglene du kan bruke for å utfylle og forbedre WordPress nettstedets eksisterende sikkerhetsfunksjoner.

Sammendrag: Hvordan beskytte din WordPress nettsted med Cloudflare Firewall

  • Cloudflares nettapplikasjonsbrannmur (WAF) er et programvareverktøy som lar deg beskytte din WordPress nettside. 
  • Cloudflare brannmurregler lar deg svarteliste eller hvitelisteforespørsler i henhold til fleksible kriterier som du setter. 
  • Til skape lufttett beskyttelse for din WordPress nettstedet, med Cloudflare kan du: hvitliste din egen IP-adresse, beskytte administrasjonsområdet ditt, blokkere besøkende etter region eller land, blokkere ondsinnede roboter og brute force-angrep, blokkere XML-RPC-angrep og forhindre spam i kommentarer.

Hviteliste din egen IP-adresse

For å unngå problemer på veien, hvitlisting av ditt eget nettsteds IP-adresse bør være den første oppgaven på listen din før du du aktiverer brannmurregler.

Hvorfor og hvordan hviteliste IP-adressen din i Cloudflare

Dette er først og fremst fordi du kan bli låst ute fra din egen nettside hvis du velger å blokkere din WordPress administrasjonsområde fra andre.

For å hviteliste nettstedets IP-adresse, gå til Cloudflare-dashbordsikkerhetsdelen og velg "WAF." Klikk deretter på "Verktøy" og skriv inn IP-adressen din i "IP Access Rules"-boksen, og velg "whitelist" fra rullegardinmenyen.

cloudflare hviteliste egen IP-adresse

For å finne IP-adressen din kan du gjøre en Google søk etter "what's my IP" og det vil returnere IPv4-adressen din, og hvis du trenger din IPv6, kan du gå til https://www.whatismyip.com/

Husk at hvis IP-adressen din endres, må du skrive inn/hviteliste den nye IP-adressen din på nytt for å unngå å bli låst ute av administrasjonsområdet ditt.

I tillegg til å hviteliste nettstedets eksakte IP-adresse, du kan også velge å hviteliste hele IP-området ditt.

Hvis du har en dynamisk IP-adresse (dvs. en IP-adresse som er satt til å endre seg litt kontinuerlig), så er dette definitivt det bedre valget for deg, siden det å stadig legge inn og hviteliste nye IP-adresser vil være en stor smerte.

Du kan også hviteliste hele landet ditt. 

Dette er definitivt det minst sikre alternativet siden det potensielt lar administrasjonsområdet ditt være åpent for angrep som kommer fra landet ditt.

Imidlertid hvis du reiser mye for jobb og ofte finner deg selv å få tilgang til din WordPress nettstedet fra forskjellige Wi-Fi-tilkoblinger, kan det være det mest praktiske alternativet for deg å godkjenne landet ditt.

Husk at enhver IP-adresse eller land du har hvitelistet vil bli unntatt fra alle andre brannmurregler, og dermed trenger du ikke å bekymre deg for å angi individuelle unntak for hver regel.

Beskytt WordPress Dashboard (WP-Admin-området)

Nå som du har hvitelistet IP-adressen din og/eller landet, er det på tide for å låse wp-admin-dashbordet godt opp slik at bare du har tilgang til det.

Hvorfor og hvordan beskytte WordPress Dashboard i Cloudflare

Det sier seg selv at du ikke vil at ukjente utenforstående skal kunne få tilgang til administrasjonsområdet ditt og gjøre endringer uten din viten eller tillatelse.

Som sådan, du må lage en brannmurregel som hindrer ekstern tilgang til dashbordet.

Imidlertid før du du låser din WordPress dashbordet, du må gjøre to viktige unntak.

  1. /wp-admin/admin-ajax.php. Denne kommandoen lar nettstedet ditt vise dynamisk innhold og må derfor åpnes utenfra av visse plugins for å fungere. Som sådan, selv om det er lagret i /wp-admin/-mappen, må dette være tilgjengelig fra utsiden hvis du ikke vil at nettstedet ditt skal vise feilmeldinger til besøkende.
  2. /wp-admin/theme-editor.php. Denne kommandoen aktiverer WordPress for å kjøre en feilsjekk hver gang du endrer eller redigerer nettstedets tema. Hvis du unnlater å legge til dette som et unntak, vil ikke endringene dine bli lagret, og du vil motta en feilmelding som lyder: "Kan ikke kommunisere tilbake med nettstedet for å se etter fatale feil."

For å lage en brannmurregel, gå først til Sikkerhet > WAF i Cloudflare-dashbordet, og klikk deretter på "Opprett brannmurregel"-knappen.

cloudflare beskytte wp-admin dashbord

For å legge til disse unntakene når du beskytter wp-admin-dashbordområdet ditt, må du opprette denne regelen:

  • Felt: URI-bane
  • Operatør: inneholder
  • Verdi: /wp-admin/

[OG]

  • Felt: URI-bane
  • Operatør: inneholder ikke
  • Verdi: /wp-admin/admin-ajax.php

[OG]

  • Felt: URI-bane
  • Operatør: inneholder ikke
  • Verdi: /wp-admin/theme-editor.php

[Handling: Blokker]

Når du er ferdig, klikk "Utplassere" for å angi brannmurregelen.

Alternativt kan du klikke på "Rediger uttrykk" og lime inn det nedenfor:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Blokkér land/kontinenter

Akkurat som du kan hviteliste et land for å få tilgang til admin-dashbordet.

Du kan også angi en brannmurregel for å svarteliste land og til og med hele kontinenter fra å se eller få tilgang til nettstedet ditt.

Hvorfor og hvordan blokkere land/kontinenter i Cloudflare

Hvorfor vil du kanskje blokkere et helt land eller kontinent fra å få tilgang til nettstedet ditt?

Vel, hvis nettstedet ditt betjener et bestemt land eller geografisk område og ikke er globalt relevant, da blokkering av tilgang fra irrelevante land og/eller kontinenter er en enkel måte å begrense risikoen for malware-angrep og ondsinnet trafikk fra utlandet, uten noen gang å blokkere tilgangen til nettstedets legitime målgruppe.

For å opprette denne regelen, må du igjen åpne Cloudflare-dashbordet og gå til Sikkerhet > WAF > Opprett brannmurregel.

For å endre innstillingene til kun å tillate bestemte land, skriv inn følgende:

  • Felt: Land eller kontinent
  • Operatør: "Er med"
  • Verdi: Velg landene eller kontinentene du vil hviteliste

(Merk: hvis du bare vil tillate trafikk fra ett land, kan du angi «lik» som operatør.)

Hvis du velger å blokkere bestemte land eller kontinenter i stedet, skriv inn følgende:

  • Felt: Land eller kontinent
  • Operatør: "Er ikke med"
  • Verdi: Velg landene eller kontinentene du vil blokkere

Merk: denne regelen kan slå tilbake hvis du trenger teknisk støtte og nettvertens støtteteam er lokalisert i et land eller kontinent du har blokkert.

Dette vil sannsynligvis ikke være et problem for de fleste, men det er noe du bør være klar over.

Her er et eksempel på hvordan nekte tilgang til nettstedet ditt fra et bestemt land, der brukere fra dette landet vises en JavaScript-utfordring før du prøver å få tilgang til nettstedet ditt.

cloudflare svartelisteland

Blokker ondsinnede bots

Basert på brukeragenten deres, Cloudflare lar deg blokkere tilgang til ondsinnede roboter som prøver å trenge inn på nettstedet ditt.

Hvis du allerede bruker 7G, trenger du ikke å bekymre deg for å angi denne regelen: 7G WAF blokkerer trusler på servernivå ved å referere til en omfattende liste over ondsinnede roboter.

Men hvis du ikke bruker 7G, du vil konfigurere en brannmurregel som identifiserer og blokkerer dårlige roboter før de kan forårsake skade.

Hvorfor og hvordan blokkere dårlige bots i Cloudflare

Som vanlig, gå først til Cloudflare-dashbordet og gå til Sikkerhet > WAF > Opprett brannmurregel.

cloudflare blokkerer dårlige roboter

Deretter setter du brannmurregeluttrykket ditt slik:

  • Felt: Brukeragent
  • Operatør: «Tilsvarer» eller «Inneholder»
  • Verdi: navnet på den dårlige boten eller den ondsinnede agenten du vil blokkere

Akkurat som med blokkerende land, kan roboter blokkeres individuelt etter navn. For å blokkere mer enn én bot på samme tid, bruk "ELLER"-alternativet til høyre for å legge til flere roboter til listen.

Klikk deretter på "Utplassere" når du er ferdig.

Manuell blokkering av dårlige roboter har imidlertid blitt overflødig fordi Cloudflare har lansert "Bot Fight Mode" for alle gratisbrukere.

bot-kampmodus

og "Super Bot Fight-modus" for brukere av profesjonelle eller forretningsplaner.

super bot-kampmodus

Dette betyr at dårlige roboter nå blir blokkert automatisk for alle typer Cloudflare-brukere.

Block Brute Force Attacks (wp-login.php)

Brute force-angrep, også kjent som wp-login-angrep, er de vanligste angrepene som er rettet mot WordPress nettsteder. 

Faktisk, hvis du ser på serverloggene dine, vil du sannsynligvis finne bevis på slike angrep i form av IP-adresser fra forskjellige steder rundt om i verden som prøver å få tilgang til filen wp-login.php.

Heldigvis, Cloudflare lar deg angi en brannmurregel for å blokkere brute force-angrep.

Hvorfor og hvordan beskytte wp-login.php i Cloudflare

Selv om de fleste brute force-angrep er automatiserte skanninger som ikke er kraftige nok til å komme gjennom WordPresssitt forsvar, er det fortsatt en god idé å sette en regel for å blokkere dem og sette tankene dine med ro.

Imidlertid denne regelen fungerer bare hvis du er den eneste administratoren/brukeren på nettstedet ditt. Hvis det er mer enn én administrator, eller hvis nettstedet ditt bruker en medlemskapsplugin, bør du hoppe over denne regelen.

blokker wp-login.php

For å opprette denne regelen, gå tilbake til  Sikkerhet > WAF > Opprett brannmurregel.

Etter at du har valgt et navn for denne regelen, skriv inn følgende:

  • Felt: URI-bane
  • Operatør: inneholder
  • Verdi: /wp-login.php

[Handling: Blokker]

Alternativt kan du klikke på "Rediger uttrykk" og lime inn det nedenfor:

(http.request.uri.path contains "/wp-login.php")

Når du implementerer regelen, Cloudflare vil begynne å blokkere alle forsøk på å få tilgang til wp-login som kommer fra en annen kilde enn din hvitelistede IP.

Som en ekstra bonus, du kan bekrefte at denne beskyttelsen er oppe og kjører ved å se i Cloudflares brannmurhendelser-seksjon, hvor du skal kunne se en oversikt over alle forsøk på brute force-angrep.

Blokker XML-RPC-angrep (xmlrpc.php)

En annen litt mindre vanlig (men fortsatt farlig) type angrep er en XML-RPC angrep.

XML-RPC er en ekstern prosedyre som kaller på WordPress, som angripere potensielt kan målrette mot i et brute force-angrep for å få autentiseringslegitimasjon.

Hvorfor og hvordan blokkere XML-RPC i Cloudflare

Selv om det er legitime bruksområder for XML-RPC, for eksempel å legge ut innhold til flere WordPress blogger samtidig eller får tilgang til din WordPress nettstedet fra en smarttelefon, kan du vanligvis implementere denne regelen uten å bekymre deg for utilsiktede konsekvenser.

blokker XML-RPC

For å blokkere brute force-angrep rettet mot XML-RPC-prosedyrer, gå først til Sikkerhet > WAF > Opprett brannmurregel.

Lag deretter følgende regel:

  • Felt: URI-bane
  • Operatør: inneholder
  • Verdi: /xmlrpc.php

[Handling: Blokker]

Alternativt kan du klikke på "Rediger uttrykk" og lime inn det nedenfor:

(http.request.uri.path contains "/xmlrpc.php")

Og akkurat som det, med bare noen få enkle trinn, har du beskyttet din WordPress nettsted fra to av de vanligste typene brute force-angrep.

Forhindr kommentarspam (wp-comments-post.php)

Hvis du er en webmaster, er spam på nettstedet ditt bare en av livets irriterende fakta.

Heldigvis, Cloudflare Firewall tilbyr flere regler du kan distribuere for å blokkere mange vanlige typer spam, inkludert kommentarspam.

Hvorfor og hvordan blokkere wp-comments-post.php i Cloudflare

Hvis kommentarspam har blitt et problem på nettstedet ditt (eller enda bedre, hvis du proaktivt vil forhindre at det blir et problem), kan du begrense wp-comments-post.php for å begrense bottrafikken.

Dette gjøres på DNS-nivå med en Cloudflare JS utfordring, og måten det fungerer på er relativt enkelt: spam-kommentarer er automatisert, og automatiserte kilder kan ikke behandle JS.

De mislykkes da i JS-utfordringen, og vips – spam er blokkert på DNS-nivå, og forespørselen når aldri serveren din.

cloudflare blokkere wp-comments.php

Så hvordan lager du denne regelen?

Som vanlig, gå til siden Sikkerhet > WAF og velg "Opprett brannmurregel."

Sørg for at du gir denne regelen et gjenkjennelig navn, for eksempel «Kommentarspam».

Still deretter inn følgende:

  • Felt: URI
  • Operatør: Er lik
  • Verdi: wp-comments-post.php

[OG]

  • Felt: Forespørselsmetode
  • Operatør: Er lik
  • Verdi: POST

[OG]

  • Felt: Henviser
  • Operatør: inneholder ikke
  • Verdi: [dittdomene.com]

[Handling: JS Challenge]

Vær forsiktig med å sette handlingen til JS utfordring, da dette vil sørge for at kommentaren blokkeres uten å forstyrre generelle brukerhandlinger på nettstedet.

Når du har angitt disse verdiene, klikk på "Deploy" for å opprette regelen din.

Sammendrag: Sikre din WordPress Nettsted med Cloudflare-brannmurregler

I våpenkappløpet for nettsikkerhet er Cloudflare brannmurregler et av de mest effektive våpnene du har i arsenalet ditt. 

Selv med en gratis Cloudflare-konto kan du distribuere mange forskjellige regler for å beskytte din WordPress nettsted mot noen av de vanligste truslene om spam og skadelig programvare.

Med bare noen få (for det meste) enkle tastetrykk kan du øke nettstedets sikkerhet og holde det løpende for besøkende.

For mer om å forbedre din WordPress nettstedets sikkerhet, sjekk ut min veiledning for konvertering WordPress nettsteder til statisk HTML.

Referanser

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

Hjem » Online Security » Slik sikrer du din WordPress Nettsted med Cloudflare-brannmurregler

Bli med på vårt nyhetsbrev

Abonner på vårt ukentlige nyhetsbrev og få de siste bransjenyhetene og trendene

Ved å klikke "abonner" godtar du vår vilkår for bruk og personvernerklæring.