Como proteger o seu WordPress Site com regras de firewall da Cloudflare

Escrito por

Se você é um webmaster que administra um blog ou site em WordPress, é provável que a segurança da Web seja uma das suas principais prioridades. Desde que seu domínio esteja habilitado para Cloudflare, você pode adicionar WordPressregras de firewall específicas da Cloudflare para melhorar a segurança do seu site e até mesmo evitar ataques muito antes de chegarem ao seu servidor.

Se você estiver usando o plano gratuito da Cloudflare, poderá adicionar 5 regras (o plano pro oferece 20). 

A Cloudflare facilita e agiliza a criação de regras de firewall, e cada regra oferece uma flexibilidade incrível: não só você pode fazer muito com cada regra, mas muitas vezes as regras podem ser consolidadas, liberando espaço para você fazer ainda mais.

regras de firewall cloudflare

Neste artigo, analisarei detalhadamente algumas das diferentes regras de firewall que você pode aplicar para complementar e aprimorar seu WordPress recursos de segurança existentes do site.

Resumo: Como proteger o seu WordPress site com firewall Cloudflare

  • Firewall de aplicativo da Web (WAF) da Cloudflare é uma ferramenta de software que permite proteger seus WordPress . 
  • As regras de firewall da Cloudflare permitem que você solicitações de lista negra ou lista branca de acordo com os critérios flexíveis que você definir. 
  • Para criar proteção hermética para o seu WordPress local, com a Cloudflare você pode: colocar seu próprio endereço IP na lista de permissões, proteger sua área de administração, bloquear visitantes por região ou país, bloquear bots maliciosos e ataques de força bruta, bloquear ataques XML-RPC e evitar spam de comentários.

Lista de permissões seu próprio endereço IP

Para evitar problemas no caminho, colocar o endereço IP do seu próprio site na lista de permissões deve ser a primeira tarefa da sua lista antes você habilita qualquer regra de firewall.

Por que e como colocar seu endereço IP na lista de permissões na Cloudflare

Isso ocorre principalmente porque você pode ficar bloqueado em seu próprio site se optar por bloquear seu WordPress área de administração de outros.

Para colocar o endereço IP do seu site na lista de permissões, acesse a seção Segurança do painel da Cloudflare e selecione “WAF”. Em seguida, clique em “Ferramentas” e digite seu endereço IP na caixa “Regras de acesso IP” e escolha “lista branca” no menu suspenso.

endereço IP próprio da lista de permissões da cloudflare

Para encontrar seu endereço IP, você pode fazer um Google procure por "qual é o meu IP" e ele retornará seu endereço IPv4, e se você precisar do seu IPv6, você pode ir para https://www.whatismyip.com/

Lembre-se que se o seu endereço IP mudar, você terá que reinserir/lista de permissões seu novo endereço IP para evitar ser bloqueado na sua área de administração.

Além de colocar o endereço IP exato do seu site na lista de permissões, você também pode optar por colocar todo o seu intervalo de IP na lista de permissões.

Se você tem um endereço IP dinâmico (ou seja, um endereço IP que está configurado para mudar um pouco continuamente), então esta é definitivamente a melhor escolha para você, já que constantemente reinserir e colocar novos endereços IP na lista de permissões seria um grande problema.

Você também pode whitelist todo o seu país. 

Esta é definitivamente a opção menos segura, pois potencialmente deixa sua área de administração aberta a ataques vindos de seu país.

Contudo, os preços do se você viaja muito a trabalho e frequentemente se encontra acessando seu WordPress site de diferentes conexões Wi-Fi, colocar seu país na lista de permissões pode ser a opção mais conveniente para você.

Lembre-se de que qualquer endereço IP ou país que você colocou na lista de permissões estará isento de todas as outras regras de firewall e, portanto, você não precisa se preocupar em definir exceções individuais com cada regra.

Proteger WordPress Painel (área WP-Admin)

Agora que você colocou seu endereço IP e/ou país na lista de permissões, é hora para bloquear seu painel wp-admin firmemente para que somente você possa acessá-lo.

Por que e como proteger o WordPress Painel no Cloudflare

Escusado será dizer que você não quer que estranhos desconhecidos possam acessar sua área de administração e fazer alterações sem seu conhecimento ou permissão.

Como tal, você precisará criar uma regra de firewall que impeça o acesso externo ao seu painel.

Contudo, os preços do antes você bloqueia o seu WordPress painel de controle, você terá que fazer duas exceções importantes.

  1. /wp-admin/admin-ajax.php. Este comando permite que seu site exiba conteúdo dinâmico e, portanto, precisa ser acessado de fora por determinados plugins para funcionar. Como tal, mesmo que esteja armazenado na pasta /wp-admin/, isso precisa ser acessível de fora se você não quiser que seu site exiba mensagens de erro para os visitantes.
  2. /wp-admin/theme-editor.php. Este comando habilita WordPress para executar uma verificação de erro toda vez que você alterar ou editar o tema do seu site. Se você não adicionar isso como uma exceção, suas alterações não serão salvas e você receberá uma mensagem de erro que diz: "Não é possível se comunicar com o site para verificar erros fatais".

Para criar uma regra de firewall, primeiro acesse Segurança > WAF no painel da Cloudflare e clique no botão “Criar regra de firewall”.

Cloudflare proteger painel wp-admin

Para adicionar essas exceções ao proteger sua área do painel wp-admin, você precisará criar esta regra:

  • Campo: caminho do URI
  • Operador: contém
  • Valor: /wp-admin/

[E]

  • Campo: caminho do URI
  • Operador: não contém
  • Valor: /wp-admin/admin-ajax.php

[E]

  • Campo: caminho do URI
  • Operador: não contém
  • Valor: /wp-admin/theme-editor.php

[Ação: Bloquear]

Quando terminar, clique "Implantar" para definir sua regra de firewall.

Alternativamente, você pode clicar em “Editar expressão” e colar o seguinte em:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Bloquear países/continentes

Assim como você pode colocar um país na lista de permissões para acessar seu painel de administração.

Você também pode defina uma regra de firewall para impedir que países e até continentes inteiros visualizem ou acessem seu site.

Por que e como bloquear países/continentes na Cloudflare

Por que você deseja bloquear o acesso de um país ou continente inteiro ao seu site?

Bem, se seu website está atendendo a um determinado país ou região geográfica e não é globalmente relevante, então bloquear o acesso de países e/ou continentes irrelevantes é uma maneira fácil de limitar o risco de ataques de malware e tráfego malicioso vindo do exterior, sem nunca bloquear o acesso ao público-alvo legítimo do seu site.

Para criar essa regra, você precisará novamente abrir o painel da Cloudflare e acessar Segurança > WAF > Criar regra de firewall.

Para alterar as configurações para permitir apenas países específicos, digite o seguinte:

  • Campo: País ou Continente
  • Operador: “está em”
  • Valor: Escolha os países ou continentes que deseja whitelist

(Nota: se você deseja permitir o tráfego apenas de um país, você pode inserir “igual” como operador.)

Se você optar por bloquear países ou continentes específicos, digite o seguinte:

  • Campo: País ou Continente
  • Operador: “Não está em”
  • Valor: Escolha os países ou continentes que deseja quadra

Nota: esta regra pode sair pela culatra se você precisar de suporte técnico e a equipe de suporte do seu host estiver localizada em um país ou continente que você bloqueou.

Isso provavelmente não será um problema para a maioria das pessoas, mas é algo que você deve estar ciente.

Veja um exemplo de como negar o acesso ao seu site de um determinado país, onde os usuários desse país veem um Desafio JavaScript antes de tentar acessar seu site.

país da lista negra da cloudflare

Bloquear bots maliciosos

Com base em seu agente de usuário, A Cloudflare permite bloquear o acesso a bots maliciosos que tentam invadir seu site.

Se você já usa 7G, não precisa se preocupar em definir esta regra: o 7G WAF bloqueia ameaças no nível do servidor consultando uma lista abrangente de bots maliciosos.

No entanto, se você não estiver usando 7G, você vai querer configurar uma regra de firewall que identifique e bloqueie bots ruins antes que eles possam causar qualquer dano.

Por que e como bloquear bots ruins na Cloudflare

Como de costume, primeiro acesse seu painel Cloudflare e vá para Segurança > WAF > Criar regra de firewall.

Cloudflare bloqueia bots ruins

Em seguida, defina sua expressão de regra de firewall como tal:

  • Campo: Agente do usuário
  • Operador: “Igual” ou “Contém”
  • Valor: o nome do bot ruim ou agente malicioso que você deseja bloquear

Assim como nos países bloqueadores, os bots podem ser bloqueados individualmente pelo nome. Para bloquear mais de um bot ao mesmo tempo, use a opção “OU” à direita para adicionar mais bots à lista.

Em seguida, clique no botão "Implantar" botão quando terminar.

No entanto, o bloqueio manual de bots ruins tornou-se redundante porque o Cloudflare foi lançado “Modo de luta de bots” para todos os usuários gratuitos.

modo de luta de bot

e “Modo Super Bot Figth” para usuários do plano Pro ou Business.

modo de luta super bot

O que significa que os bots ruins agora estão sendo bloqueados automaticamente para todos os tipos de usuários da Cloudflare.

Bloquear ataques de força bruta (wp-login.php)

Ataques de força bruta, também conhecidos como ataques wp-login, são os ataques mais comuns destinados a WordPress locais. 

Na verdade, se você observar os logs do seu servidor, provavelmente encontrará evidências de tais ataques na forma de endereços IP de diferentes locais ao redor do mundo tentando acessar seu arquivo wp-login.php.

Felizmente, A Cloudflare permite definir uma regra de firewall para bloquear ataques de força bruta com sucesso.

Por que e como proteger o wp-login.php na Cloudflare

Embora a maioria dos ataques de força bruta sejam varreduras automatizadas que não são poderosas o suficiente para passar WordPress, ainda é uma boa ideia definir uma regra para bloqueá-los e deixar sua mente à vontade.

Contudo, os preços do esta regra só funciona se você for o único administrador/usuário do seu site. Se houver mais de um administrador ou se o seu site usar um plug-in de associação, ignore esta regra.

bloquear wp-login.php

Para criar esta regra, volte para  Segurança > WAF > Criar regra de firewall.

Depois de escolher um nome para esta regra, digite o seguinte:

  • Campo: caminho do URI
  • Operador: contém
  • Valor: /wp-login.php

[Ação: Bloquear]

Alternativamente, você pode clicar em “Editar expressão” e colar o seguinte em:

(http.request.uri.path contains "/wp-login.php")

Depois de implantar a regra, A Cloudflare começará a bloquear todas as tentativas de acesso ao wp-login que venham de qualquer fonte que não seja o seu IP na lista de permissões.

Como um bônus adicional, você pode verificar se essa proteção está funcionando na seção Eventos de firewall da Cloudflare, onde você poderá ver um registro de qualquer tentativa de ataque de força bruta.

Bloquear ataques XML-RPC (xmlrpc.php)

Outro tipo de ataque um pouco menos comum (mas ainda perigoso) é um ataque Ataque XML-RPC.

XML-RPC é um procedimento remoto que chama WordPress, que os invasores podem potencialmente visar em um ataque de força bruta para obter credenciais de autenticação.

Por que e como bloquear XML-RPC na Cloudflare

Embora existam usos legítimos para XML-RPC, como postar conteúdo em vários WordPress blogs simultaneamente ou acessando seus WordPress site de um smartphone, geralmente você pode implantar essa regra sem se preocupar com consequências não intencionais.

bloquear XML-RPC

Para bloquear ataques de força bruta direcionados a procedimentos XML-RPC, primeiro acesse Segurança > WAF > Criar regra de firewall.

Em seguida, crie a seguinte regra:

  • Campo: caminho do URI
  • Operador: contém
  • Valor: /xmlrpc.php

[Ação: Bloquear]

Alternativamente, você pode clicar em “Editar expressão” e colar o seguinte em:

(http.request.uri.path contains "/xmlrpc.php")

E assim, com apenas alguns passos simples, você protegeu seu WordPress site de dois dos tipos mais comuns de ataques de força bruta.

Evitar spam de comentários (wp-comments-post.php)

Se você é um webmaster, spam em seu site é apenas um dos fatos irritantes da vida.

Felizmente, O Cloudflare Firewall oferece várias regras que você pode implantar para bloquear muitos tipos comuns de spam, incluindo spam de comentários.

Por que e como bloquear wp-comments-post.php na Cloudflare

Se o spam de comentários se tornar um problema em seu site (ou, melhor ainda, se você quiser evitar que isso se torne um problema proativamente), você pode restringir o wp-comments-post.php para restringir o tráfego do bot.

Isso é feito no nível do DNS com um Cloudflare Desafio JS, e a maneira como funciona é relativamente simples: comentários de spam são automatizados e fontes automatizadas não podem processar JS.

Eles então falham no desafio JS e voila – o spam é bloqueado no nível DNS e a solicitação nunca chega ao seu servidor.

bloco cloudflare wp-comments.php

Então, como você cria essa regra?

Como sempre, vá para a página Segurança > WAF e selecione "Criar regra de firewall".

Certifique-se de dar a esta regra um nome reconhecível, como "Spam de comentários".

Em seguida, defina o seguinte:

  • Campo: URI
  • Operador: Igual
  • Valor: wp-comments-post.php

[E]

  • Campo: Método de solicitação
  • Operador: Igual
  • Valor: POST

[E]

  • Campo: Referenciador
  • Operador: não contém
  • Valor: [seudominio.com]

[Ação: Desafio JS]

Tenha cuidado para definir a ação para Desafio JS, pois isso garantirá que o comentário seja bloqueado sem interferir nas ações gerais do usuário no site.

Depois de inserir esses valores, clique em “Implantar” para criar sua regra.

Resumo: Protegendo seu WordPress Site com regras de firewall da Cloudflare

Na corrida armamentista de segurança na web, as regras de firewall da Cloudflare são uma das armas mais eficazes que você tem em seu arsenal. 

Mesmo com uma conta gratuita da Cloudflare, você pode implantar muitas regras diferentes para proteger seus WordPress site contra algumas das ameaças mais comuns de spam e malware.

Com apenas algumas teclas (principalmente) simples, você pode aumentar a segurança do seu site e mantê-lo funcionando sem problemas para os visitantes.

Para saber mais sobre como melhorar seu WordPress segurança do site, confira meu guia para converter WordPress sites para HTML estático.

Referências

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

Início » Segurança On-line » Como proteger o seu WordPress Site com regras de firewall da Cloudflare

Participe do nosso boletim

Assine nosso boletim informativo semanal e receba as últimas notícias e tendências do setor

Ao clicar em 'inscrever-se' você concorda com nossos Termos de uso e politica de privacidade.