Как обезопасить свой WordPress Сайт с правилами брандмауэра Cloudflare

Написано

Если вы веб-мастер, ведущий блог или веб-сайт на WordPress, скорее всего, веб-безопасность является одним из ваших главных приоритетов. Пока ваш домен поддерживает Cloudflare, вы можете Добавить WordPress-специфические правила брандмауэра Cloudflare чтобы повысить безопасность вашего сайта и даже предотвратить атаки задолго до того, как они попадут на ваш сервер.

Если вы используете бесплатный план Cloudflare, у вас есть возможность добавить 5 правил (в профессиональном плане их 20). 

Cloudflare позволяет легко и быстро создавать правила брандмауэра, и каждое правило обеспечивает потрясающую гибкость: Мало того, что вы можете многое сделать с каждым правилом, правила часто можно объединять, освобождая место для вас, чтобы сделать еще больше.

правила брандмауэра cloudflare

В этой статье я подробно рассмотрю некоторые из различных правил брандмауэра, которые вы можете применить, чтобы дополнить и улучшить WordPress существующие функции безопасности сайта.

Резюме: Как защитить WordPress веб-сайт с брандмауэром Cloudflare

  • Брандмауэр веб-приложений Cloudflare (WAF) это программный инструмент, который позволяет защитить WordPress Веб-сайт. 
  • Правила брандмауэра Cloudflare позволяют запросы в черный или белый список в соответствии с гибкими критериями, которые вы устанавливаете. 
  • к создать герметичную защиту для вашего WordPress сайт, с помощью Cloudflare вы можете: внести в белый список свой собственный IP-адрес, защитить свою административную область, заблокировать посетителей по региону или стране, заблокировать вредоносных ботов и атаки методом перебора, заблокировать атаки XML-RPC и предотвратить спам в комментариях.

Белый список вашего собственного IP-адреса

Чтобы избежать проблем в пути, внесение в белый список IP-адреса вашего собственного веб-сайта должно быть первой задачей в вашем списке до вы включаете любые правила брандмауэра.

Зачем и как внести свой IP-адрес в белый список в Cloudflare

Это в первую очередь потому, что вы можете оказаться заблокированным на своем собственном веб-сайте, если решите заблокировать свой WordPress админку от других.

Чтобы внести IP-адрес вашего веб-сайта в белый список, перейдите в раздел «Безопасность» панели инструментов Cloudflare и выберите «WAF». Затем нажмите «Инструменты» и введите свой IP-адрес в поле «Правила IP-доступа» и выберите «белый список» в раскрывающемся меню.

белый список cloudflare собственный IP-адрес

Чтобы узнать свой IP-адрес, вы можете сделать Google выполните поиск «какой у меня IP», и он вернет ваш адрес IPv4, и если вам нужен IPv6, вы можете перейти к https://www.whatismyip.com/

Помните, что если ваш IP-адрес изменится, вам придется повторно ввести/внести в белый список свой новый IP-адрес, чтобы избежать блокировки из области администрирования.

Помимо внесения в белый список точного IP-адреса вашего сайта, вы также можете внести в белый список весь диапазон IP-адресов.

Если у вас есть динамический IP-адрес (т. е. IP-адрес, который настроен на постоянное незначительное изменение), то это, безусловно, лучший выбор для вас, поскольку постоянный повторный ввод и добавление новых IP-адресов в белый список будет серьезной проблемой.

Вы также можете внесите в белый список всю свою страну. 

Это определенно наименее безопасный вариант, поскольку он потенциально оставляет вашу административную область открытой для атак из вашей страны.

Однако, если вы много путешествуете по работе и часто получаете доступ к своим WordPress сайта с разных подключений Wi-Fi, внесение вашей страны в белый список может оказаться для вас наиболее удобным вариантом.

Имейте в виду, что любой IP-адрес или страна, внесенные вами в белый список, будут освобождены от всех других правил брандмауэра, и поэтому вам не нужно беспокоиться об установке отдельных исключений для каждого правила.

Защитите WordPress Панель инструментов (область администрирования WP)

Теперь, когда вы добавили свой IP-адрес и/или страну в белый список, пришло время чтобы надежно заблокировать панель управления wp-admin, чтобы только вы могли получить к ней доступ.

Почему и как защищать WordPress Панель инструментов в Cloudflare

Само собой разумеется, что вы не хотите, чтобы неизвестные посторонние могли получить доступ к вашей области администрирования и вносить изменения без вашего ведома или разрешения.

Таким образом, вам нужно будет создать правило брандмауэра, которое предотвращает доступ извне к вашей панели инструментов.

Однако, до ты запираешь свой WordPress приборная панель, вам придется сделать два важных исключения.

  1. /wp-admin/admin-ajax.php. Эта команда позволяет вашему веб-сайту отображать динамический контент, и поэтому для ее работы требуется доступ извне для определенных плагинов. Таким образом, даже если он хранится в папке /wp-admin/, он должен быть доступен извне, если вы не хотите, чтобы ваш веб-сайт отображал сообщения об ошибках для посетителей.
  2. /wp-admin/theme-editor.php. Эта команда включает WordPress чтобы запускать проверку на наличие ошибок каждый раз, когда вы изменяете или редактируете тему своего сайта. Если вы не добавите это в качестве исключения, ваши изменения не будут сохранены, и вы получите сообщение об ошибке, которое гласит: «Невозможно связаться с сайтом для проверки на наличие фатальных ошибок».

Чтобы создать правило брандмауэра, сначала перейдите в «Безопасность» > «WAF» на панели инструментов Cloudflare, затем нажмите кнопку «Создать правило брандмауэра».

cloudflare защищает панель управления wp-admin

Чтобы добавить эти исключения при защите панели инструментов wp-admin, вам необходимо создать это правило:

  • Поле: путь URI
  • Оператор: содержит
  • Значение: /wp-admin/

[А ТАКЖЕ]

  • Поле: путь URI
  • Оператор: не содержит
  • Значение: /wp-admin/admin-ajax.php

[А ТАКЖЕ]

  • Поле: путь URI
  • Оператор: не содержит
  • Значение: /wp-admin/theme-editor.php

[Действие: Блокировать]

Когда все будет готово, нажмите «Развертывание» чтобы установить правило брандмауэра.

Кроме того, вы можете нажать «Изменить выражение» и вставить следующее:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Блок стран/континентов

Так же, как вы можете добавить страну в белый список для доступа к панели администратора.

Вы также можете установите правило брандмауэра, чтобы страны и даже целые континенты были занесены в черный список для просмотра или доступа к вашему сайту.

Зачем и как блокировать страны/континенты в Cloudflare

Почему вы можете захотеть заблокировать доступ к вашему сайту для всей страны или континента?

Ну, если ваш веб-сайт обслуживает определенную страну или географический регион и не имеет глобального значения, то блокировка доступа из нерелевантных стран и/или континентов — это простой способ ограничить риск атак вредоносных программ и вредоносного трафика из-за рубежа, никогда не блокируя доступ к законной целевой аудитории вашего веб-сайта.

Чтобы создать это правило, вам снова нужно открыть панель инструментов Cloudflare и перейти к Безопасность> WAF> Создать правило брандмауэра.

Чтобы изменить настройки, чтобы разрешить только определенные страны, введите следующее:

  • Поле: Страна или Континент
  • Оператор: «Входит»
  • Значение: выберите страны или континенты, которые вы хотите Белый список

(Примечание: если вы хотите разрешить трафик только из одной страны, вы можете ввести «равно» в качестве оператора.)

Если вместо этого вы решите заблокировать определенные страны или континенты, введите следующее:

  • Поле: Страна или Континент
  • Оператор: «Нет в»
  • Значение: выберите страны или континенты, которые вы хотите блок

Примечание. Это правило может иметь неприятные последствия, если вам нужна техническая поддержка, а служба поддержки вашего веб-хостинга находится в стране или на континенте, которые вы заблокировали.

Вероятно, это не будет проблемой для большинства людей, но об этом следует знать.

Вот пример того, как запретить доступ к вашему сайту из определенной страны, где пользователям из этой страны показывается Вызов JavaScript прежде чем пытаться получить доступ к вашему сайту.

страна черного списка cloudflare

Блокировать вредоносных ботов

На основе их пользовательского агента, Cloudflare позволяет блокировать доступ вредоносных ботов, пытающихся проникнуть на ваш сайт.

Если вы уже используете 7G, вам не нужно беспокоиться об установке этого правила: 7G WAF блокирует угрозы на уровне сервера, ссылаясь на полный список вредоносных ботов.

Однако, если вы не используете 7G, вам нужно настроить правило брандмауэра, которое идентифицирует и блокирует плохих ботов, прежде чем они смогут причинить какой-либо ущерб.

Почему и как блокировать плохих ботов в Cloudflare

Как обычно, сначала перейдите на панель инструментов Cloudflare и перейдите в Безопасность> WAF> Создать правило брандмауэра.

Cloudflare блокирует плохих ботов

Затем установите выражение правила брандмауэра следующим образом:

  • Поле: Пользовательский агент
  • Оператор: «Равно» или «Содержит»
  • Значение: имя плохого бота или вредоносного агента, которого вы хотите заблокировать.

Как и в случае блокирующих стран, боты могут быть заблокированы индивидуально по имени. Чтобы заблокировать более одного бота одновременно, используйте опцию «ИЛИ» справа, чтобы добавить дополнительных ботов в список.

Затем нажмите «Развертывание» когда закончите.

Однако ручная блокировка плохих ботов стала избыточной, потому что Cloudflare запустил «Режим боя с ботом» для всех бесплатных пользователей.

режим боя с ботом

и «Режим Супер Бота» для пользователей плана Pro или Business.

режим боя с супер ботом

Это означает, что плохие боты теперь блокируются автоматически для всех типов пользователей Cloudflare.

Блокировать атаки грубой силы (wp-login.php)

Атаки грубой силы, также известные как атаки wp-login, являются наиболее распространенными атаками, направленными на WordPress сайтов. 

На самом деле, если вы просмотрите журналы вашего сервера, вы, вероятно, найдете доказательства таких атак в виде IP-адресов из разных мест по всему миру, пытающихся получить доступ к вашему файлу wp-login.php.

К счастью, Cloudflare позволяет вам установить правило брандмауэра, чтобы успешно блокировать атаки грубой силы.

Почему и как защитить wp-login.php в Cloudflare

Хотя большинство атак методом грубой силы представляют собой автоматизированное сканирование, недостаточно мощное, чтобы пройти через WordPressзащиты, все же неплохо установить правило, чтобы заблокировать их и успокоить свой разум.

Однако, это правило работает, только если вы являетесь единственным администратором/пользователем на своем сайте. Если есть более одного администратора или если на вашем сайте используется плагин членства, вам следует пропустить это правило.

заблокировать wp-login.php

Чтобы создать это правило, вернитесь к  Безопасность> WAF> Создать правило брандмауэра.

После того, как вы выбрали имя для этого правила, введите следующее:

  • Поле: путь URI
  • Оператор: содержит
  • Значение: /wp-login.php

[Действие: Блокировать]

Кроме того, вы можете нажать «Изменить выражение» и вставить следующее:

(http.request.uri.path contains "/wp-login.php")

После развертывания правила Cloudflare начнет блокировать все попытки доступа к wp-login из любого источника, кроме вашего IP-адреса из белого списка.

В качестве дополнительного бонуса, вы можете убедиться, что эта защита включена и работает, заглянув в раздел событий брандмауэра Cloudflare, где вы сможете увидеть записи о любых попытках атак грубой силы.

Блокировать XML-RPC-атаки (xmlrpc.php)

Другой немного менее распространенный (но все же опасный) тип атаки — это Атака XML-RPC.

XML-RPC — это удаленная процедура, вызывающая WordPress, на которые злоумышленники могут потенциально нацелиться при атаке методом грубой силы для получения учетных данных для аутентификации.

Почему и как заблокировать XML-RPC в Cloudflare

Хотя XML-RPC можно использовать и в законных целях, например, для размещения контента на нескольких WordPress блоги одновременно или доступ к вашему WordPress сайт со смартфона, можно вообще развернуть это правило, не беспокоясь о непредвиденных последствиях.

блокировать XML-RPC

Чтобы заблокировать атаки грубой силы, направленные на процедуры XML-RPC, сначала перейдите к Безопасность> WAF> Создать правило брандмауэра.

Затем создайте следующее правило:

  • Поле: путь URI
  • Оператор: содержит
  • Значение: /xmlrpc.php

[Действие: Блокировать]

Кроме того, вы можете нажать «Изменить выражение» и вставить следующее:

(http.request.uri.path contains "/xmlrpc.php")

И вот так, всего за несколько простых шагов, вы защитили свой WordPress сайт от двух наиболее распространенных типов атак грубой силы.

Предотвращение спама в комментариях (wp-comments-post.php)

Если вы веб-мастер, спам на вашем сайте — это всего лишь один из раздражающих фактов жизни.

К счастью, Брандмауэр Cloudflare предлагает несколько правил, которые вы можете использовать для блокировки многих распространенных типов спама., включая спам в комментариях.

Почему и как заблокировать wp-comments-post.php в Cloudflare

Если спам в комментариях стал проблемой на вашем сайте (или, что еще лучше, если вы хотите заблаговременно предотвратить его превращение в проблему), вы можете ограничить wp-comments-post.php, чтобы ограничить трафик ботов.

Это делается на уровне DNS с помощью Cloudflare. вызов JS, и принцип его работы относительно прост: спам-комментарии автоматически обрабатываются, а автоматические источники не могут обрабатывать JS.

Затем они проваливают вызов JS, и вуаля — спам блокируется на уровне DNS, и запрос даже не доходит до вашего сервера.

Блокировка cloudflare wp-comments.php

Итак, как создать это правило?

Как обычно, перейдите на страницу «Безопасность» > «WAF» и выберите «Создать правило брандмауэра».

Убедитесь, что вы дали этому правилу узнаваемое имя, например «Спам в комментариях».

Затем установите следующее:

  • Поле: URI
  • Оператор: Равно
  • Значение: wp-comments-post.php

[А ТАКЖЕ]

  • Поле: Метод запроса
  • Оператор: Равно
  • Значение: ПОСТ

[А ТАКЖЕ]

  • Поле: Реферер
  • Оператор: не содержит
  • Значение: [вашдомен.com]

[Действие: Вызов JS]

Будьте осторожны, чтобы установить действие на JS вызов, так как это гарантирует, что комментарий будет заблокирован, не мешая обычным действиям пользователя на сайте.

После того, как вы ввели эти значения, нажмите «Развернуть», чтобы создать правило.

Резюме: защита вашего WordPress Сайт с правилами брандмауэра Cloudflare

В гонке вооружений в области веб-безопасности правила брандмауэра Cloudflare являются одним из самых эффективных видов оружия в вашем арсенале. 

Даже с бесплатной учетной записью Cloudflare вы можете установить множество различных правил для защиты вашего WordPress сайт от некоторых из наиболее распространенных угроз спама и вредоносного ПО.

Всего несколькими (в основном) простыми нажатиями клавиш вы можете повысить безопасность своего сайта. и поддерживать бесперебойную работу для посетителей.

Чтобы узнать больше об улучшении WordPress безопасность сайта, проверьте мой руководство по конвертации WordPress сайты в статический HTML.

Рекомендации

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

Главная » Интернет безопасность » Как обезопасить свой WordPress Сайт с правилами брандмауэра Cloudflare

Присоединяйтесь к нашей рассылке

Подпишитесь на нашу еженедельную сводку новостей и получайте последние новости и тенденции отрасли

Нажимая «подписаться», вы соглашаетесь с нашими условия использования и политика конфиденциальности.