Ako zabezpečiť svoje WordPress Stránka s pravidlami brány firewall Cloudflare

in Online Security, WordPress

Ak ste správca webu, ktorý prevádzkuje blog alebo webovú stránku WordPress, je pravdepodobné, že webová bezpečnosť je jednou z vašich najvyšších priorít. Ak vaša doména podporuje Cloudflare, môžete pridať WordPress-špecifické pravidlá brány firewall Cloudflare aby ste zlepšili bezpečnosť vašej stránky a dokonca zabránili útokom dlho predtým, ako sa dostanú na váš server.

Ak používate bezplatný plán Cloudflare, máte možnosť pridať 5 pravidiel (pro plán vám ich poskytne 20). 

Cloudflare uľahčuje a zrýchľuje vytváranie pravidiel brány firewall a každé pravidlo ponúka úžasnú flexibilitu: nielenže môžete s každým pravidlom urobiť veľa, ale pravidlá sa často dajú skonsolidovať, čím sa vám uvoľní priestor na ešte viac.

pravidlá brány firewall cloudflare

V tomto článku sa podrobne pozriem na niektoré z rôznych pravidiel brány firewall, ktoré môžete použiť na doplnenie a vylepšenie WordPress existujúce bezpečnostné prvky stránky.

Zhrnutie: Ako chrániť svoje WordPress web s Cloudflare Firewallom

  • Firewall webovej aplikácie Cloudflare (WAF) je softvérový nástroj, ktorý vám umožňuje chrániť vaše WordPress Webové stránky. 
  • Pravidlá brány Cloudflare vám to umožňujú žiadosti o blacklist alebo whitelist podľa flexibilných kritérií, ktoré si nastavíte. 
  • na vytvorte si vzduchotesnú ochranu WordPress webové stránky, s Cloudflare môžete: zaradiť na bielu listinu svoju vlastnú IP adresu, chrániť oblasť správcu, blokovať návštevníkov podľa regiónu alebo krajiny, blokovať škodlivé roboty a útoky hrubou silou, blokovať útoky XML-RPC a predchádzať spamu v komentároch.

Biela listina vašej vlastnej IP adresy

Aby ste sa vyhli problémom na ceste, pridanie adresy IP vašej vlastnej webovej stránky na bielu listinu by malo byť prvou úlohou na vašom zozname pred povolíte akékoľvek pravidlá brány firewall.

Prečo a ako pridať svoju IP adresu na bielu listinu v Cloudflare

Je to predovšetkým preto, že ak sa rozhodnete zablokovať svoje webové stránky, mohli by ste sa ocitnúť bez prístupu na svoj vlastný web WordPress admin oblasť od ostatných.

Ak chcete pridať IP adresu svojho webu na bielu listinu, prejdite do sekcie Zabezpečenie ovládacieho panela Cloudflare a vyberte „WAF“. Potom kliknite na „Nástroje“ a do poľa „Pravidlá prístupu k IP“ zadajte svoju IP adresu a z rozbaľovacej ponuky vyberte možnosť „biely zoznam“.

cloudflare whitelist vlastnú IP adresu

Ak chcete nájsť svoju IP adresu, môžete urobiť a Google vyhľadajte „aká je moja IP“ a vráti vašu IPv4 adresu, a ak potrebujete vašu IPv6, môžete prejsť na https://www.whatismyip.com/

Pamätajte si, že ak sa vaša IP adresa zmení, budete musieť znova zadať alebo pridať novú IP adresu na bielu listinu, aby ste sa vyhli vymknutiu z vašej administračnej oblasti.

Okrem pridania presnej adresy IP vašich stránok na bielu listinu môžete sa tiež rozhodnúť pridať na bielu listinu celý rozsah svojich adries IP.

Ak máte dynamickú IP adresu (tj IP adresu, ktorá je nastavená tak, aby sa neustále mierne menila), potom je to pre vás určite lepšia voľba, pretože neustále opätovné zadávanie a označovanie nových IP adries by bolo veľkou bolesťou.

Môžete tiež na bielu listinu celej vašej krajiny. 

Toto je určite najmenej bezpečná možnosť, pretože potenciálne ponecháva vašu oblasť správcu otvorenú pre útoky prichádzajúce z vašej krajiny.

Avšak, ak veľa pracovne cestujete a často sa pristihnete, že máte prístup k svojmu WordPress z rôznych pripojení Wi-Fi, môže byť pre vás najpohodlnejšou možnosťou pridanie vašej krajiny na bielu listinu.

Majte na pamäti, že každá IP adresa alebo krajina, ktorú ste pridali na bielu listinu, bude vyňatá zo všetkých ostatných pravidiel brány firewall, a preto sa nemusíte obávať nastavovania individuálnych výnimiek pre každé pravidlo.

Chrániť WordPress Dashboard (oblasť správcu WP)

Teraz, keď ste pridali svoju IP adresu a/alebo krajinu na bielu listinu, je čas aby ste svoj ovládací panel wp-admin pevne uzamkli, aby ste k nemu mali prístup iba vy.

Prečo a ako sa chrániť WordPress Dashboard v Cloudflare

Je samozrejmé, že nechcete, aby neznámi cudzinci mohli pristupovať do vašej administračnej oblasti a vykonávať zmeny bez vášho vedomia alebo povolenia.

Ako taký, budete musieť vytvoriť pravidlo brány firewall, ktoré zabráni vonkajšiemu prístupu k vášmu ovládaciemu panelu.

Avšak, pred zamkneš svoje WordPress prístrojová doska, budete musieť urobiť dve dôležité výnimky.

  1. /wp-admin/admin-ajax.php. Tento príkaz umožňuje vašej webovej stránke zobrazovať dynamický obsah, a preto je potrebné, aby k nemu mali prístup zvonku niektoré doplnky, aby fungovali. Ako taký, aj keď je uložený v priečinku /wp-admin/, musí byť prístupný zvonku, ak nechcete, aby vaša webová lokalita zobrazovala návštevníkom chybové hlásenia.
  2. /wp-admin/theme-editor.php. Tento príkaz umožňuje WordPress spustiť kontrolu chýb vždy, keď zmeníte alebo upravíte tému svojej stránky. Ak toto zanedbáte pridať ako výnimku, vaše zmeny sa neuložia a zobrazí sa vám chybové hlásenie s textom „Nie je možné spätne komunikovať so stránkou, aby sme skontrolovali závažné chyby.“

Ak chcete vytvoriť pravidlo brány firewall, najprv prejdite na položku Zabezpečenie > WAF na hlavnom paneli Cloudflare a potom kliknite na tlačidlo „Vytvoriť pravidlo brány firewall“.

cloudflare protect wp-admin dashboard

Ak chcete pridať tieto výnimky pri ochrane oblasti dashboardu wp-admin, budete musieť vytvoriť toto pravidlo:

  • Pole: Cesta URI
  • Operátor: obsahuje
  • Hodnota: /wp-admin/

[A]

  • Pole: Cesta URI
  • Operátor: neobsahuje
  • Hodnota: /wp-admin/admin-ajax.php

[A]

  • Pole: Cesta URI
  • Operátor: neobsahuje
  • Hodnota: /wp-admin/theme-editor.php

[Akcia: Blokovať]

Keď skončíte, kliknite na tlačidlo “Nasadiť” na nastavenie pravidla brány firewall.

Prípadne môžete kliknúť na „Upraviť výraz“ a vložiť nižšie uvedený text:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Blokové krajiny/kontinenty

Rovnako ako môžete pridať krajinu na bielu listinu, aby ste získali prístup k vášmu správcovskému panelu.

Môžete tiež nastavte pravidlo brány firewall, aby ste si mohli prezerať alebo pristupovať na vašu stránku krajiny a dokonca aj celé kontinenty.

Prečo a ako blokovať krajiny/kontinenty v Cloudflare

Prečo by ste mohli chcieť zablokovať celej krajine alebo kontinentu prístup na vašu stránku?

Ak vaše webové stránky slúžia určitej krajine alebo geografickej oblasti a nie sú globálne relevantné, potom zablokovanie prístupu z irelevantných krajín a/alebo kontinentov je jednoduchý spôsob, ako obmedziť riziko malvérových útokov a škodlivej návštevnosti prichádzajúcej zo zahraničia bez toho, aby ste kedy zablokovali prístup legitímnej cieľovej skupine vašej webovej stránky.

Ak chcete vytvoriť toto pravidlo, budete musieť znova otvoriť svoje pravidlo CloudFlare palubnej doske a prejdite na Zabezpečenie > WAF > Vytvoriť pravidlo brány firewall.

Ak chcete zmeniť nastavenia tak, aby boli povolené iba určité krajiny, zadajte nasledujúce:

  • Pole: Krajina alebo kontinent
  • Operátor: „Je v“
  • Hodnota: Vyberte si krajiny alebo kontinenty, ktoré chcete whitelist

(Poznámka: ak chcete povoliť premávku iba z jednej krajiny, môžete zadať operátora „rovná sa“.)

Ak sa namiesto toho rozhodnete blokovať konkrétne krajiny alebo kontinenty, zadajte nasledovné:

  • Pole: Krajina alebo kontinent
  • Operátor: „Nie je in“
  • Hodnota: Vyberte si krajiny alebo kontinenty, ktoré chcete blok

Poznámka: Toto pravidlo sa môže vypomstiť, ak potrebujete technickú podporu a tím podpory vášho webového hostiteľa sa nachádza v krajine alebo kontinente, ktorý ste zablokovali.

Pre väčšinu ľudí to pravdepodobne nebude problém, ale mali by ste si to uvedomiť.

Tu je príklad odmietnutia prístupu na vašu stránku z určitej krajiny, kde sa zobrazujú používatelia z tejto krajiny a JavaScriptová výzva pred pokusom o prístup na vašu stránku.

krajina na čiernej listine oblakov

Blokovanie škodlivých botov

Na základe ich používateľského agenta Cloudflare vám umožňuje zablokovať prístup k škodlivým robotom, ktorí sa pokúšajú preniknúť na vaše stránky.

Ak už používate 7G, nemusíte si robiť starosti s nastavením tohto pravidla: 7G WAF blokuje hrozby na úrovni servera odkazom na komplexný zoznam škodlivých robotov.

Ak však nepoužívate 7G, budete chcieť nakonfigurovať pravidlo brány firewall, ktoré identifikuje a blokuje zlých robotov skôr, ako môžu spôsobiť akúkoľvek škodu.

Prečo a ako blokovať zlých robotov v Cloudflare

Ako obvykle, najprv prejdite na svoj ovládací panel Cloudflare a prejdite na Zabezpečenie > WAF > Vytvoriť pravidlo brány firewall.

cloudflare blokuje zlé roboty

Potom nastavte výraz pravidla brány firewall takto:

  • Pole: User Agent
  • Operátor: „Rovná sa“ alebo „Obsahuje“
  • Hodnota: názov zlého robota alebo škodlivého agenta, ktorého chcete zablokovať

Rovnako ako v prípade blokujúcich krajín je možné roboty blokovať jednotlivo podľa mena. Ak chcete zablokovať viac ako jedného robota súčasne, použite možnosť „ALEBO“ na pravej strane a pridajte do zoznamu ďalších robotov.

Potom kliknite na tlačidlo “Nasadiť” keď skončíte.

Ručné blokovanie zlých robotov sa však stalo nadbytočným, pretože sa spustil Cloudflare „Režim boja s robotmi“ pre všetkých bezplatných používateľov.

režim boja s robotmi

a “Super Bot Fth Mode” pre používateľov plánov Pro alebo Business.

režim boja super robotov

Znamená to, že zlé roboty sú teraz automaticky blokované pre všetky typy používateľov Cloudflare.

Blokovanie útokov hrubou silou (wp-login.php)

Útoky hrubou silou, známe aj ako wp-login útoky, sú najbežnejšie cielené útoky WordPress lokalít. 

V skutočnosti, ak sa pozriete na protokoly vášho servera, pravdepodobne nájdete dôkazy o takýchto útokoch vo forme adries IP z rôznych miest po celom svete, ktoré sa pokúšajú získať prístup k vášmu súboru wp-login.php.

Našťastie, Cloudflare vám umožňuje nastaviť pravidlo brány firewall na úspešné blokovanie útokov hrubou silou.

Prečo a ako chrániť wp-login.php v Cloudflare

Hoci väčšina útokov hrubou silou sú automatizované kontroly, ktoré nie sú dostatočne výkonné na to, aby prešli WordPress's obrany, je stále dobrý nápad nastaviť pravidlo na ich blokovanie a upokojiť svoju myseľ.

Avšak, toto pravidlo funguje iba vtedy, ak ste jediným správcom/používateľom na svojej stránke. Ak existuje viac ako jeden správca alebo ak vaša stránka používa doplnok pre členstvo, mali by ste toto pravidlo preskočiť.

blok wp-login.php

Ak chcete vytvoriť toto pravidlo, vráťte sa na  Zabezpečenie > WAF > Vytvoriť pravidlo brány firewall.

Po výbere názvu tohto pravidla zadajte nasledovné:

  • Pole: Cesta URI
  • Operátor: obsahuje
  • Hodnota: /wp-login.php

[Akcia: Blokovať]

Prípadne môžete kliknúť na „Upraviť výraz“ a vložiť nižšie uvedený text:

(http.request.uri.path contains "/wp-login.php")

Po nasadení pravidla Cloudflare začne blokovať všetky pokusy o prístup k wp-login, ktoré pochádzajú z iného zdroja, než je vaša IP adresa na bielej listine.

Ako bonus navyše si môžete overiť, či je táto ochrana zapnutá a spustená, v sekcii Firewall Events v Cloudflare, kde by ste mali vidieť záznam o každom pokuse o útok hrubou silou.

Blokovať útoky XML-RPC (xmlrpc.php)

Ďalším o niečo menej bežným (ale stále nebezpečným) typom útoku je an XML-RPC útok.

XML-RPC je vzdialené volanie procedúry WordPress, na ktoré sa útočníci môžu potenciálne zamerať pri útoku hrubou silou, aby získali overovacie poverenia.

Prečo a ako blokovať XML-RPC v Cloudflare

Hoci existujú legitímne spôsoby použitia XML-RPC, ako je napríklad zverejňovanie obsahu na viacerých miestach WordPress blogy súčasne alebo prístup k vašim WordPress zo smartfónu, vo všeobecnosti môžete toto pravidlo nasadiť bez obáv z neúmyselných následkov.

blok XML-RPC

Ak chcete blokovať útoky hrubou silou zamerané na procedúry XML-RPC, najskôr prejdite na Zabezpečenie > WAF > Vytvoriť pravidlo brány firewall.

Potom vytvorte nasledujúce pravidlo:

  • Pole: Cesta URI
  • Operátor: obsahuje
  • Hodnota: /xmlrpc.php

[Akcia: Blokovať]

Prípadne môžete kliknúť na „Upraviť výraz“ a vložiť nižšie uvedený text:

(http.request.uri.path contains "/xmlrpc.php")

A práve tak, pomocou niekoľkých jednoduchých krokov, ste ochránili svoje WordPress z dvoch najbežnejších typov útokov hrubou silou.

Zabrániť spamu v komentároch (wp-comments-post.php)

Ak ste správcom webu, spam na vašom webe je len jednou z nepríjemných skutočností v živote.

Našťastie, Cloudflare Firewall ponúka niekoľko pravidiel, ktoré môžete nasadiť na blokovanie mnohých bežných typov spamuvrátane spamu v komentároch.

Prečo a ako blokovať wp-comments-post.php v Cloudflare

Ak sa komentárový spam stal problémom na vašej stránke (alebo ešte lepšie, ak chcete proaktívne zabrániť tomu, aby sa stal problémom), môžete obmedziť wp-comments-post.php, aby ste obmedzili návštevnosť robotov.

Toto sa vykonáva na úrovni DNS pomocou Cloudflare JS výzvaa spôsob, akým to funguje, je pomerne jednoduchý: spamové komentáre sú automatizované a automatizované zdroje nedokážu spracovať JS.

Potom neuspejú vo výzve JS a voila – spam je blokovaný na úrovni DNS a požiadavka sa nikdy nedostane na váš server.

cloudflare block wp-comments.php

Ako teda vytvoríte toto pravidlo?

Ako obvykle, prejdite na stránku Zabezpečenie > WAF a vyberte možnosť „Vytvoriť pravidlo brány firewall“.

Uistite sa, že ste tomuto pravidlu dali rozpoznateľný názov, napríklad „Komentovaný spam“.

Potom nastavte nasledovné:

  • Pole: URI
  • Operátor: Rovná sa
  • Hodnota: wp-comments-post.php

[A]

  • Pole: Metóda požiadavky
  • Operátor: Rovná sa
  • Hodnota: POST

[A]

  • Pole: Referent
  • Operátor: neobsahuje
  • Hodnota: [yourdomain.com]

[Akcia: JS Challenge]

Dávajte pozor, aby ste nastavili akciu na Výzva JS, pretože to zabezpečí, že komentár bude zablokovaný bez toho, aby zasahoval do všeobecných akcií používateľov na stránke.

Po zadaní týchto hodnôt kliknutím na „Nasadiť“ vytvorte svoje pravidlo.

Zbaliť: Ako si môžete zabezpečiť svoje WordPress Stránka s pravidlami brány Cloudflare Firewall

V pretekoch v zbrojení o webovú bezpečnosť sú pravidlá brány firewall Cloudflare jednou z najúčinnejších zbraní, ktoré máte vo svojom arzenáli. 

Dokonca aj s bezplatným účtom Cloudflare môžete nasadiť mnoho rôznych pravidiel na ochranu svojho WordPress proti niektorým z najbežnejších hrozieb spamu a malvéru.

Pomocou niekoľkých (väčšinou) jednoduchých stlačení klávesov môžete zvýšiť bezpečnosť svojich stránok a udržať jeho hladký chod pre návštevníkov.

Pre viac informácií o zlepšení vášho WordPress zabezpečenie stránky, pozrite si moje sprievodca konverziou WordPress stránky do statického HTML.

Referencie

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/blog/web-hosting/glossary/what-is-cloudflare/

o autorovi

Matt Ahlgren

Mathias Ahlgren je generálnym riaditeľom a zakladateľom spoločnosti Website Rating, riadenie globálneho tímu redaktorov a spisovateľov. Je držiteľom magisterského titulu z informačnej vedy a manažmentu. Jeho kariéra smerovala k SEO po prvých skúsenostiach s vývojom webu počas univerzity. S viac ako 15 rokmi v oblasti SEO, digitálneho marketingu a vývoja webu. Medzi jeho zameranie patrí aj bezpečnosť webových stránok, doložená certifikátom v kybernetickej bezpečnosti. Táto rôznorodá odbornosť je základom jeho vedúceho postavenia Website Rating.

Tím WSR

„WSR Team“ je kolektívna skupina odborných redaktorov a autorov, ktorí sa špecializujú na technológie, internetovú bezpečnosť, digitálny marketing a vývoj webu. Sú nadšení pre digitálnu sféru a vytvárajú dobre preskúmaný, prehľadný a dostupný obsah. Ich záväzok k presnosti a jasnosti robí Website Rating dôveryhodný zdroj informácií v dynamickom digitálnom svete.

Domov » Online Security » Ako zabezpečiť svoje WordPress Stránka s pravidlami brány firewall Cloudflare
Zdieľať s...