Ако сте вебмастер који води блог или веб локацију на WordPress, велика је вероватноћа да је безбедност на вебу један од ваших главних приоритета. Све док је ваш домен омогућен за Цлоудфларе, можете додати WordPress-специфична правила Цлоудфларе заштитног зида да побољшате безбедност ваше веб локације, па чак и спречите нападе много пре него што дођу на ваш сервер.
Ако користите бесплатни план Цлоудфларе-а, имате могућност да додате 5 правила (про план вам даје 20).
Цлоудфларе олакшава и брзо креирање правила заштитног зида, а свако правило нуди одличну флексибилност: не само да можете много да урадите са сваким правилом, већ се правила често могу консолидовати, ослобађајући простор да урадите још више.
У овом чланку ћу детаљно погледати нека од различитих правила заштитног зида која бисте могли да примените да бисте допунили и побољшали своје WordPress постојеће безбедносне функције сајта.
Резиме: Како заштитити своје WordPress веб-сајт са Цлоудфларе заштитним зидом
- Цлоудфларе-ов заштитни зид за веб апликације (ВАФ) је софтверски алат који вам омогућава да заштитите своје WordPress сајт.
- Цлоудфларе Фиревалл Правила вам дозвољавају црне или беле листе захтева према флексибилним критеријумима које поставите.
- До створите херметичку заштиту за своје WordPress сајт, са Цлоудфлареом можете: да: ставите своју ИП адресу на белу листу, заштитите своју административну област, блокирате посетиоце по региону или земљи, блокирате злонамерне ботове и нападе грубом силом, блокирате КСМЛ-РПЦ нападе и спречите нежељену пошту коментара.
Своју сопствену ИП адресу на белој листи
Да би избегли проблеме на путу, стављање на белу листу ИП адресе ваше веб локације требало би да буде први задатак на вашој листи пре омогућите сва правила заштитног зида.
Зашто и како ставити своју ИП адресу на белу листу у Цлоудфларе-у
Ово је првенствено зато што бисте могли да изгубите приступ сопственој веб локацији ако одлучите да блокирате своју WordPress админ област од других.
Да бисте на белој листи ИП адресе своје веб локације, идите у одељак Безбедност Цлоудфларе контролне табле и изаберите „ВАФ“. Затим кликните на „Алати“ и унесите своју ИП адресу у оквир „Правила приступа ИП-у“, а затим у падајућем менију изаберите „белу листу“.
Да бисте пронашли своју ИП адресу, можете учинити а Google потражите „шта је моја ИП адреса“ и вратиће вашу ИПв4 адресу, а ако вам треба ваш ИПв6, можете да одете на https://www.whatismyip.com/
Запамтите да ако се ваша ИП адреса промени, мораћете поново да унесете/доставите нову ИП адресу на белу листу како бисте избегли да останете без администраторске области.
Поред стављања тачне ИП адресе вашег сајта на белу листу, такође можете изабрати да ставите на белу листу цео опсег ИП адреса.
Ако имате динамичку ИП адресу (тј. ИП адресу која је подешена да се стално незнатно мења), онда је ово дефинитивно бољи избор за вас, јер би стално поновно уношење и стављање нових ИП адреса на белу листу представљало велики проблем.
Такође можете да на белој листи целе ваше земље.
Ово је дефинитивно најмање безбедна опција јер потенцијално оставља вашу администраторску област отвореном за нападе који долазе из ваше земље.
Међутим, ако много путујете због посла и често вам приступате WordPress сајт са различитих Ви-Фи веза, стављање ваше земље на белу листу може бити најпогоднија опција за вас.
Имајте на уму да ће свака ИП адреса или земља коју сте ставили на белу листу бити изузета од свих осталих правила заштитног зида, и стога не морате да бринете о постављању појединачних изузетака за свако правило.
Заштитити WordPress Контролна табла (ВП-Админ област)
Сада када сте своју ИП адресу и/или земљу ставили на белу листу, време је да чврсто закључате своју вп-админ контролну таблу тако да само ви можете да јој приступите.
Зашто и како заштитити WordPress Контролна табла у Цлоудфларе-у
Подразумева се да не желите да непознати аутсајдери могу да приступе вашој административној области и врше промене без вашег знања или дозволе.
Kao takav, мораћете да направите правило заштитног зида које спречава спољни приступ вашој контролној табли.
Међутим, пре закључавате своје WordPress Командна табла, мораћете да направите два важна изузетка.
- /вп-админ/админ-ајак.пхп. Ова команда омогућава вашој веб страници да приказује динамички садржај и стога јој треба приступити извана помоћу одређених додатака да би функционисала. Као такав, иако је ускладиштен у фасцикли /вп-админ/, ово мора да буде доступно споља ако не желите да ваша веб локација приказује поруке о грешци посетиоцима.
- /вп-админ/тхеме-едитор.пхп. Ова команда омогућава WordPress да покренете проверу грешке сваки пут када промените или уређујете тему свог сајта. Ако занемарите да додате ово као изузетак, ваше промене неће бити сачуване и добићете поруку о грешци која гласи: „Није могуће повратити комуникацију са сајтом ради провере фаталних грешака.“
Да бисте креирали правило заштитног зида, прво идите на Безбедност > ВАФ на вашој Цлоудфларе контролној табли, а затим кликните на дугме „Креирај правило заштитног зида“.
Да бисте додали ове изузетке када заштитите област контролне табле вп-админ, мораћете да креирате ово правило:
- Поље: УРИ путања
- Оператер: садржи
- Вредност: /вп-админ/
[И]
- Поље: УРИ путања
- Оператер: не садржи
- Вредност: /вп-админ/админ-ајак.пхп
[И]
- Поље: УРИ путања
- Оператер: не садржи
- Вредност: /вп-админ/тхеме-едитор.пхп
[Радња: Блокирај]
Када завршите, кликните "Развити" да бисте поставили правило заштитног зида.
Алтернативно, можете кликнути на „Уреди израз“ и налепити доле у:
(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")
Блок земље/континенти
Баш као што можете на белој листи земље да приступите вашој контролној табли администратора.
Такође можете да поставите правило заштитног зида да земље, па чак и читаве континенте, не гледају или приступају вашој веб локацији.
Зашто и како блокирати земље/континете у Цлоудфларе-у
Зашто бисте можда желели да блокирате читаву земљу или континент да приступи вашој веб локацији?
Па, ако ваша веб локација служи одређеној земљи или географском региону и није глобално релевантна, онда блокирање приступа из нерелевантних земаља и/или континената је једноставан начин да се ограничи ризик од напада малвера и злонамерног саобраћаја који долази из иностранства, без блокирања приступа легитимној циљној публици ваше веб странице.
Да бисте креирали ово правило, мораћете поново да отворите свој цлоудфларе контролну таблу и идите на Безбедност > ВАФ > Креирај правило заштитног зида.
Да бисте променили подешавања тако да дозвољавају само одређене земље, унесите следеће:
- Поље: Држава или континент
- Оператер: „Је у“
- Вредност: Изаберите земље или континенте које желите бела листа
(Напомена: ако желите да дозволите саобраћај само из једне земље, можете да унесете „једнако“ као оператер.)
Ако уместо тога одлучите да блокирате одређене земље или континенте, унесите следеће:
- Поље: Држава или континент
- Оператер: „Није унутра“
- Вредност: Изаберите земље или континенте које желите блокирање
Напомена: ово правило може бити лоше ако вам је потребна техничка подршка, а тим за подршку вашег веб хоста се налази у земљи или континенту који сте блокирали.
Ово вероватно неће бити проблем за већину људи, али то је нешто чега бисте требали бити свесни.
Ево примера како забраните приступ вашем сајту из одређене земље, где се корисницима из ове земље приказује а ЈаваСцрипт Цхалленге пре него што покушате да приступите вашој веб локацији.
Блокирајте злонамерне ботове
На основу њиховог корисничког агента, Цлоудфларе вам омогућава да блокирате приступ злонамерним ботовима који покушавају да продру на вашу веб локацију.
Ако већ користите 7Г, онда не морате да бринете о постављању овог правила: 7Г ВАФ блокира претње на нивоу сервера позивајући се на свеобухватну листу злонамерних ботова.
Међутим, ако не користите 7Г, желећете да конфигуришете правило заштитног зида које идентификује и блокира лоше ботове пре него што могу да изазову било какву штету.
Зашто и како блокирати лоше ботове у Цлоудфларе-у
Као и обично, прво идите на своју Цлоудфларе контролну таблу и идите на Безбедност > ВАФ > Креирај правило заштитног зида.
Затим подесите израз правила заштитног зида као такав:
- Поље: Кориснички агент
- Оператер: „Једнако“ или „Садржи“
- Вредност: име лошег бота или злонамерног агента који желите да блокирате
Као и код земаља које блокирају, ботови се могу блокирати појединачно по имену. Да бисте блокирали више од једног бота у исто време, користите опцију „ИЛИ“ са десне стране да додате додатне ботове на листу.
Затим кликните на "Развити" дугме када завршите.
Међутим, ручно блокирање лоших ботова постало је сувишно јер је Цлоудфларе покренут „Режим борбе против ботова“ за све бесплатне кориснике.
„Режим борбе са супер ботовима“ за кориснике Про или Бусинесс плана.
Што значи да се лоши ботови сада аутоматски блокирају за све типове Цлоудфларе корисника.
Блокирајте нападе грубом силом (вп-логин.пхп)
Напади грубе силе, такође познати као вп-логин напади, најчешћи су напади усмерени на WordPress сајтова.
У ствари, ако погледате евиденцију вашег сервера, вероватно ћете пронаћи доказе о таквим нападима у облику ИП адреса са различитих локација широм света који покушавају да приступе вашој вп-логин.пхп датотеци.
Срећом, Цлоудфларе вам омогућава да поставите правило заштитног зида за успешно блокирање напада грубом силом.
Зашто и како заштитити вп-логин.пхп у Цлоудфларе-у
Иако је већина напада грубом силом аутоматизована скенирања која нису довољно моћна да прођу WordPress'с одбране, и даље је добра идеја да поставите правило да их блокирате и смирите свој ум.
Међутим, ово правило функционише само ако сте једини администратор/корисник на вашем сајту. Ако постоји више од једног администратора, или ако ваш сајт користи додатак за чланство, требало би да прескочите ово правило.
Да бисте креирали ово правило, вратите се на Безбедност > ВАФ > Креирај правило заштитног зида.
Након што одаберете име за ово правило, унесите следеће:
- Поље: УРИ путања
- Оператер: садржи
- Вредност: /вп-логин.пхп
[Радња: Блокирај]
Алтернативно, можете кликнути на „Уреди израз“ и налепити доле у:
(http.request.uri.path contains "/wp-login.php")
Када примените правило, Цлоудфларе ће почети да блокира све покушаје приступа вп-логин-у који долазе из било ког извора осим ваше ИП адресе са беле листе.
Као додатни бонус, можете да проверите да ли је ова заштита покренута и ради тако што ћете погледати у Цлоудфларе-ов одељак Фиревалл Евентс, где би требало да будете у могућности да видите записе о свим покушајима грубих напада.
Блокирај КСМЛ-РПЦ нападе (кмлрпц.пхп)
Још један мало ређи (али ипак опасан) тип напада је КСМЛ-РПЦ напад.
КСМЛ-РПЦ је удаљена процедура која позива WordPress, које нападачи могу потенцијално циљати у нападу грубе силе да би добили акредитиве за аутентификацију.
Зашто и како блокирати КСМЛ-РПЦ у Цлоудфларе-у
Иако постоје легитимне употребе за КСМЛ-РПЦ, као што је постављање садржаја на више WordPress блогова истовремено или приступа вашем WordPress сајт са паметног телефона, генерално можете применити ово правило без бриге о нежељеним последицама.
Да бисте блокирали нападе грубе силе који циљају на КСМЛ-РПЦ процедуре, прво идите на Безбедност > ВАФ > Креирај правило заштитног зида.
Затим креирајте следеће правило:
- Поље: УРИ путања
- Оператер: садржи
- Вредност: /кмлрпц.пхп
[Радња: Блокирај]
Алтернативно, можете кликнути на „Уреди израз“ и налепити доле у:
(http.request.uri.path contains "/xmlrpc.php")
И баш тако, са само неколико једноставних корака, заштитили сте своје WordPress сајт са два најчешћа типа напада грубом силом.
Спречавање нежељених коментара (вп-цомментс-пост.пхп)
Ако сте вебмастер, нежељена пошта на вашем сајту је само једна од досадних животних чињеница.
Срећом, Цлоудфларе заштитни зид нуди неколико правила која можете применити да бисте блокирали многе уобичајене врсте нежељене поште, укључујући нежељене коментаре.
Зашто и како блокирати вп-цомментс-пост.пхп у Цлоудфларе-у
Ако је нежељена пошта у коментарима постала проблем на вашој веб локацији (или, још боље, ако желите да проактивно спречите да то постане проблем), можете ограничити вп-цомментс-пост.пхп да бисте ограничили саобраћај ботова.
Ово се ради на ДНС нивоу помоћу Цлоудфларе-а ЈС изазов, а начин на који функционише је релативно једноставан: нежељени коментари су аутоматизовани, а аутоматизовани извори не могу да обрађују ЈС.
Онда не успевају у ЈС изазову, и воила - спам је блокиран на нивоу ДНС-а, а захтев никада не стиже до вашег сервера.
Дакле, како креирате ово правило?
Као и обично, идите на страницу Безбедност > ВАФ и изаберите „Креирај правило заштитног зида“.
Уверите се да сте овом правилу дали препознатљиво име, као што је „Непожељни коментари“.
Затим подесите следеће:
- Поље: УРИ
- Оператер: Једнако
- Вредност: вп-цомментс-пост.пхп
[И]
- Поље: Метода захтева
- Оператер: Једнако
- Вредност: ПОСТ
[И]
- Поље: Реферер
- Оператер: не садржи
- Вредност: [вашдомен.цом]
[Акција: ЈС Цхалленге]
Пазите да подесите акцију на ЈС Цхалленге, јер ће то осигурати да коментар буде блокиран без ометања општих радњи корисника на сајту.
Када унесете ове вредности, кликните на „Деплои“ да бисте креирали своје правило.
Завршите: како можете да обезбедите своје WordPress Сајт са правилима Цлоудфларе заштитног зида
У трци у наоружавању на вебу, правила Цлоудфларе заштитног зида су једно од најефикаснијих оружја које имате у свом арсеналу.
Чак и са бесплатним Цлоудфларе налогом, можете применити многа различита правила да бисте заштитили своје WordPress сајт против неких од најчешћих претњи нежељене поште и малвера.
Са само неколико (углавном) једноставних притисака на тастере, можете повећати безбедност своје веб локације нека ради несметано за посетиоце.
За више о побољшању вашег WordPress безбедност сајта, погледајте моју водич за претварање WordPress сајтова у статички ХТМЛ.
Референце
https://developers.cloudflare.com/firewall/
https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/
https://www.websiterating.com/blog/web-hosting/glossary/what-is-cloudflare/