Hur du säkrar din WordPress Webbplats med Cloudflare-brandväggsregler

Skriven av

Om du är en webmaster som driver en blogg eller webbplats på WordPress, är chansen stor att webbsäkerhet är en av dina högsta prioriteringar. Så länge din domän är Cloudflare-aktiverad kan du lägga till WordPress-specifika Cloudflare-brandväggsregler för att förbättra din webbplats säkerhet och till och med förhindra attacker långt innan de når din server.

Om du använder Cloudflares gratisplan har du möjlighet att lägga till 5 regler (proplanen ger dig 20). 

Cloudflare gör det enkelt och snabbt att skapa brandväggsregler, och varje regel erbjuder fantastisk flexibilitet: inte bara kan du göra mycket med varje regel, men regler kan ofta konsolideras, vilket frigör utrymme för dig att göra ännu mer.

cloudflare brandväggsregler

I den här artikeln ska jag ta en djupgående titt på några av de olika brandväggsregler du kan tillämpa för att komplettera och förbättra din WordPress webbplatsens befintliga säkerhetsfunktioner.

Sammanfattning: Hur du skyddar din WordPress webbplats med Cloudflare Firewall

  • Cloudflares webbapplikationsbrandvägg (WAF) är ett mjukvaruverktyg som låter dig skydda din WordPress webbsajt. 
  • Cloudflare Firewall Rules låter dig svartlista eller vitlista förfrågningar enligt flexibla kriterier som du ställer in. 
  • Till skapa lufttätt skydd för din WordPress webbplats, med Cloudflare kan du: vitlista din egen IP-adress, skydda ditt adminområde, blockera besökare efter region eller land, blockera skadliga bots och brute force-attacker, blockera XML-RPC-attacker och förhindra kommentarspam.

Vitlista din egen IP-adress

För att undvika problem på vägen, vitlista din egen webbplatss IP-adress bör vara den första uppgiften på din lista innan du aktiverar alla brandväggsregler.

Varför och hur man vitlistar din IP-adress i Cloudflare

Detta beror främst på att du kan bli utelåst från din egen webbplats om du väljer att blockera din WordPress administratörsområde från andra.

För att vitlista din webbplats IP-adress, gå till din Cloudflare instrumentpanel Säkerhetssektion och välj "WAF." Klicka sedan på "Verktyg" och ange din IP-adress i rutan "IP-åtkomstregler" och välj "vitlista" från rullgardinsmenyn.

cloudflare vitlista egen IP-adress

För att hitta din IP-adress kan du göra ett Google sök efter "vad är min IP" så returnerar det din IPv4-adress, och om du behöver din IPv6 kan du gå till https://www.whatismyip.com/

Kom ihåg att om din IP-adress ändras måste du ange/vitlista din nya IP-adress igen för att undvika att bli utestängd från ditt administratörsområde.

Förutom att vitlista din webbplats exakta IP-adress, du kan också välja att vitlista hela ditt IP-område.

Om du har en dynamisk IP-adress (dvs. en IP-adress som är inställd på att ständigt ändras något), så är detta definitivt det bättre valet för dig, eftersom det skulle vara en stor smärta att ständigt ange och vitlista nya IP-adresser igen.

Du kan också vitlista hela ditt land. 

Detta är definitivt det minst säkra alternativet eftersom det potentiellt lämnar ditt administratörsområde öppet för attacker från ditt land.

Emellertid om du reser mycket i arbetet och ofta hittar dig själv att komma åt din WordPress webbplats från olika Wi-Fi-anslutningar, kan vitlista ditt land vara det bekvämaste alternativet för dig.

Tänk på att alla IP-adresser eller länder som du har vitlistat kommer att undantas från alla andra brandväggsregler, och därför behöver du inte oroa dig för att ställa in individuella undantag för varje regel.

Skydda WordPress Dashboard (WP-Admin-området)

Nu när du har vitlistat din IP-adress och/eller land är det dags för att låsa din wp-admin-dashboard ordentligt så att bara du kan komma åt den.

Varför och hur man skyddar WordPress Instrumentpanel i Cloudflare

Det säger sig självt att du inte vill att okända utomstående ska kunna komma åt ditt adminområde och göra ändringar utan din vetskap eller tillåtelse.

Som sådan, du måste skapa en brandväggsregel som förhindrar extern åtkomst till din instrumentpanel.

Emellertid innan du låser din WordPress instrumentbräda, du måste göra två viktiga undantag.

  1. /wp-admin/admin-ajax.php. Detta kommando låter din webbplats visa dynamiskt innehåll och måste därför nås utifrån av vissa plugins för att fungera. Som sådan, även om den är lagrad i mappen /wp-admin/, måste denna vara tillgänglig från utsidan om du inte vill att din webbplats ska visa felmeddelanden för besökare.
  2. /wp-admin/theme-editor.php. Detta kommando aktiverar WordPress att köra en felkontroll varje gång du ändrar eller redigerar webbplatsens tema. Om du försummar att lägga till detta som ett undantag kommer dina ändringar inte att sparas, och du får ett felmeddelande som lyder: "Det går inte att kommunicera tillbaka med webbplatsen för att leta efter allvarliga fel."

För att skapa en brandväggsregel, gå först till Säkerhet > WAF i din Cloudflare-instrumentpanel och klicka sedan på knappen "Skapa brandväggsregel".

cloudflare skydda wp-admin instrumentpanel

För att lägga till dessa undantag när du skyddar ditt område för wp-admin-instrumentpanelen måste du skapa den här regeln:

  • Fält: URI-sökväg
  • Operatör: innehåller
  • Värde: /wp-admin/

[OCH]

  • Fält: URI-sökväg
  • Operatör: innehåller inte
  • Värde: /wp-admin/admin-ajax.php

[OCH]

  • Fält: URI-sökväg
  • Operatör: innehåller inte
  • Värde: /wp-admin/theme-editor.php

[Åtgärd: Blockera]

När du är klar klickar du på ”Distribuera” för att ställa in din brandväggsregel.

Alternativt kan du klicka på "Redigera uttryck" och klistra in nedanstående i:

(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")

Blockera länder/kontinenter

Precis som du kan vitlista ett land för att komma åt din administratörspanel.

Du kan också ställ in en brandväggsregel för att svartlista länder och till och med hela kontinenter från att se eller komma åt din webbplats.

Varför och hur man blockerar länder/kontinenter i Cloudflare

Varför kanske du vill blockera ett helt land eller en hel kontinent från att komma åt din webbplats?

Tja, om din webbplats betjänar ett visst land eller geografisk region och inte är globalt relevant, då blockering av åtkomst från irrelevanta länder och/eller kontinenter är ett enkelt sätt att begränsa risken för skadliga attacker och skadlig trafik som kommer från utlandet, utan att någonsin blockera åtkomsten till din webbplatss legitima målgrupp.

För att skapa den här regeln måste du återigen öppna din Cloudflare-instrumentpanel och gå till Säkerhet > WAF > Skapa brandväggsregel.

För att ändra inställningarna så att endast specifika länder tillåts anger du följande:

  • Fält: Land eller kontinent
  • Operatör: "Är med"
  • Värde: Välj de länder eller kontinenter du vill vitlista

(Obs: om du bara vill tillåta trafik från ett land kan du ange "likar med" som operatör.)

Om du väljer att blockera specifika länder eller kontinenter istället anger du följande:

  • Fält: Land eller kontinent
  • Operatör: "Är inte med"
  • Värde: Välj de länder eller kontinenter du vill blockera

Obs: den här regeln kan slå tillbaka om du behöver teknisk support och din webbvärds supportteam finns i ett land eller en kontinent som du har blockerat.

Detta kommer förmodligen inte att vara ett problem för de flesta, men det är något du bör vara medveten om.

Här är ett exempel på hur man nekar åtkomst till din webbplats från ett visst land, där användare från detta land visas en JavaScript-utmaning innan du försöker komma åt din webbplats.

cloudflare svartlistade land

Blockera skadliga bots

Baserat på deras användaragent, Cloudflare låter dig blockera åtkomst till skadliga bots som försöker penetrera din webbplats.

Om du redan använder 7G behöver du inte oroa dig för att ställa in den här regeln: 7G WAF blockerar hot på servernivå genom att hänvisa till en omfattande lista över skadliga bots.

Men om du inte använder 7G, du vill konfigurera en brandväggsregel som identifierar och blockerar dåliga bots innan de kan orsaka skada.

Varför och hur man blockerar dåliga bots i Cloudflare

Som vanligt, gå först till din Cloudflare-instrumentpanel och gå till Säkerhet > WAF > Skapa brandväggsregel.

cloudflare blockerar dåliga bots

Ställ sedan in ditt brandväggsregeluttryck som sådant:

  • Fält: Användaragent
  • Operatör: "Är lika med" eller "Innehåller"
  • Värde: namnet på den dåliga boten eller den skadliga agenten som du vill blockera

Precis som med blockerande länder kan botar blockeras individuellt med namn. För att blockera mer än en bot samtidigt, använd "ELLER"-alternativet till höger för att lägga till ytterligare bots till listan.

Klicka sedan på ”Distribuera” när du är klar.

Men manuell blockering av dåliga bots har blivit överflödig eftersom Cloudflare har lanserats "Bot Fight Mode" för alla gratisanvändare.

bot fight läge

och "Super Bot Fight Mode" för användare av pro- eller affärsplan.

superbot fight-läge

Det betyder att dåliga bots nu blockeras automatiskt för alla typer av Cloudflare-användare.

Blockera Brute Force Attacks (wp-login.php)

Brute force attacker, även kända som wp-login attacker, är de vanligaste attackerna som riktas mot WordPress platser. 

Faktum är att om du tittar på dina serverloggar kommer du sannolikt att hitta bevis på sådana attacker i form av IP-adresser från olika platser runt om i världen som försöker komma åt din wp-login.php-fil.

Lyckligtvis Cloudflare låter dig ställa in en brandväggsregel för att framgångsrikt blockera brute force-attacker.

Varför och hur man skyddar wp-login.php i Cloudflare

Även om de flesta brute force-attacker är automatiserade skanningar som inte är tillräckligt kraftfulla för att ta sig igenom WordPresss försvar, är det fortfarande en bra idé att sätta en regel för att blockera dem och lugna dig.

Emellertid denna regel fungerar bara om du är den enda administratören/användaren på din webbplats. Om det finns mer än en administratör, eller om din webbplats använder ett medlemskapsplugin, bör du hoppa över den här regeln.

blockera wp-login.php

För att skapa den här regeln, gå tillbaka till  Säkerhet > WAF > Skapa brandväggsregel.

När du har valt ett namn för den här regeln anger du följande:

  • Fält: URI-sökväg
  • Operatör: innehåller
  • Värde: /wp-login.php

[Åtgärd: Blockera]

Alternativt kan du klicka på "Redigera uttryck" och klistra in nedanstående i:

(http.request.uri.path contains "/wp-login.php")

När du implementerar regeln, Cloudflare kommer att börja blockera alla försök att komma åt wp-login som kommer från någon annan källa än din vitlistade IP.

Som en extra bonus, du kan verifiera att detta skydd är igång genom att titta i Cloudflares brandväggshändelser, där du bör kunna se ett register över alla försök till brute force-attacker.

Blockera XML-RPC-attacker (xmlrpc.php)

En annan lite mindre vanlig (men fortfarande farlig) typ av attack är en XML-RPC attack.

XML-RPC är en fjärrprocedur som anropar WordPress, som angripare potentiellt kan rikta in sig på i en brute force-attack för att få autentiseringsuppgifter.

Varför och hur man blockerar XML-RPC i Cloudflare

Även om det finns legitima användningsområden för XML-RPC, som att lägga upp innehåll till flera WordPress bloggar samtidigt eller komma åt din WordPress webbplats från en smartphone, kan du i allmänhet distribuera denna regel utan att oroa dig för oavsiktliga konsekvenser.

blockera XML-RPC

För att blockera brute force-attacker riktade mot XML-RPC-procedurer, gå först till Säkerhet > WAF > Skapa brandväggsregel.

Skapa sedan följande regel:

  • Fält: URI-sökväg
  • Operatör: innehåller
  • Värde: /xmlrpc.php

[Åtgärd: Blockera]

Alternativt kan du klicka på "Redigera uttryck" och klistra in nedanstående i:

(http.request.uri.path contains "/xmlrpc.php")

Och precis så, med bara några enkla steg, har du skyddat din WordPress webbplats från två av de vanligaste typerna av brute force-attacker.

Förhindra kommentarspam (wp-comments-post.php)

Om du är en webbansvarig är spam på din webbplats bara en av livets irriterande fakta.

Lyckligtvis Cloudflare Firewall erbjuder flera regler som du kan använda för att blockera många vanliga typer av skräppost, inklusive kommentarspam.

Varför och hur man blockerar wp-comments-post.php i Cloudflare

Om kommentarspam har blivit ett problem på din webbplats (eller ännu bättre, om du proaktivt vill förhindra att det blir ett problem), kan du begränsa wp-comments-post.php för att begränsa bottrafiken.

Detta görs på DNS-nivå med en Cloudflare JS utmaning, och hur det fungerar är relativt enkelt: skräppostkommentarer är automatiserade och automatiserade källor kan inte bearbeta JS.

De misslyckas sedan med JS-utmaningen, och voila – skräpposten blockeras på DNS-nivå och begäran når aldrig din server.

cloudflare blockera wp-comments.php

Så, hur skapar du den här regeln?

Som vanligt, gå till sidan Säkerhet > WAF och välj "Skapa brandväggsregel."

Se till att du ger den här regeln ett igenkännbart namn, till exempel "Kommentarskräppost".

Ställ sedan in följande:

  • Fält: URI
  • Operatör: Lika
  • Värde: wp-comments-post.php

[OCH]

  • Fält: Request Method
  • Operatör: Lika
  • Värde: POST

[OCH]

  • Fält: Referent
  • Operatör: innehåller inte
  • Värde: [dindomän.com]

[Åtgärd: JS Challenge]

Var noga med att ställa in åtgärden JS utmaning, eftersom detta kommer att se till att kommentaren blockeras utan att störa allmänna användaråtgärder på webbplatsen.

När du har angett dessa värden, klicka på "Distribuera" för att skapa din regel.

Sammanfattning: Säkra din WordPress Webbplats med Cloudflare-brandväggsregler

I kapprustningen om webbsäkerhet är Cloudflares brandväggsregler ett av de mest effektiva vapnen du har i din arsenal. 

Även med ett gratis Cloudflare-konto kan du distribuera många olika regler för att skydda din WordPress webbplats mot några av de vanligaste spam- och skadliga hoten.

Med bara några få (oftast) enkla tangenttryckningar kan du öka din webbplats säkerhet och hålla det igång smidigt för besökarna.

För mer om att förbättra din WordPress webbplatsens säkerhet, kolla in min guide till konvertering WordPress webbplatser till statisk HTML.

referenser

https://developers.cloudflare.com/firewall/

https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/

https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/

Hem » Online Säkerhet » Hur du säkrar din WordPress Webbplats med Cloudflare-brandväggsregler

Gå med i vårt nyhetsbrev

Prenumerera på vårt veckovisa nyhetsbrev och få de senaste branschnyheterna och trenderna

Genom att klicka på "prenumerera" godkänner du vår användarvillkor och sekretesspolicy.