Kung ikaw ay isang webmaster na nagpapatakbo ng isang blog o website sa WordPress, malamang na ang seguridad sa web ay isa sa iyong mga pangunahing priyoridad. Hangga't ang iyong domain ay Cloudflare-enabled, magagawa mo idagdag WordPress-tiyak na mga panuntunan sa Cloudflare firewall upang mapabuti ang seguridad ng iyong site at kahit na maiwasan ang mga pag-atake bago pa sila makarating sa iyong server.
Kung gumagamit ka ng libreng plano ng Cloudflare, mayroon kang kakayahang magdagdag ng 5 panuntunan (ang pro plan ay nagbibigay sa iyo ng 20).
Ginagawang madali at mabilis ng Cloudflare ang paggawa ng mga panuntunan sa firewall, at ang bawat panuntunan ay nag-aalok ng kahanga-hangang flexibility: hindi lang marami kang magagawa sa bawat panuntunan, ngunit madalas na pagsasama-samahin ang mga panuntunan, na nagbibigay ng espasyo para sa iyo na gumawa ng higit pa.
Sa artikulong ito, titingnan ko nang malalim ang ilan sa iba't ibang mga panuntunan sa firewall na maaari mong ilapat upang umakma at mapahusay ang iyong WordPress kasalukuyang mga tampok ng seguridad ng site.
Buod: Paano protektahan ang iyong WordPress website na may Cloudflare Firewall
- Web Application Firewall (WAF) ng Cloudflare ay isang software tool na nagbibigay-daan sa iyong protektahan ang iyong WordPress website.
- Hinahayaan ka ng Mga Panuntunan ng Cloudflare Firewall mga kahilingan sa blacklist o whitelist ayon sa nababagong pamantayan na iyong itinakda.
- Upang lumikha ng airtight protection para sa iyong WordPress lugar, sa Cloudflare maaari mong: i-whitelist ang iyong sariling IP address, protektahan ang iyong admin area, i-block ang mga bisita ayon sa rehiyon o bansa, i-block ang mga malisyosong bot at brute force na pag-atake, i-block ang mga pag-atake ng XML-RPC, at pigilan ang spam ng komento.
I-whitelist ang Iyong Sariling IP Address
Upang maiwasan ang mga problema sa daan, Ang pag-whitelist sa IP address ng iyong sariling website ay dapat ang unang gawain sa iyong listahan bago pinagana mo ang anumang mga panuntunan sa firewall.
Bakit at Paano I-whitelist ang Iyong IP Address sa Cloudflare
Pangunahin ito dahil maaari mong mahanap ang iyong sarili na naka-lock out sa iyong sariling website kung pipiliin mong i-block ang iyong WordPress admin area mula sa iba.
Upang i-whitelist ang IP address ng iyong website, pumunta sa iyong Cloudflare dashboard Security na seksyon at piliin ang “WAF.” Pagkatapos ay mag-click sa “Tools” at ilagay ang iyong IP address sa “IP Access Rules” box, at piliin ang “whitelist” mula sa drop-down na menu.
Upang mahanap ang iyong IP address maaari mong gawin ang a Google hanapin ang "ano ang aking IP" at ibabalik nito ang iyong IPv4 address, at kung kailangan mo ang iyong IPv6, maaari kang pumunta sa https://www.whatismyip.com/
Tandaan na ang kung magbabago ang iyong IP address, kakailanganin mong muling ipasok/i-whitelist ang iyong bagong IP address upang maiwasang ma-lock out sa iyong admin area.
Bilang karagdagan sa pag-whitelist sa eksaktong IP address ng iyong site, maaari mo ring piliing i-whitelist ang iyong buong hanay ng IP.
Kung mayroon kang isang dynamic na IP address (ibig sabihin, isang IP address na nakatakdang patuloy na magbago nang bahagya), kung gayon ito ay tiyak na mas mahusay na pagpipilian para sa iyo, dahil ang patuloy na muling pagpasok at pag-whitelist ng mga bagong IP address ay magiging isang malaking sakit.
Maaari mo ring i-whitelist ang iyong buong bansa.
Talagang ito ang pinaka-hindi ligtas na opsyon dahil posibleng iwan nitong bukas ang iyong admin area sa mga pag-atake na nagmumula sa loob ng iyong bansa.
Gayunpaman, kung madalas kang naglalakbay para sa trabaho at madalas mong naa-access ang iyong WordPress site mula sa iba't ibang koneksyon sa Wi-Fi, ang pag-whitelist sa iyong bansa ay maaaring ang pinaka-maginhawang opsyon para sa iyo.
Tandaan na ang anumang IP address o bansang na-whitelist mo ay mabubukod sa lahat ng iba pang panuntunan sa firewall, at sa gayon ay hindi mo kailangang mag-alala tungkol sa pagtatakda ng mga indibidwal na pagbubukod sa bawat panuntunan.
Ipagtanggol WordPress Dashboard (ang WP-Admin Area)
Ngayong na-whitelist mo na ang iyong IP address at/o bansa, oras na para i-lock ng maigi ang iyong wp-admin dashboard para ikaw lang ang makaka-access dito.
Bakit at Paano Protektahan ang WordPress Dashboard sa Cloudflare
Walang sabi-sabi na hindi mo gustong ma-access ng mga hindi kilalang tagalabas ang iyong admin area at gumawa ng mga pagbabago nang hindi mo alam o pahintulot.
Dahil dito, ang kakailanganin mong gumawa ng panuntunan sa firewall na pumipigil sa labas ng access sa iyong dashboard.
Gayunpaman, bago i-lock mo ang iyong WordPress dashboard, kailangan mong gumawa ng dalawang mahalagang eksepsiyon.
- /wp-admin/admin-ajax.php. Ang command na ito ay nagbibigay-daan sa iyong website na magpakita ng dynamic na nilalaman at sa gayon ay kailangang ma-access mula sa labas ng ilang partikular na plugin upang gumana. Dahil dito, kahit na nakaimbak ito sa folder na /wp-admin/, kailangan itong ma-access mula sa labas kung ayaw mong magpakita ang iyong website ng mga mensahe ng error sa mga bisita.
- /wp-admin/theme-editor.php. Pinapagana ng command na ito WordPress para magpatakbo ng error check sa tuwing babaguhin o i-edit mo ang tema ng iyong site. Kung papabayaan mong idagdag ito bilang isang pagbubukod, hindi mase-save ang iyong mga pagbabago, at makakatanggap ka ng mensahe ng error na nagsasabing, "Hindi magawang makipag-ugnayan muli sa site upang suriin ang mga nakamamatay na error."
Upang lumikha ng panuntunan sa firewall, pumunta muna sa Seguridad > WAF sa iyong Cloudflare dashboard, pagkatapos ay mag-click sa button na "Gumawa ng Firewall Rule".
Upang idagdag ang mga pagbubukod na ito kapag pinoprotektahan ang iyong wp-admin dashboard area, kakailanganin mong gawin ang panuntunang ito:
- Field: URI path
- Operator: naglalaman ng
- Halaga: /wp-admin/
[AT]
- Field: URI path
- Operator: hindi naglalaman
- Halaga: /wp-admin/admin-ajax.php
[AT]
- Field: URI path
- Operator: hindi naglalaman
- Halaga: /wp-admin/theme-editor.php
[Aksyon: Harangan]
Kapag tapos ka na, mag-click "I-deploy" upang itakda ang iyong panuntunan sa firewall.
Bilang kahalili, maaari kang mag-click sa "I-edit ang expression" at i-paste ang nasa ibaba sa:
(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")
I-block ang mga Bansa/Kontinente
Tulad ng maaari mong i-whitelist ang isang bansa upang ma-access ang iyong admin dashboard.
Maaari mo ring magtakda ng panuntunan sa firewall upang i-blacklist ang mga bansa at maging ang buong kontinente mula sa pagtingin o pag-access sa iyong site.
Bakit at Paano Harangan ang mga Bansa/Kontinente sa Cloudflare
Bakit maaaring gusto mong harangan ang isang buong bansa o kontinente sa pag-access sa iyong site?
Well, kung ang iyong website ay nagsisilbi sa isang partikular na bansa o heograpikal na rehiyon at hindi ito nauugnay sa buong mundo, kung gayon Ang pagharang sa pag-access mula sa mga hindi nauugnay na bansa at/o kontinente ay isang madaling paraan upang limitahan ang panganib ng mga pag-atake ng malware at malisyosong trapiko na nagmumula sa ibang bansa, nang hindi hinaharangan ang access sa lehitimong target na audience ng iyong website.
Upang gawin ang panuntunang ito, kakailanganin mong buksan muli ang iyong CloudFlare dashboard at pumunta sa Seguridad > WAF > Gumawa ng Panuntunan ng Firewall.
Upang baguhin ang mga setting upang payagan lamang ang mga partikular na bansa, ilagay ang sumusunod:
- Patlang: Bansa o Kontinente
- Operator: "Nasa"
- Halaga: Piliin ang mga bansa o kontinente na gusto mo whitelist
(Tandaan: kung gusto mong payagan ang trapiko mula lamang sa isang bansa, maaari mong ilagay ang "katumbas" bilang operator.)
Kung pipiliin mong i-block ang mga partikular na bansa o kontinente sa halip, ilagay ang sumusunod:
- Patlang: Bansa o Kontinente
- Operator: "Wala sa"
- Halaga: Piliin ang mga bansa o kontinente na gusto mo harangan ang
Tandaan: maaaring mag-backfire ang panuntunang ito kung kailangan mo ng tech support at ang team ng suporta ng iyong web host ay matatagpuan sa isang bansa o kontinente na iyong na-block.
Malamang na hindi ito magiging problema para sa karamihan ng mga tao, ngunit ito ay isang bagay na dapat mong malaman.
Narito ang isang halimbawa kung paano tanggihan ang pag-access sa iyong site mula sa isang partikular na bansa, kung saan ipinapakita ang mga user mula sa bansang ito a Hamon sa JavaScript bago subukang i-access ang iyong site.
I-block ang Mga Nakakahamak na Bot
Batay sa kanilang ahente ng gumagamit, Binibigyang-daan ka ng Cloudflare na harangan ang pag-access sa mga nakakahamak na bot na sumusubok na tumagos sa iyong site.
Kung gumagamit ka na ng 7G, hindi mo kailangang mag-alala tungkol sa pagtatakda ng panuntunang ito: hinaharangan ng 7G WAF ang mga banta sa antas ng server sa pamamagitan ng pagtukoy sa isang komprehensibong listahan ng mga nakakahamak na bot.
Gayunpaman, kung hindi ka gumagamit ng 7G, gugustuhin mong mag-configure ng panuntunan sa firewall na tumutukoy at humaharang sa masasamang bot bago sila makapagdulot ng anumang pinsala.
Bakit at Paano I-block ang Mga Bad Bot sa Cloudflare
Gaya ng dati, pumunta muna sa iyong Cloudflare dashboard at pumunta sa Seguridad > WAF > Gumawa ng Panuntunan ng Firewall.
Pagkatapos, itakda ang expression ng iyong panuntunan sa firewall nang ganito:
- Field: Ahente ng Gumagamit
- Operator: "Katumbas" o "Naglalaman"
- Value: ang pangalan ng masamang bot o malisyosong ahente na gusto mong i-block
Katulad ng mga bansang nagba-block, ang mga bot ay maaaring i-block nang paisa-isa ayon sa pangalan. Upang mag-block ng higit sa isang bot nang sabay-sabay, gamitin ang opsyong “O” sa kanan upang magdagdag ng mga karagdagang bot sa listahan.
Pagkatapos ay i-click ang "I-deploy" pindutan kapag tapos ka na.
Gayunpaman, ang manu-manong pagharang sa mga masasamang bot ay naging kalabisan dahil inilunsad ang Cloudflare “Bot Fight Mode” para sa lahat ng libreng gumagamit.
at “Super Bot Figth Mode” para sa mga gumagamit ng Pro o Business plan.
Ibig sabihin, ang mga masasamang bot ay awtomatikong hina-block na ngayon para sa lahat ng uri ng mga user ng Cloudflare.
I-block ang Brute Force Attacks (wp-login.php)
Ang mga pag-atake ng brute force, na kilala rin bilang mga pag-atake ng wp-login, ay ang pinakakaraniwang pag-atake na nilalayon WordPress site.
Sa katunayan, kung titingnan mo ang iyong mga log ng server, malamang na makakita ka ng katibayan ng gayong mga pag-atake sa anyo ng mga IP address mula sa iba't ibang lokasyon sa buong mundo na sinusubukang i-access ang iyong wp-login.php file.
Sa kabutihang palad, Hinahayaan ka ng Cloudflare na magtakda ng panuntunan sa firewall upang matagumpay na harangan ang mga pag-atake ng malupit na puwersa.
Bakit at Paano Protektahan ang wp-login.php sa Cloudflare
Bagama't ang karamihan sa mga brute force na pag-atake ay mga automated na pag-scan na hindi sapat ang lakas upang makalusot WordPressAng mga depensa ni, magandang ideya pa rin na magtakda ng panuntunan para harangan sila at patahimikin ang iyong isip.
Gayunpaman, gagana lang ang panuntunang ito kung ikaw lang ang admin/user sa iyong site. Kung mayroong higit sa isang admin, o kung ang iyong site ay gumagamit ng isang membership plugin, dapat mong laktawan ang panuntunang ito.
Upang gawin ang panuntunang ito, bumalik sa Seguridad > WAF > Gumawa ng Panuntunan ng Firewall.
Pagkatapos mong pumili ng pangalan para sa panuntunang ito, ilagay ang sumusunod:
- Field: URI path
- Operator: naglalaman ng
- Halaga: /wp-login.php
[Aksyon: Harangan]
Bilang kahalili, maaari kang mag-click sa "I-edit ang expression" at i-paste ang nasa ibaba sa:
(http.request.uri.path contains "/wp-login.php")
Kapag na-deploy mo na ang panuntunan, Sisimulan ng Cloudflare na i-block ang lahat ng pagtatangka upang ma-access ang wp-login na nagmumula sa anumang pinagmulan maliban sa iyong naka-whitelist na IP.
Bilang dagdag na bonus, maaari mong i-verify na gumagana at tumatakbo ang proteksyong ito sa pamamagitan ng pagtingin sa seksyong Mga Kaganapan sa Firewall ng Cloudflare, kung saan dapat mong makita ang isang talaan ng anumang mga tangkang pag-atake ng malupit na puwersa.
I-block ang XML-RPC Attacks (xmlrpc.php)
Ang isa pang medyo hindi gaanong karaniwan (ngunit mapanganib pa rin) na uri ng pag-atake ay isang Pag-atake ng XML-RPC.
Ang XML-RPC ay isang remote procedure sa pagtawag WordPress, na maaaring ma-target ng mga umaatake sa isang malupit na puwersang pag-atake upang makakuha ng mga kredensyal sa pagpapatunay.
Bakit at Paano I-block ang XML-RPC sa Cloudflare
Bagama't may mga lehitimong gamit para sa XML-RPC, tulad ng pag-post ng nilalaman sa maramihang WordPress mga blog nang sabay-sabay o pag-access sa iyong WordPress site mula sa isang smartphone, maaari mong karaniwang i-deploy ang panuntunang ito nang hindi nababahala tungkol sa mga hindi sinasadyang kahihinatnan.
Upang harangan ang mga malupit na pag-atake na nagta-target sa mga pamamaraan ng XML-RPC, pumunta muna sa Seguridad > WAF > Gumawa ng Panuntunan ng Firewall.
Pagkatapos ay lumikha ng sumusunod na panuntunan:
- Field: URI path
- Operator: naglalaman ng
- Halaga: /xmlrpc.php
[Aksyon: Harangan]
Bilang kahalili, maaari kang mag-click sa "I-edit ang expression" at i-paste ang nasa ibaba sa:
(http.request.uri.path contains "/xmlrpc.php")
At tulad niyan, sa ilang simpleng hakbang lang, naprotektahan mo ang iyong WordPress site mula sa dalawa sa mga pinakakaraniwang uri ng pag-atake ng malupit na puwersa.
Pigilan ang Spam ng Komento (wp-comments-post.php)
Kung ikaw ay isang webmaster, ang spam sa iyong site ay isa lamang sa mga nakakainis na katotohanan ng buhay.
Sa kabutihang palad, Nag-aalok ang Cloudflare Firewall ng ilang panuntunan na maaari mong i-deploy upang harangan ang maraming karaniwang uri ng spam, kabilang ang spam ng komento.
Bakit at Paano I-block ang wp-comments-post.php sa Cloudflare
Kung ang spam ng komento ay naging problema sa iyong site (o, mas mabuti pa, kung gusto mong proactive na pigilan itong maging problema), maaari mong paghigpitan ang wp-comments-post.php upang paghigpitan ang trapiko ng bot.
Ginagawa ito sa antas ng DNS gamit ang isang Cloudflare hamon ni JS, at ang paraan ng paggana nito ay medyo simple: ang mga komento sa spam ay awtomatiko, at hindi maproseso ng mga automated na mapagkukunan ang JS.
Pagkatapos ay nabigo sila sa hamon ng JS, at voila - ang spam ay na-block sa antas ng DNS, at ang kahilingan ay hindi kailanman makakarating sa iyong server.
Kaya, paano mo gagawin ang panuntunang ito?
Tulad ng dati, pumunta sa Security > WAF page at piliin ang “Gumawa ng Firewall Rule.”
Tiyaking bibigyan mo ang panuntunang ito ng makikilalang pangalan, gaya ng “Comment Spam.”
Pagkatapos, itakda ang sumusunod:
- Patlang: URI
- Operator: Katumbas
- Halaga: wp-comments-post.php
[AT]
- Field: Paraan ng Kahilingan
- Operator: Katumbas
- Halaga: POST
[AT]
- Patlang: Referer
- Operator: hindi naglalaman
- Halaga: [yourdomain.com]
[Aksyon: JS Challenge]
Mag-ingat upang itakda ang aksyon sa Hamon ng JS, dahil titiyakin nito na ang komento ay naharang nang hindi nakakasagabal sa mga pangkalahatang aksyon ng user sa site.
Kapag nailagay mo na ang mga halagang ito, i-click ang “Deploy” para gawin ang iyong panuntunan.
Wrap Up: Paano Mo Mase-secure ang Iyong WordPress Site na may Cloudflare Firewall Rules
Sa web security arms race, ang Cloudflare firewall rules ay isa sa pinakamabisang armas na mayroon ka sa iyong arsenal.
Kahit na may isang libreng Cloudflare account, maaari kang mag-deploy ng maraming iba't ibang mga panuntunan upang protektahan ang iyong WordPress site laban sa ilan sa mga pinakakaraniwang banta sa spam at malware.
Sa ilang (karamihan) simpleng keystroke, maaari mong palakasin ang seguridad ng iyong site at panatilihin itong maayos para sa mga bisita.
Para sa higit pa sa pagpapabuti ng iyong WordPress seguridad ng site, tingnan ang aking gabay sa pagbabalik-loob WordPress mga site sa static na HTML.
Mga sanggunian
https://developers.cloudflare.com/firewall/
https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/
https://www.websiterating.com/blog/web-hosting/glossary/what-is-cloudflare/