Bir blog veya web sitesi çalıştıran bir web yöneticisiyseniz WordPress, muhtemelen web güvenliği en önemli önceliklerinizden biridir. Alan adınız Cloudflare etkin olduğu sürece şunları yapabilirsiniz: eklemek WordPress-spesifik Cloudflare güvenlik duvarı kuralları sitenizin güvenliğini artırmak ve hatta saldırıları sunucunuza ulaşmadan çok önce önlemek için.
Cloudflare'ın ücretsiz planını kullanıyorsanız, 5 kural ekleme olanağınız vardır (profesyonel plan size 20 verir).
Cloudflare, güvenlik duvarı kuralları oluşturmayı kolay ve hızlı hale getirir ve her kural harika bir esneklik sunar: sadece her kuralla çok şey yapmakla kalmaz, aynı zamanda kurallar çoğu zaman birleştirilebilir ve size daha fazlasını yapmanız için yer açar.
Bu makalede, sisteminizi tamamlamak ve geliştirmek için uygulayabileceğiniz farklı güvenlik duvarı kurallarının bazılarına derinlemesine bakacağım. WordPress sitenin mevcut güvenlik özellikleri.
Özet: Kendinizi nasıl korursunuz? WordPress Cloudflare Güvenlik Duvarı içeren web sitesi
- Cloudflare'nin Web Uygulaması Güvenlik Duvarı (WAF) korumanızı sağlayan bir yazılım aracıdır. WordPress adresinden özetlerini gönderebilirler.
- Cloudflare Güvenlik Duvarı Kuralları size izin verir kara liste veya beyaz liste istekleri belirlediğiniz esnek kriterlere göre.
- için için hava geçirmez koruma oluşturun WordPress yer, Cloudflare ile şunları yapabilirsiniz: kendi IP adresinizi beyaz listeye ekleyebilir, yönetici alanınızı koruyabilir, ziyaretçileri bölgeye veya ülkeye göre engelleyebilir, kötü niyetli botları ve kaba kuvvet saldırılarını engelleyebilir, XML-RPC saldırılarını engelleyebilir ve yorum spam'lerini önleyebilirsiniz.
Kendi IP Adresinizi Beyaz Listeye Alın
Yolda sorun yaşamamak için, kendi web sitenizin IP adresini beyaz listeye eklemek, listenizdeki ilk görev olmalıdır önce herhangi bir güvenlik duvarı kuralını etkinleştirirsiniz.
Cloudflare'de IP Adresinizi Neden ve Nasıl Beyaz Listeye Alabilirsiniz?
Bunun başlıca nedeni, web sitenizi engellemeyi seçerseniz kendinizi kendi web sitenizin dışında kalmış olarak bulabilmenizdir. WordPress yönetici alanı diğerlerinden.
Web sitenizin IP adresini beyaz listeye almak için Cloudflare kontrol panelinizin Güvenlik bölümüne gidin ve “WAF”ı seçin. Ardından “Araçlar”a tıklayın ve “IP Erişim Kuralları” kutusuna IP adresinizi girin ve açılır menüden “beyaz liste”yi seçin.
IP adresinizi bulmak için şunları yapabilirsiniz: Google “IP adresim nedir” diye arayın, IPv4 adresinizi döndürür ve IPv6'nıza ihtiyacınız varsa, şu adrese gidebilirsiniz: https://www.whatismyip.com/
Unutmayın IP adresiniz değişirse, yönetici alanınızın dışında kalmamak için yeni IP adresinizi yeniden girmeniz/beyaz listeye almanız gerekir.
Sitenizin tam IP adresini beyaz listeye eklemenin yanı sıra, tüm IP aralığınızı beyaz listeye almayı da seçebilirsiniz.
Dinamik bir IP adresiniz varsa (yani, sürekli olarak biraz değişmeye ayarlanmış bir IP adresi), yeni IP adreslerini sürekli olarak yeniden girmek ve beyaz listeye almak büyük bir sıkıntı olacağından, bu sizin için kesinlikle daha iyi bir seçimdir.
Ayrıca şunları da yapabilirsiniz tüm ülkenizi beyaz listeye alın.
Bu, yönetici alanınızı ülkenizden gelen saldırılara karşı potansiyel olarak açık bıraktığından kesinlikle en az güvenli seçenektir.
Bununla birlikte, İş için çok seyahat ediyorsanız ve sık sık kendinizi WordPress siteyi farklı Wi-Fi bağlantılarından, ülkenizi beyaz listeye almak sizin için en uygun seçenek olabilir.
Beyaz listeye eklediğiniz herhangi bir IP adresinin veya ülkenin diğer tüm güvenlik duvarı kurallarından muaf tutulacağını ve bu nedenle her kural için ayrı istisnalar ayarlama konusunda endişelenmenize gerek olmadığını unutmayın.
Korumak WordPress Gösterge Tablosu (WP-Yönetici Alanı)
IP adresinizi ve/veya ülkenizi beyaz listeye eklediğinize göre, şimdi tam zamanı wp-admin kontrol panelinizi sıkıca kilitlemek, böylece yalnızca sizin erişebilmeniz için.
Neden ve Nasıl Korunmalı? WordPress Cloudflare'de Kontrol Paneli
Bilinmeyen yabancıların yönetici alanınıza erişmesini ve bilginiz veya izniniz olmadan değişiklik yapmasını istemediğinizi söylemeye gerek yok.
Gibi, panonuza dışarıdan erişimi engelleyen bir güvenlik duvarı kuralı yapmanız gerekir.
Bununla birlikte, önce sen kilitle WordPress Gösterge Paneli, iki önemli istisna yapmanız gerekecek.
- /wp-admin/admin-ajax.php. Bu komut, web sitenizin dinamik içeriği görüntülemesine izin verir ve bu nedenle, çalışması için belirli eklentiler tarafından dışarıdan erişilmesi gerekir. Bu nedenle, /wp-admin/ klasöründe saklansa da, web sitenizin ziyaretçilere hata mesajları göstermesini istemiyorsanız buna dışarıdan erişilebilir olması gerekir.
- /wp-admin/tema-editor.php. Bu komut etkinleştirir WordPress sitenizin temasını her değiştirdiğinizde veya düzenlediğinizde bir hata kontrolü yapmak için. Bunu bir istisna olarak eklemeyi ihmal ederseniz, değişiklikleriniz kaydedilmez ve “Önemli hataları kontrol etmek için siteyle iletişim kurulamıyor” yazan bir hata mesajı alırsınız.
Güvenlik duvarı kuralı oluşturmak için önce Cloudflare panonuzda Güvenlik > WAF seçeneğine gidin, ardından “Güvenlik Duvarı Kuralı Oluştur” düğmesine tıklayın.
wp-admin kontrol paneli alanınızı korurken bu istisnaları eklemek için bu kuralı oluşturmanız gerekir:
- Alan: URI yolu
- Operatör: içerir
- Değer: /wp-admin/
[VE]
- Alan: URI yolu
- Operatör: içermez
- Değer: /wp-admin/admin-ajax.php
[VE]
- Alan: URI yolu
- Operatör: içermez
- Değer: /wp-admin/theme-editor.php
[Eylem: Engelle]
İşiniz bittiğinde, tıklayın "Dağıtmak" Güvenlik duvarı kuralınızı ayarlamak için
Alternatif olarak, "İfadeyi düzenle"yi tıklayıp aşağıdakini yapıştırabilirsiniz:
(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")
Ülkeleri/Kıtaları Engelle
Tıpkı yönetici kontrol panelinize erişmek için bir ülkeyi beyaz listeye ekleyebileceğiniz gibi.
Ayrıca şunları da yapabilirsiniz Ülkeleri ve hatta tüm kıtaları sitenizi görüntülemekten veya sitenize erişmekten kara listeye almak için bir güvenlik duvarı kuralı belirleyin.
Cloudflare'da Ülkeleri/Kıtaları Neden ve Nasıl Engellersiniz?
Neden tüm bir ülkenin veya kıtanın sitenize erişmesini engellemek isteyebilirsiniz?
Web siteniz belirli bir ülkeye veya coğrafi bölgeye hizmet veriyorsa ve küresel olarak alakalı değilse, o zaman alakasız ülkelerden ve/veya kıtalardan erişimi engellemek, web sitenizin meşru hedef kitlesine erişimi engellemeden, kötü amaçlı yazılım saldırıları ve yurt dışından gelen kötü niyetli trafik riskini sınırlamanın kolay bir yoludur.
Bu kuralı oluşturmak için Cloudflare kontrol panelinizi bir kez daha açmanız ve şuraya gitmeniz gerekir: Güvenlik > WAF > Güvenlik Duvarı Kuralı Oluştur.
Ayarları yalnızca belirli ülkelere izin verecek şekilde değiştirmek için aşağıdakileri girin:
- Alan: Ülke veya Kıta
- Operatör: "İçerde"
- Değer: İstediğiniz ülkeleri veya kıtaları seçin Beyaz Liste
(Not: Yalnızca bir ülkeden gelen trafiğe izin vermek istiyorsanız, operatör olarak “eşittir” girebilirsiniz.)
Bunun yerine belirli ülkeleri veya kıtaları engellemeyi seçerseniz aşağıdakileri girin:
- Alan: Ülke veya Kıta
- Operatör: "İçeride değil"
- Değer: İstediğiniz ülkeleri veya kıtaları seçin blok
Not: Teknik desteğe ihtiyacınız varsa ve web barındırıcınızın destek ekibi engellediğiniz bir ülke veya kıtada bulunuyorsa bu kural geri tepebilir.
Bu muhtemelen çoğu insan için bir sorun olmayacak, ancak farkında olmanız gereken bir şey.
Aşağıda, belirli bir ülkeden sitenize erişimin nasıl reddedileceğine dair bir örnek verilmiştir. JavaScript Yarışması sitenize erişmeye çalışmadan önce.
Kötü Amaçlı Botları Engelle
Kullanıcı aracılarına göre, Cloudflare, sitenize girmeye çalışan kötü niyetli botlara erişimi engellemenizi sağlar.
Halihazırda 7G kullanıyorsanız, bu kuralı belirleme konusunda endişelenmenize gerek yok: 7G WAF, kapsamlı bir kötü amaçlı bot listesine başvurarak sunucu düzeyinde tehditleri engeller.
Ancak, 7G kullanmıyorsanız, Kötü botları herhangi bir hasara neden olmadan önce tanımlayan ve engelleyen bir güvenlik duvarı kuralı yapılandırmak isteyeceksiniz.
Cloudflare'de Kötü Botları Neden ve Nasıl Engellersiniz?
Her zamanki gibi, önce Cloudflare kontrol panelinize gidin ve Güvenlik > WAF > Güvenlik Duvarı Kuralı Oluştur.
Ardından, güvenlik duvarı kuralı ifadenizi şu şekilde ayarlayın:
- Alan: Kullanıcı Aracısı
- Operatör: “Eşittir” veya “İçerir”
- Değer: engellemek istediğiniz kötü bot veya kötü niyetli aracının adı
Engellenen ülkelerde olduğu gibi, botlar da adlarına göre ayrı ayrı engellenebilir. Aynı anda birden fazla botu engellemek için, listeye ek bot eklemek için sağdaki “VEYA” seçeneğini kullanın.
Ardından, "Dağıtmak" Bittiğinde düğmesine basın.
Ancak, kötü botları manuel olarak engellemek, Cloudflare başlatıldığından gereksiz hale geldi “Bot Dövüş Modu” tüm ücretsiz kullanıcılar için.
ve “Süper Bot Savaş Modu” Profesyonel veya İş planı kullanıcıları için.
Yani kötü botlar artık her tür Cloudflare kullanıcısı için otomatik olarak engelleniyor.
Brute Force Saldırılarını Engelleyin (wp-login.php)
Wp-login saldırıları olarak da bilinen kaba kuvvet saldırıları, hedeflenen en yaygın saldırılardır. WordPress Siteler.
Aslında, sunucu günlüklerinize bakarsanız, dünya çapındaki farklı konumlardan wp-login.php dosyanıza erişmeye çalışan IP adresleri biçiminde bu tür saldırıların kanıtlarını bulabilirsiniz.
Neyse ki, Cloudflare, kaba kuvvet saldırılarını başarıyla engellemek için bir güvenlik duvarı kuralı belirlemenizi sağlar.
Cloudflare'de wp-login.php Neden ve Nasıl Korunur?
Çoğu kaba kuvvet saldırısı, üstesinden gelmek için yeterince güçlü olmayan otomatik taramalar olsa da WordPress'nin savunmalarına rağmen, onları engellemek ve kafanızı rahatlatmak için bir kural belirlemek yine de iyi bir fikirdir.
Bununla birlikte, bu kural yalnızca sitenizdeki tek yönetici/kullanıcı sizseniz çalışır. Birden fazla yönetici varsa veya siteniz üyelik eklentisi kullanıyorsa bu kuralı atlamanız gerekir.
Bu kuralı oluşturmak için şuraya geri dönün: Güvenlik > WAF > Güvenlik Duvarı Kuralı Oluştur.
Bu kural için bir ad seçtikten sonra aşağıdakini girin:
- Alan: URI yolu
- Operatör: içerir
- Değer: /wp-login.php
[Eylem: Engelle]
Alternatif olarak, "İfadeyi düzenle"yi tıklayıp aşağıdakini yapıştırabilirsiniz:
(http.request.uri.path contains "/wp-login.php")Kuralı dağıttığınızda, Cloudflare, beyaz listedeki IP'niz dışındaki herhangi bir kaynaktan gelen tüm wp-login erişim girişimlerini engellemeye başlayacaktır.
Ek olarak, Cloudflare'in Güvenlik Duvarı Olayları bölümüne bakarak bu korumanın çalıştığını ve çalıştığını doğrulayabilirsiniz, herhangi bir kaba kuvvet saldırısı girişiminin kaydını görebilmeniz gereken yer.
XML-RPC Saldırılarını Engelleyin (xmlrpc.php)
Biraz daha az yaygın (ama yine de tehlikeli) bir saldırı türü, XML-RPC saldırısı.
XML-RPC, çağrı yapan bir uzak prosedürdür. WordPress, saldırganların kimlik doğrulama kimlik bilgilerini elde etmek için bir kaba kuvvet saldırısında potansiyel olarak hedefleyebileceği.
Cloudflare'de XML-RPC Neden ve Nasıl Engellenir
XML-RPC'nin birden çok platforma içerik göndermek gibi meşru kullanımları olmasına rağmen, WordPress eş zamanlı olarak veya web sitenize erişerek WordPress siteyi bir akıllı telefondan kullanıyorsanız, genellikle istenmeyen sonuçlar hakkında endişelenmeden bu kuralı uygulayabilirsiniz.
XML-RPC prosedürlerini hedefleyen kaba kuvvet saldırılarını engellemek için önce şuraya gidin: Güvenlik > WAF > Güvenlik Duvarı Kuralı Oluştur.
Ardından aşağıdaki kuralı oluşturun:
- Alan: URI yolu
- Operatör: içerir
- Değer: /xmlrpc.php
[Eylem: Engelle]
Alternatif olarak, "İfadeyi düzenle"yi tıklayıp aşağıdakini yapıştırabilirsiniz:
(http.request.uri.path contains "/xmlrpc.php")Ve aynen böyle, sadece birkaç basit adımla, bilgisayarınızı korudunuz. WordPress en yaygın iki kaba kuvvet saldırısı türünden site.
Yorum İstenmeyen Postaları Engelle (wp-comments-post.php)
Bir web yöneticisiyseniz, sitenizdeki spam, hayatın can sıkıcı gerçeklerinden sadece biridir.
Neyse ki, Cloudflare Güvenlik Duvarı, birçok yaygın spam türünü engellemek için dağıtabileceğiniz birkaç kural sunar, yorum spam'ı dahil.
Cloudflare'de wp-comments-post.php Neden ve Nasıl Engellenir
Yorum spam'i sitenizde bir sorun haline geldiyse (veya daha iyisi, proaktif olarak bir sorun olmasını önlemek istiyorsanız), bot trafiğini kısıtlamak için wp-comments-post.php'yi kısıtlayabilirsiniz.
Bu, bir Cloudflare ile DNS düzeyinde yapılır JS meydan okuması, ve çalışma şekli nispeten basittir: spam yorumları otomatiktir ve otomatik kaynaklar JS'yi işleyemez.
Daha sonra JS mücadelesinde başarısız olurlar ve işte – spam, DNS düzeyinde engellenir ve istek sunucunuza asla ulaşmaz.
Peki bu kuralı nasıl oluşturacaksınız?
Her zaman oldugu gibi, Güvenlik > WAF sayfasına gidin ve "Güvenlik Duvarı Kuralı Oluştur"u seçin.
Bu kurala "Yorum Spam'i" gibi tanınabilir bir ad verdiğinizden emin olun.
Ardından, aşağıdakileri ayarlayın:
- Alan: URI
- Operatör: Eşittir
- Değer: wp-comments-post.php
[VE]
- Alan: İstek Yöntemi
- Operatör: Eşittir
- Değer: POST
[VE]
- Alan: Yönlendiren
- Operatör: içermez
- Değer: [alaniniz.com]
[Eylem: JS Mücadelesi]
eylemi ayarlamak için dikkatli olun JS Mücadelesi, çünkü bu, sitedeki genel kullanıcı işlemlerine müdahale etmeden yorumun engellenmesini sağlayacaktır.
Bu değerleri girdikten sonra, kuralınızı oluşturmak için “Dağıt”a tıklayın.
Özet: Güvenliğinizi Nasıl Sağlayabilirsiniz? WordPress Cloudflare Güvenlik Duvarı Kurallarına Sahip Site
Web güvenliği silahlanma yarışında Cloudflare güvenlik duvarı kuralları, cephaneliğinizde sahip olduğunuz en etkili silahlardan biridir.
Ücretsiz bir Cloudflare hesabıyla bile, verilerinizi korumak için birçok farklı kural uygulayabilirsiniz. WordPress siteyi en yaygın spam ve kötü amaçlı yazılım tehditlerinden bazılarına karşı korur.
Yalnızca birkaç (çoğunlukla) basit tuş vuruşuyla sitenizin güvenliğini artırabilirsiniz. ve ziyaretçiler için sorunsuz çalışmasını sağlayın.
Daha fazla bilgi için WordPress sitenin güvenliği, kontrol et dönüştürme kılavuzu WordPress siteler statik HTML'ye.
Referanslar
https://developers.cloudflare.com/firewall/
https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/
https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/
