Nếu bạn là quản trị viên web đang điều hành một blog hoặc trang web trên WordPress, rất có thể bảo mật web là một trong những ưu tiên hàng đầu của bạn. Miễn là miền của bạn được bật Cloudflare, bạn có thể thêm vào WordPress-các quy tắc tường lửa Cloudflare cụ thể để cải thiện bảo mật cho trang web của bạn và thậm chí ngăn chặn các cuộc tấn công từ lâu trước khi chúng đến máy chủ của bạn.
Nếu đang sử dụng gói miễn phí của Cloudflare, bạn có thể thêm 5 quy tắc (gói chuyên nghiệp cung cấp cho bạn 20 quy tắc).
Cloudflare giúp bạn dễ dàng và nhanh chóng tạo các quy tắc tường lửa và mỗi quy tắc mang lại sự linh hoạt tuyệt vời: bạn không chỉ có thể làm được nhiều điều với mọi quy tắc mà còn có thể hợp nhất các quy tắc, giải phóng không gian để bạn làm được nhiều việc hơn nữa.
Trong bài viết này, tôi sẽ xem xét sâu hơn một số quy tắc tường lửa khác nhau mà bạn có thể áp dụng để bổ sung và nâng cao WordPress các tính năng bảo mật hiện có của trang web.
Tóm tắt: Làm thế nào để bảo vệ WordPress trang web với Cloudflare Firewall
- Tường lửa ứng dụng web của Cloudflare (WAF) là một công cụ phần mềm cho phép bạn bảo vệ WordPress trang web.
- Quy tắc tường lửa Cloudflare cho phép bạn yêu cầu danh sách đen hoặc danh sách trắng theo tiêu chí linh hoạt mà bạn đặt ra.
- Đến tạo ra sự bảo vệ kín hơi cho WordPress website, với Cloudflare, bạn có thể: đưa địa chỉ IP của chính mình vào danh sách trắng, bảo vệ khu vực quản trị của bạn, chặn khách truy cập theo khu vực hoặc quốc gia, chặn các chương trình độc hại và các cuộc tấn công bạo lực, chặn các cuộc tấn công XML-RPC và ngăn spam bình luận.
Đưa địa chỉ IP của chính bạn vào danh sách trắng
Để tránh các sự cố trên đường, liệt kê vào danh sách trắng địa chỉ IP của trang web của bạn nên là nhiệm vụ đầu tiên trong danh sách của bạn trước bạn kích hoạt bất kỳ quy tắc tường lửa nào.
Tại sao và cách đưa địa chỉ IP của bạn vào danh sách trắng trong Cloudflare
Điều này chủ yếu là do bạn có thể thấy mình bị khóa khỏi trang web của chính mình nếu bạn chọn chặn WordPress khu vực quản trị từ những người khác.
Để đưa địa chỉ IP của trang web vào danh sách trắng, hãy chuyển đến phần Bảo mật trên bảng điều khiển Cloudflare và chọn “WAF”. Sau đó nhấp vào “Công cụ” và nhập địa chỉ IP của bạn vào hộp “Quy tắc truy cập IP” và chọn “danh sách trắng” từ trình đơn thả xuống.
Để tìm địa chỉ IP của bạn, bạn có thể thực hiện Google tìm kiếm “What's my IP” và nó sẽ trả về địa chỉ IPv4 của bạn và nếu bạn cần IPv6, bạn có thể truy cập https://www.whatismyip.com/
Hãy nhớ rằng nếu địa chỉ IP của bạn thay đổi, bạn sẽ phải nhập lại / đưa địa chỉ IP mới vào danh sách trắng để tránh bị khóa khỏi khu vực quản trị của mình.
Ngoài việc liệt kê địa chỉ IP chính xác của trang web của bạn, bạn cũng có thể chọn đưa toàn bộ dải IP của mình vào danh sách trắng.
Nếu bạn có địa chỉ IP động (tức là địa chỉ IP được đặt liên tục thay đổi một chút), thì đây chắc chắn là lựa chọn tốt hơn cho bạn, vì liên tục nhập lại và lập danh sách trắng các địa chỉ IP mới sẽ là một vấn đề lớn.
Quý vị cũng có thể danh sách trắng toàn bộ quốc gia của bạn.
Đây chắc chắn là tùy chọn kém an toàn nhất vì nó có khả năng khiến khu vực quản trị của bạn bị bỏ ngỏ trước các cuộc tấn công đến từ bên trong quốc gia của bạn.
Tuy vậy, nếu bạn đi công tác nhiều và thường thấy mình đang truy cập vào WordPress từ các kết nối Wi-Fi khác nhau, đưa quốc gia của bạn vào danh sách trắng có thể là lựa chọn thuận tiện nhất cho bạn.
Hãy nhớ rằng bất kỳ địa chỉ IP hoặc quốc gia nào bạn đã đưa vào danh sách trắng sẽ được miễn trừ khỏi tất cả các quy tắc tường lửa khác và do đó bạn không phải lo lắng về việc đặt các ngoại lệ riêng lẻ với từng quy tắc.
Bảo vệ WordPress Trang tổng quan (Khu vực quản trị WP)
Bây giờ bạn đã đưa địa chỉ IP và / hoặc quốc gia của mình vào danh sách cho phép, đã đến lúc để khóa chặt trang tổng quan wp-admin của bạn để chỉ bạn mới có thể truy cập.
Tại sao và Làm thế nào để Bảo vệ WordPress Trang tổng quan trong Cloudflare
Không cần phải nói rằng bạn không muốn những người ngoài không quen biết có thể truy cập vào khu vực quản trị của bạn và thực hiện các thay đổi mà bạn không biết hoặc không được phép.
Như vậy, bạn sẽ cần thực hiện quy tắc tường lửa để ngăn chặn truy cập từ bên ngoài vào trang tổng quan của mình.
Tuy vậy, trước bạn khóa lại của bạn WordPress bảng điều khiển, bạn sẽ phải thực hiện hai ngoại lệ quan trọng.
- /wp-admin/admin-ajax.php. Lệnh này cho phép trang web của bạn hiển thị nội dung động và do đó cần phải được truy cập từ bên ngoài bằng một số plugin nhất định để hoạt động. Do đó, mặc dù nó được lưu trữ trong thư mục / wp-admin /, nó cần phải có thể truy cập từ bên ngoài nếu bạn không muốn trang web của mình hiển thị thông báo lỗi cho khách truy cập.
- /wp-admin/theme-editor.php. Lệnh này cho phép WordPress để chạy kiểm tra lỗi mỗi khi bạn thay đổi hoặc chỉnh sửa chủ đề trang web của mình. Nếu bạn sơ ý thêm điều này làm ngoại lệ, các thay đổi của bạn sẽ không được lưu và bạn sẽ nhận được thông báo lỗi có nội dung “Không thể liên lạc lại với trang web để kiểm tra các lỗi nghiêm trọng”.
Để tạo quy tắc tường lửa, trước tiên hãy đi tới Bảo mật> WAF trong bảng điều khiển Cloudflare của bạn, sau đó nhấp vào nút “Tạo quy tắc tường lửa”.
Để thêm các ngoại lệ này khi bảo vệ khu vực bảng điều khiển wp-admin của bạn, bạn cần tạo quy tắc sau:
- Trường: Đường dẫn URI
- Nhà điều hành: chứa
- Giá trị: / wp-admin /
[VÀ]
- Trường: Đường dẫn URI
- Toán tử: không chứa
- Giá trị: /wp-admin/admin-ajax.php
[VÀ]
- Trường: Đường dẫn URI
- Toán tử: không chứa
- Giá trị: /wp-admin/theme-editor.php
[Hành động: Chặn]
Khi bạn đã hoàn tất, nhấp vào Triển khai để thiết lập quy tắc tường lửa của bạn.
Ngoài ra, bạn có thể nhấp vào “Chỉnh sửa biểu thức” và dán thông tin bên dưới vào:
(http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php")
Khối Quốc gia / Châu lục
Cũng giống như bạn có thể đưa một quốc gia vào danh sách trắng để truy cập trang tổng quan quản trị của mình.
Quý vị cũng có thể đặt quy tắc tường lửa để các quốc gia trong danh sách đen và thậm chí toàn bộ lục địa không được phép xem hoặc truy cập trang web của bạn.
Tại sao và Cách chặn các Quốc gia / Châu lục trong Cloudflare
Tại sao bạn có thể muốn chặn toàn bộ quốc gia hoặc lục địa truy cập trang web của mình?
Chà, nếu trang web của bạn đang phục vụ một quốc gia hoặc khu vực địa lý cụ thể và không có liên quan trên toàn cầu, thì chặn truy cập từ các quốc gia và / hoặc lục địa không liên quan là một cách dễ dàng để hạn chế nguy cơ bị phần mềm độc hại tấn công và lưu lượng truy cập độc hại đến từ nước ngoài mà không bao giờ chặn quyền truy cập vào đối tượng mục tiêu hợp pháp của trang web của bạn.
Để tạo quy tắc này, một lần nữa, bạn sẽ cần mở trang tổng quan Cloudflare của mình và đi tới Bảo mật> WAF> Tạo quy tắc tường lửa.
Để thay đổi cài đặt chỉ cho phép các quốc gia cụ thể, hãy nhập như sau:
- Lĩnh vực: Quốc gia hoặc Châu lục
- Nhà điều hành: "Đang tham gia"
- Giá trị: Chọn quốc gia hoặc lục địa bạn muốn danh sách trắng
(Lưu ý: nếu bạn chỉ muốn cho phép lưu lượng truy cập từ một quốc gia, bạn có thể nhập "bằng" làm toán tử.)
Thay vào đó, nếu bạn chọn chặn các quốc gia hoặc lục địa cụ thể, hãy nhập thông tin sau:
- Lĩnh vực: Quốc gia hoặc Châu lục
- Nhà điều hành: "Không tham gia"
- Giá trị: Chọn quốc gia hoặc lục địa bạn muốn chặn
Lưu ý: quy tắc này có thể phản tác dụng nếu bạn cần hỗ trợ kỹ thuật và nhóm hỗ trợ của máy chủ lưu trữ web của bạn ở quốc gia hoặc lục địa mà bạn đã chặn.
Điều này có thể không phải là vấn đề đối với hầu hết mọi người, nhưng đó là điều bạn nên biết.
Dưới đây là ví dụ về cách từ chối quyền truy cập vào trang web của bạn từ một quốc gia nhất định, nơi người dùng từ quốc gia này được hiển thị một Thử thách JavaScript trước khi cố gắng truy cập trang web của bạn.
Chặn Bots độc hại
Dựa trên tác nhân người dùng của họ, Cloudflare cho phép bạn chặn quyền truy cập vào các chương trình độc hại đang cố gắng xâm nhập vào trang web của bạn.
Nếu bạn đang sử dụng 7G, thì bạn không phải lo lắng về việc thiết lập quy tắc này: 7G WAF chặn các mối đe dọa ở cấp máy chủ bằng cách tham khảo danh sách toàn diện các bot độc hại.
Tuy nhiên, nếu bạn không sử dụng 7G, bạn sẽ muốn định cấu hình quy tắc tường lửa xác định và chặn các bot xấu trước khi chúng có thể gây ra bất kỳ thiệt hại nào.
Tại sao và làm thế nào để chặn Bad Bots trong Cloudflare
Như thường lệ, trước tiên hãy truy cập trang tổng quan Cloudflare của bạn và đi tới Bảo mật> WAF> Tạo quy tắc tường lửa.
Sau đó, đặt biểu thức quy tắc tường lửa của bạn như sau:
- Trường: Tác nhân người dùng
- Toán tử: “Bằng” hoặc “Chứa”
- Giá trị: tên của bot xấu hoặc tác nhân độc hại mà bạn muốn chặn
Cũng giống như các quốc gia chặn, bot có thể bị chặn riêng lẻ theo tên. Để chặn nhiều bot cùng lúc, hãy sử dụng tùy chọn “HOẶC” ở bên phải để thêm các bot bổ sung vào danh sách.
Sau đó nhấp vào Triển khai khi bạn hoàn thành.
Tuy nhiên, việc chặn các bot xấu theo cách thủ công đã trở nên thừa vì Cloudflare đã khởi chạy “Chế độ chiến đấu với bot” cho tất cả người dùng miễn phí.
và “Chế độ Hình Siêu Bot” dành cho người dùng gói Pro hoặc Business.
Có nghĩa là các bot xấu hiện đang bị chặn tự động đối với tất cả các loại người dùng Cloudflare.
Chặn các cuộc tấn công Brute Force (wp-login.php)
Các cuộc tấn công Brute force, còn được gọi là các cuộc tấn công đăng nhập wp, là các cuộc tấn công phổ biến nhất nhằm vào WordPress các trang web.
Trên thực tế, nếu bạn xem nhật ký máy chủ của mình, bạn có thể sẽ tìm thấy bằng chứng về các cuộc tấn công như vậy dưới dạng địa chỉ IP từ các vị trí khác nhau trên toàn cầu đang cố gắng truy cập tệp wp-login.php của bạn.
May mắn thay, Cloudflare cho phép bạn thiết lập quy tắc tường lửa để chặn thành công các cuộc tấn công brute force.
Tại sao và Cách bảo vệ wp-login.php trong Cloudflare
Mặc dù hầu hết các cuộc tấn công vũ phu là quét tự động không đủ mạnh để vượt qua WordPressHàng phòng ngự, vẫn là một ý kiến hay nếu bạn đặt ra quy tắc để chặn chúng và khiến tâm trí bạn thoải mái.
Tuy vậy, quy tắc này chỉ hoạt động nếu bạn là quản trị viên / người dùng duy nhất trên trang web của mình. Nếu có nhiều quản trị viên hoặc nếu trang web của bạn sử dụng plugin thành viên, thì bạn nên bỏ qua quy tắc này.
Để tạo quy tắc này, hãy quay lại Bảo mật> WAF> Tạo quy tắc tường lửa.
Sau khi bạn đã chọn tên cho quy tắc này, hãy nhập như sau:
- Trường: Đường dẫn URI
- Nhà điều hành: chứa
- Giá trị: /wp-login.php
[Hành động: Chặn]
Ngoài ra, bạn có thể nhấp vào “Chỉnh sửa biểu thức” và dán thông tin bên dưới vào:
(http.request.uri.path contains "/wp-login.php")Sau khi bạn triển khai quy tắc, Cloudflare sẽ bắt đầu chặn tất cả các nỗ lực truy cập wp-login đến từ bất kỳ nguồn nào khác ngoài IP nằm trong danh sách cho phép của bạn.
Như một phần thưởng bổ sung, bạn có thể xác minh rằng biện pháp bảo vệ này đã được thiết lập và đang chạy hay chưa bằng cách xem trong phần Sự kiện tường lửa của Cloudflare, nơi bạn sẽ có thể xem hồ sơ về bất kỳ cuộc tấn công vũ phu nào đã cố gắng thực hiện.
Chặn các cuộc tấn công XML-RPC (xmlrpc.php)
Một kiểu tấn công khác ít phổ biến hơn một chút (nhưng vẫn nguy hiểm) là Tấn công XML-RPC.
XML-RPC là một thủ tục từ xa yêu cầu WordPress, mà kẻ tấn công có thể nhắm mục tiêu trong một cuộc tấn công vũ phu để có được thông tin xác thực.
Tại sao và Cách chặn XML-RPC trong Cloudflare
Mặc dù có những cách sử dụng hợp pháp cho XML-RPC, chẳng hạn như đăng nội dung lên nhiều WordPress blog đồng thời hoặc truy cập của bạn WordPress từ điện thoại thông minh, bạn thường có thể triển khai quy tắc này mà không cần lo lắng về hậu quả không mong muốn.
Để chặn các cuộc tấn công brute force nhắm mục tiêu vào các thủ tục XML-RPC, trước tiên hãy truy cập Bảo mật> WAF> Tạo quy tắc tường lửa.
Sau đó, tạo quy tắc sau:
- Trường: Đường dẫn URI
- Nhà điều hành: chứa
- Giá trị: /xmlrpc.php
[Hành động: Chặn]
Ngoài ra, bạn có thể nhấp vào “Chỉnh sửa biểu thức” và dán thông tin bên dưới vào:
(http.request.uri.path contains "/xmlrpc.php")Và như vậy, chỉ với vài bước đơn giản, bạn đã bảo vệ được WordPress trang web của hai trong số các kiểu tấn công vũ phu phổ biến nhất.
Ngăn Spam Nhận xét (wp-comments-post.php)
Nếu bạn là quản trị viên web, thư rác trên trang web của bạn chỉ là một trong những sự thật khó chịu của cuộc sống.
May mắn thay, Cloudflare Firewall cung cấp một số quy tắc mà bạn có thể triển khai để chặn nhiều loại thư rác phổ biến, bao gồm cả spam bình luận.
Tại sao và Cách chặn wp-comments-post.php trong Cloudflare
Nếu spam nhận xét đã trở thành vấn đề trên trang web của bạn (hoặc tốt hơn là nếu bạn muốn chủ động ngăn chặn nó trở thành vấn đề), bạn có thể hạn chế wp-comments-post.php để hạn chế lưu lượng truy cập của bot.
Điều này được thực hiện ở cấp DNS với Cloudflare Thử thách JSvà cách thức hoạt động tương đối đơn giản: nhận xét spam được tự động hóa và các nguồn tự động không thể xử lý JS.
Sau đó, họ thất bại trong thử thách JS, và thì đấy - thư rác bị chặn ở cấp DNS và yêu cầu thậm chí không bao giờ đến được máy chủ của bạn.
Vì vậy, làm thế nào để bạn tạo ra quy tắc này?
Như thường lệ, chuyển đến trang Bảo mật> WAF và chọn “Tạo Quy tắc Tường lửa”.
Đảm bảo bạn đặt tên dễ nhận biết cho quy tắc này, chẳng hạn như “Spam nhận xét”.
Sau đó, thiết lập như sau:
- Trường: URI
- Toán tử: Bằng
- Giá trị: wp-comments-post.php
[VÀ]
- Trường: Phương thức Yêu cầu
- Toán tử: Bằng
- Giá trị: ĐĂNG
[VÀ]
- Lĩnh vực: Người giới thiệu
- Toán tử: không chứa
- Giá trị: [yourdomain.com]
[Hành động: Thử thách JS]
Hãy cẩn thận đặt hành động thành Thử thách JS, vì điều này sẽ đảm bảo rằng nhận xét bị chặn mà không ảnh hưởng đến các hành động chung của người dùng trên trang web.
Khi bạn đã nhập các giá trị này, nhấp vào “Triển khai” để tạo quy tắc của bạn.
Tóm lại: Làm thế nào bạn có thể bảo mật WordPress Trang web có Quy tắc tường lửa Cloudflare
Trong cuộc chạy đua vũ trang bảo mật web, các quy tắc tường lửa Cloudflare là một trong những vũ khí hiệu quả nhất mà bạn có trong kho vũ khí của mình.
Ngay cả với tài khoản Cloudflare miễn phí, bạn có thể triển khai nhiều quy tắc khác nhau để bảo vệ WordPress trang web chống lại một số mối đe dọa spam và phần mềm độc hại phổ biến nhất.
Chỉ với một vài (chủ yếu) tổ hợp phím đơn giản, bạn có thể tăng cường bảo mật cho trang web của mình và giữ cho nó hoạt động trơn tru cho khách truy cập.
Để biết thêm về việc cải thiện WordPress bảo mật của trang web, hãy kiểm tra hướng dẫn chuyển đổi WordPress các trang web sang HTML tĩnh.
dự án
https://developers.cloudflare.com/firewall/
https://developers.cloudflare.com/fundamentals/get-started/concepts/cloudflare-challenges/
https://www.websiterating.com/web-hosting/glossary/what-is-cloudflare/
