在之前的文章中我透過了Cloudflare的WAF規則設置了幾個措施減少不必要的騷擾(直接被Cloudflare擋下),但對於登入頁面來講之前的規則似乎又有點嚴苛(如登入頁面或是admin-ajax.php等服務限定IP才能登入)
有興趣的人可以翻翻之前的文章,而這篇文章是進一步做了調整,針對/wp-admin以及/wp-login.php這兩個都是登入頁面作進一步的防護(防止沒必要的人登入)
鑑於之前的防護篇,我這裡寫更新版的規則部份(更進階,但其實也是靠AI互相對照就是)
這裡還是會稍微講解WAF的設置(大略提示)
前置作業(必要)
這邊還是要嘮叨一番,如果DNS設定沒有源IP達成「透過Proxy處理」狀態的話,這些功能都沒辦法用
WAF規則設置手續
WAF自訂規則篇
防止未知的BOT來爬網站
我這裡就不多做解釋,直接以運算式預覽結果表示
以下為我個人的規則參考(可以直接複製然後用編輯運算式的方式直接貼上)
(cf.client.bot) or (http.user_agent contains "Metorik API Client") or (http.user_agent contains "Wordfence Central API") or (http.request.uri.query contains "wc-api=wc_shipstation") or (http.user_agent contains "Better Uptime Bot") or (http.user_agent contains "ShortPixel") or (http.user_agent contains "umbrella bot") or (http.user_agent contains "qcbot") or (http.user_agent contains "Swift Performance")簡易說明:
Cloudflare所認知較常見的BOT和列出來的其他特殊BOT流量進來時,便可以通過這個規則;如果是未知的爬蟲則會被攔截下來
阻斷不當存取特定路徑或檔案
第一道線是防止未知的爬蟲進來,接著第二條線則是防止對特定資料夾或是檔案訪問的不速之客
同樣以下為我的寫法供參考
(http.request.uri.path contains "/.env") or (http.request.uri.path contains "wp-config.php") or (http.request.uri.path contains "/.htaccess") or (http.request.uri.path contains "/wp-content/debug.log") or (http.request.uri.path contains "^/wp-includes/.*\\.php$" and not http.referer contains "cyrians.com") or (http.request.uri.path contains "/wp-admin/install.php" and not http.cookie contains "wordpress_logged_in_") or (http.request.uri.path contains "/adminer.php") or (http.request.uri.path contains "/phpinfo.php") or (http.request.uri.path contains "/cgi-bin/.*") or (http.request.uri.path contains ".sql") or (http.request.uri.path contains ".bak") or (http.request.uri.path contains "/.git/.*") or (http.user_agent contains "sqlmap") or (http.user_agent contains "nikto") or (http.user_agent contains "w3af") or (http.user_agent contains "nessus") or (http.request.uri.path contains "/wp-settings.php") or (http.request.uri.path contains "/xmlrpc.php" and not http.cookie contains "wordpress_logged_in_")以上為放行以及封鎖的規則
WAF限速規則篇
我們在使用WordPress的時候,還是有些服務我們會用的到,但用上面的規則似乎又會有點太嚴苛,那麼這時候就可以採用WAF的限速規則(算是減緩那些短時間大量訪問特定檔案的攻擊)
只是因為我的Cloudflare是免費版本,所以WAF限速規則僅只能一條且有相當的限制性(付費版應該可以詳細設定的部分會更多)
由於/wp-json/*(WordPress REST API)和admin-ajax.php會時不時用到,所以我這邊的規則是
(http.request.uri.path contains "/wp-json/*") or (http.request.uri.path contains "/wp-admin/admin-ajax.php")對於1個IP速度做了10秒內持續要求30次,這會判定為異常而封鎖
正常來講,一個IP在一分內要求100次的處理已經相當的多,這已經多達一分鐘180次要求,可以認定為惡意訪問了
以上為限速規則的部份
登入頁面的防護
關於WordPress的登入頁面,基本上為wp-login.php和wp-admin這個路徑,所以只要針對這兩個路徑設定好由Cloudflare把關動作即可,這時候我們可以靠Cloudflare的Zero Trust功能來達成
※很抱歉前面Zero Trust設定的部分似乎一次就設定完,沒辦法再走一次,這地方建議走一遍看看,接下來的文章就先以設定好Zero Trust搭配設定來保護進入登入的頁面
其他像是Application domain的地方,Path內容分別填入wp-login.php和wp-admin(可以用下方的+Add Domain增加),填完後基本一路往下按下「Next」按鈕
Include項目,Selector選擇「Emails」,Value則是填入信箱(可以多個信箱配置,以因應多名人員登入),同樣設定好就往下按下「Next」按鈕
我們這時候可以對進入/wp-login.php或是/wp-admin的頁面時,做一點畫面編輯
這樣對wp-login.php和wp-admin的登入畫面做的防護,這樣也不用想破腦袋搞一些規則作限制
以上為[Cloudflare][WordPress]Cloudflare的更進階防護 – Zero Trust的介紹,希望能對你有幫助
參考資料:
利用 Cloudflare Access – 打造个人私密站点
[Day26] Access — 30 天入門 Cloudflare
只要花 30 秒登入 FB 或 Google,不用花任何錢就能支持我
您的支持將會是我創作的最大動力!
