用 Cloudflare 當 Wordpress 的防火牆

更新於 發佈於 閱讀時間約 6 分鐘

當使用 Wordpress 架站時,系統至少會有四層漏洞:

  1. 作業系統 (Linux/Windows) 網路層的漏洞。
  2. Web Server (Apache/Nginx) 的漏洞。通常是緩衝溢位,視 Server 的版本而定。
  3. PHP 的漏洞。通常是緩衝溢位,視 PHP 版本而定。
  4. Wordpress 的漏洞。通常是利用 wp-cofig.php 取得系統資訊;wp-login.php 攻擊。
駭客會用各種路徑,找出 wordpress 的漏洞。圖為 Cloudflare 的攻擊 Log。

駭客會用各種路徑,找出 wordpress 的漏洞。圖為 Cloudflare 的攻擊 Log。

零、關於 Cloudflare

Cloudflare 是 CDN 業者 (Content Delivery Network),它提供網站存取的服務,可以讓網站映射在不同處,讓用戶更快速看到網頁內容。

也因為這特性,所以 Cloudflare 可以隱藏用戶網站的資訊。也就是說,它可以阻斷作業系統網路層的攻擊。而網站也隱藏在它背後,也可以讓駭客不容易直接攻擊 Web Server。

Source: https://support.cloudflare.com/hc/en-us/articles/205177068-How-does-Cloudflare-work-

Source: https://support.cloudflare.com/hc/en-us/articles/205177068-How-does-Cloudflare-work-

一、將網站隱藏在 Cloudflare 後面

將網域的 DNS Name Server 設定放在 Cloudflare 後,就可以將網站隱藏在 Cloudflare 後面了。可以擋掉絕大多數作業系統層與伺服器層漏洞。

要做的安全措施至少有二項:

  1. 在 Cloudflare 設定介面中,將網站的 Proxy status (Proxy 狀態) 設成 Proxied (透過 Proxy 處理)。讓用戶看不到 Web 網站的 IP。
  2. 在 Web Server 端設定防火牆 ,例如 ufw (Uncomplicated Firewall)、iptables/nftablesWindows Defender 防火牆,設定只有 Cloudflare 的 IP 可以存取 80/443 Port。可以防止陌生人亂入/誤入原始網站。

二、設定 Cloudflare 的防火牆規則

免費方案的用戶,可以設定五條防火牆規則。這五條規則是有順序的,所以我們需要將它設成下面的規則:

Pro 等級的用戶,可以設定 20 條防火牆規則

Pro 等級的用戶,可以設定 20 條防火牆規則

  1. 檢查後放行特定的地方可以操作 wp-login。例如公司的固定 IP,或者不確定時就設定成台灣的 IP。
(http.request.full_uri contains “wp-login” and ip.geoip.country eq “TW”)

(http.request.full_uri contains “wp-login” and ip.geoip.country eq “TW”)

2. 封鎖 wp-login 與 wp-config 操作。

(http.request.full_uri contains “wp-login”) or (http.request.full_uri contains “wp-config”) or (http.request.uri.query contains “wp-config”)

(http.request.full_uri contains “wp-login”) or (http.request.full_uri contains “wp-config”) or (http.request.uri.query contains “wp-config”)

這順序不能設成先封鎖 wp-login,再允許特定的地址查問。否則就直接封鎖了,自己就不能登入 Wordpress 的後台操作。

三、付錢開 WAF 或許較安心

若是商用網站或想付些錢保護網站,建議每個月付 20 美金使用 Pro 服務,就可以使用 Cloudflare 的 WAF 應用程式防火牆服務。若不確定要開啟防火牆的哪些服務,就全部開啟;確定不開啟再關。它提供 Wordpress、Drupal、Joomla 等 PHP 應用套件的防火牆功能。

免費 Free 方案,不提供 WAF 應用程式防火牆功能

免費 Free 方案,不提供 WAF 應用程式防火牆功能

成為 Pro 等級以上的 Cloudflare 付費會員,就可以打開 WAF (Web 應用程式防火牆)

成為 Pro 等級以上的 Cloudflare 付費會員,就可以打開 WAF (Web 應用程式防火牆)

駭客可能會攻擊一些 PHP 的漏洞,若是 Pro 等級以上的會員,建議一定要打開 Cloudflare PHP 選項。

raw-image

四、常常檢查記錄

這才是最重要的步驟!

設定好了不會高枕無憂,勤勞是唯一解。常常檢查 Cloudflare 與 Web Server 的 log 記錄,看看有什麼異常狀況,再依異常狀況做對應處理。

補充

Cloudflare 會過濾掉 HTTP Server 回傳資訊,類似下面的回傳 Header 會被拿掉:

Server: Apache/1.0

但是它不會過濾掉 CGI 的回傳資訊,會有類似下面的 Header

x-powered-by: PHP/7.6.5

這行資訊會給 Cracker 很大的協助,駭客可以利用該版本的漏洞想辦法進系統。

要解決這個問題,要調整 PHP 的設定檔 php.ini,要將內定是 On 的 expose_php 參數,設成 Off,如下

expose_php = Off

重開 Web Server 後,就可以了。

留言
avatar-img
留言分享你的想法!
avatar-img
WILSON PENG的沙龍
2會員
26內容數
WILSON PENG的沙龍的其他內容
2023/02/02
UTF-8 萬國碼在規格定義時,有建議在文件的開始處,加入位元組順序記號 (BOM, byte-order mark)。但 Plain Text 文件,就是全部都是文字,將它加入檔頭標記,就不是純文字檔案了,所以一般都沒有實作成有 BOM 檔頭的檔案。
Thumbnail
2023/02/02
UTF-8 萬國碼在規格定義時,有建議在文件的開始處,加入位元組順序記號 (BOM, byte-order mark)。但 Plain Text 文件,就是全部都是文字,將它加入檔頭標記,就不是純文字檔案了,所以一般都沒有實作成有 BOM 檔頭的檔案。
Thumbnail
2023/01/11
要怎麼判斷是奇數還是偶數? 除以 2 有餘數的是奇數,無餘數的是偶數。 有沒有更快的方法?
Thumbnail
2023/01/11
要怎麼判斷是奇數還是偶數? 除以 2 有餘數的是奇數,無餘數的是偶數。 有沒有更快的方法?
Thumbnail
2022/11/22
比較早期的 Ledger 做的是 USB 的實體錢包,接上 PC 可以操作。之後 Ledger Nano X 可以接手機操作。 庫幣科技有限公司發展了用藍芽連手機的卡片型實體錢包:CoolWallet S。目前它與 MyEtherWallet、幣安交易所、火币网和 OKB 有合作聯名款錢包。
Thumbnail
2022/11/22
比較早期的 Ledger 做的是 USB 的實體錢包,接上 PC 可以操作。之後 Ledger Nano X 可以接手機操作。 庫幣科技有限公司發展了用藍芽連手機的卡片型實體錢包:CoolWallet S。目前它與 MyEtherWallet、幣安交易所、火币网和 OKB 有合作聯名款錢包。
Thumbnail
看更多
你可能也想看
Thumbnail
介紹朋友新開的蝦皮選物店『10樓2選物店』,並分享方格子與蝦皮合作的分潤計畫,註冊流程簡單,0成本、無綁約,推薦給想增加收入的讀者。
Thumbnail
介紹朋友新開的蝦皮選物店『10樓2選物店』,並分享方格子與蝦皮合作的分潤計畫,註冊流程簡單,0成本、無綁約,推薦給想增加收入的讀者。
Thumbnail
當你邊吃粽子邊看龍舟競賽直播的時候,可能會順道悼念一下2300多年前投江的屈原。但你知道端午節及其活動原先都與屈原毫無關係嗎?這是怎麼回事呢? 本文深入探討端午節設立初衷、粽子、龍舟競渡與屈原自沉四者。看完這篇文章,你就會對端午、粽子、龍舟和屈原的四角關係有新的認識喔。那就讓我們一起解開謎團吧!
Thumbnail
當你邊吃粽子邊看龍舟競賽直播的時候,可能會順道悼念一下2300多年前投江的屈原。但你知道端午節及其活動原先都與屈原毫無關係嗎?這是怎麼回事呢? 本文深入探討端午節設立初衷、粽子、龍舟競渡與屈原自沉四者。看完這篇文章,你就會對端午、粽子、龍舟和屈原的四角關係有新的認識喔。那就讓我們一起解開謎團吧!
Thumbnail
在數碼時代,網站安全變得越來越重要。特別是對於使用 WordPress 平臺的網站,保障安全尤為關鍵。本文將介紹一些實用的方法,幫助您保護 WordPress 網站免受各種威脅。為什麼 WordPress 安全至關重要?
Thumbnail
在數碼時代,網站安全變得越來越重要。特別是對於使用 WordPress 平臺的網站,保障安全尤為關鍵。本文將介紹一些實用的方法,幫助您保護 WordPress 網站免受各種威脅。為什麼 WordPress 安全至關重要?
Thumbnail
本文介紹如何使用AWS WAF Rules規則,透過IP Set(白名單) 以及TW IP的設定,來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。
Thumbnail
本文介紹如何使用AWS WAF Rules規則,透過IP Set(白名單) 以及TW IP的設定,來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。
Thumbnail
從第二篇開始,我會以我的經驗(不足之處請多多建議),針對盤點過後的【資產種類】一一說明在資安上要注意的項目,您可以藉此檢視,您的系統是否要進行一些強化措施。 【資產種類】網站系統-地端租用空間(您不會進機房)
Thumbnail
從第二篇開始,我會以我的經驗(不足之處請多多建議),針對盤點過後的【資產種類】一一說明在資安上要注意的項目,您可以藉此檢視,您的系統是否要進行一些強化措施。 【資產種類】網站系統-地端租用空間(您不會進機房)
Thumbnail
當使用 Wordpress 架站時,系統至少會有四層漏洞:
Thumbnail
當使用 Wordpress 架站時,系統至少會有四層漏洞:
Thumbnail
從 Router 出去到目的地網站,中間到底有沒有人窺探您的資料? 若從 DNS 開始,都用 HTTPS,就可以將資料都加密起來,防止中間有人惡意搞鬼。
Thumbnail
從 Router 出去到目的地網站,中間到底有沒有人窺探您的資料? 若從 DNS 開始,都用 HTTPS,就可以將資料都加密起來,防止中間有人惡意搞鬼。
Thumbnail
PHP 在 Cloudflare 後的抓 Public IP,Cloudflare 提供了 HTTP_CF_CONNECTING_IP 的 HTTP Header,所以程式用它就可以取到用戶的 IP。
Thumbnail
PHP 在 Cloudflare 後的抓 Public IP,Cloudflare 提供了 HTTP_CF_CONNECTING_IP 的 HTTP Header,所以程式用它就可以取到用戶的 IP。
Thumbnail
Block direct access by ip 一旦將網站對外,就要開始面對這個險惡的世界每天遭受一堆攻擊,雖然大部分都無關痛癢,幾乎都是機器人在 scan ip 然後在發一些無意義的請求,或者亂試 api,看能不能試出來...,最好是哪麼好試啦,而且加上我們之前在 JWT 篇章講到的 prot
Thumbnail
Block direct access by ip 一旦將網站對外,就要開始面對這個險惡的世界每天遭受一堆攻擊,雖然大部分都無關痛癢,幾乎都是機器人在 scan ip 然後在發一些無意義的請求,或者亂試 api,看能不能試出來...,最好是哪麼好試啦,而且加上我們之前在 JWT 篇章講到的 prot
Thumbnail
面對與日俱增的網絡攻擊,企業的防火牆成為網絡保安的第一道防線,用於供防禦功能,以抵擋惡意的訪問和攻擊。隨着科技革新,防火牆的性能也因而提高,但其有效性取決於防火牆的管理者。為了充分發揮防火牆的效能,必須對其進行適當的管理,以降低針對業務的威脅。 託管防火牆(Managed firewall)
Thumbnail
面對與日俱增的網絡攻擊,企業的防火牆成為網絡保安的第一道防線,用於供防禦功能,以抵擋惡意的訪問和攻擊。隨着科技革新,防火牆的性能也因而提高,但其有效性取決於防火牆的管理者。為了充分發揮防火牆的效能,必須對其進行適當的管理,以降低針對業務的威脅。 託管防火牆(Managed firewall)
Thumbnail
在資訊性的時代,幾乎每個企業都有自己的網站,提供最大價值及免費的資訊吸引受眾及潛在客戶,從而提高曝光率及點擊率,有助將其轉換成銷量。若資訊安全的預防措施不足,容易受到網絡攻擊及內部安全問題。在這情況下更顯得網站漏洞掃描對企業的重要性,下文會為大家一一講解網站漏洞掃描。 為什麼企業需要網站漏洞掃描?
Thumbnail
在資訊性的時代,幾乎每個企業都有自己的網站,提供最大價值及免費的資訊吸引受眾及潛在客戶,從而提高曝光率及點擊率,有助將其轉換成銷量。若資訊安全的預防措施不足,容易受到網絡攻擊及內部安全問題。在這情況下更顯得網站漏洞掃描對企業的重要性,下文會為大家一一講解網站漏洞掃描。 為什麼企業需要網站漏洞掃描?
Thumbnail
文章最後將會提供一套CSP安全檢查工具,保護自身,避免踏入不安全地帶! 🔔還沒成為Potato會員的朋友點這裡加入哦,撰寫文章還能挖礦打造被動收入 🔔 為什麼制定安全政策這麼重要呢? 可以制定哪些規則呢? 這邊僅著重於概念的描述,因此列出幾個常見的來源白名單配置選項,至於完整選項請參考這裡。
Thumbnail
文章最後將會提供一套CSP安全檢查工具,保護自身,避免踏入不安全地帶! 🔔還沒成為Potato會員的朋友點這裡加入哦,撰寫文章還能挖礦打造被動收入 🔔 為什麼制定安全政策這麼重要呢? 可以制定哪些規則呢? 這邊僅著重於概念的描述,因此列出幾個常見的來源白名單配置選項,至於完整選項請參考這裡。
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News