用 Cloudflare 當 Wordpress 的防火牆

WILSON PENG

更新於 2024/12/06發佈於 2022/12/07閱讀時間約 5 分鐘

當使用 Wordpress 架站時，系統至少會有四層漏洞：

作業系統 (Linux/Windows) 網路層的漏洞。
Web Server (Apache/Nginx) 的漏洞。通常是緩衝溢位，視 Server 的版本而定。
PHP 的漏洞。通常是緩衝溢位，視 PHP 版本而定。
Wordpress 的漏洞。通常是利用 wp-cofig.php 取得系統資訊；wp-login.php 攻擊。

駭客會用各種路徑，找出 wordpress 的漏洞。圖為 Cloudflare 的攻擊 Log。

零、關於 Cloudflare

Cloudflare 是 CDN 業者 (Content Delivery Network)，它提供網站存取的服務，可以讓網站映射在不同處，讓用戶更快速看到網頁內容。

也因為這特性，所以 Cloudflare 可以隱藏用戶網站的資訊。也就是說，它可以阻斷作業系統網路層的攻擊。而網站也隱藏在它背後，也可以讓駭客不容易直接攻擊 Web Server。

Source: https://support.cloudflare.com/hc/en-us/articles/205177068-How-does-Cloudflare-work-

一、將網站隱藏在 Cloudflare 後面

將網域的 DNS Name Server 設定放在 Cloudflare 後，就可以將網站隱藏在 Cloudflare 後面了。可以擋掉絕大多數作業系統層與伺服器層漏洞。

要做的安全措施至少有二項：

在 Cloudflare 設定介面中，將網站的 Proxy status (Proxy 狀態) 設成 Proxied (透過 Proxy 處理)。讓用戶看不到 Web 網站的 IP。
在 Web Server 端設定防火牆，例如 ufw (Uncomplicated Firewall)、iptables/nftables 或 Windows Defender 防火牆，設定只有 Cloudflare 的 IP 可以存取 80/443 Port。可以防止陌生人亂入/誤入原始網站。

二、設定 Cloudflare 的防火牆規則

免費方案的用戶，可以設定五條防火牆規則。這五條規則是有順序的，所以我們需要將它設成下面的規則：

Pro 等級的用戶，可以設定 20 條防火牆規則

檢查後放行特定的地方可以操作 wp-login。例如公司的固定 IP，或者不確定時就設定成台灣的 IP。

(http.request.full_uri contains “wp-login” and ip.geoip.country eq “TW”)

2. 封鎖 wp-login 與 wp-config 操作。

(http.request.full_uri contains “wp-login”) or (http.request.full_uri contains “wp-config”) or (http.request.uri.query contains “wp-config”)

這順序不能設成先封鎖 wp-login，再允許特定的地址查問。否則就直接封鎖了，自己就不能登入 Wordpress 的後台操作。

三、付錢開 WAF 或許較安心

若是商用網站或想付些錢保護網站，建議每個月付 20 美金使用 Pro 服務，就可以使用 Cloudflare 的 WAF 應用程式防火牆服務。若不確定要開啟防火牆的哪些服務，就全部開啟；確定不開啟再關。它提供 Wordpress、Drupal、Joomla 等 PHP 應用套件的防火牆功能。

免費 Free 方案，不提供 WAF 應用程式防火牆功能

成為 Pro 等級以上的 Cloudflare 付費會員，就可以打開 WAF (Web 應用程式防火牆)

駭客可能會攻擊一些 PHP 的漏洞，若是 Pro 等級以上的會員，建議一定要打開 Cloudflare PHP 選項。

四、常常檢查記錄

這才是最重要的步驟！

設定好了不會高枕無憂，勤勞是唯一解。常常檢查 Cloudflare 與 Web Server 的 log 記錄，看看有什麼異常狀況，再依異常狀況做對應處理。

補充

Cloudflare 會過濾掉 HTTP Server 回傳資訊，類似下面的回傳 Header 會被拿掉：

Server: Apache/1.0

但是它不會過濾掉 CGI 的回傳資訊，會有類似下面的 Header

x-powered-by: PHP/7.6.5

這行資訊會給 Cracker 很大的協助，駭客可以利用該版本的漏洞想辦法進系統。

要解決這個問題，要調整 PHP 的設定檔 php.ini，要將內定是 On 的 expose_php 參數，設成 Off，如下

expose_php = Off

重開 Web Server 後，就可以了。

為什麼會看到廣告

#wordpress

#cloudflare

WILSON PENG的沙龍

2會員

26內容數

留言0

查看全部

發表第一個留言支持創作者！

WILSON PENG的沙龍的其他內容

虛擬貨幣實體錢包

比較早期的 Ledger 做的是 USB 的實體錢包，接上 PC 可以操作。之後 Ledger Nano X 可以接手機操作。庫幣科技有限公司發展了用藍芽連手機的卡片型實體錢包：CoolWallet S。目前它與 MyEtherWallet、幣安交易所、火币网和 OKB 有合作聯名款錢包。

Ruckus ZoneFlex 韌體的地雷

Ruckus 若用內建的 ZoneFlex Solo Access Point，在 MacOSX 上用 FireFox 輸入它的網址 (內定是 https://192.168.0.1/ )，帳號密碼再正確也無法 Login 進去。

#Ruckus

該用 DNS over HTTPS 嗎?

從 Router 出去到目的地網站，中間到底有沒有人窺探您的資料? 若從 DNS 開始，都用 HTTPS，就可以將資料都加密起來，防止中間有人惡意搞鬼。

#DNS #駭客攻擊

PHP 一個等號、二個等號跟三個等號

先簡單說結論: 一個等號是賦值；二個等號是等於；三個等號是相同。

#PHP

手機網頁的倒數計時

很多網站，都要求前端工程師要做出在手機跟電腦上都能順利顯示的介面。這種自動調整手機跟桌機的技術，叫做 Responsive web design (RWD)。

#JavaScript

UNIX 管道 pipe 的 echo 陷阱

要計算字串的 MD5 checksum，在 Shell 下用這樣的指令應該就可以了但是，它怎麼跟 PHP 的 md5 函數算出來的不同!! 雖然是不同的程式語言，但同樣的字串，用同樣的演算法，應該都相同呀!

#linux

虛擬貨幣實體錢包

Ruckus ZoneFlex 韌體的地雷

Ruckus 若用內建的 ZoneFlex Solo Access Point，在 MacOSX 上用 FireFox 輸入它的網址 (內定是 https://192.168.0.1/ )，帳號密碼再正確也無法 Login 進去。

#Ruckus

該用 DNS over HTTPS 嗎?

從 Router 出去到目的地網站，中間到底有沒有人窺探您的資料? 若從 DNS 開始，都用 HTTPS，就可以將資料都加密起來，防止中間有人惡意搞鬼。

#DNS #駭客攻擊

PHP 一個等號、二個等號跟三個等號

先簡單說結論: 一個等號是賦值；二個等號是等於；三個等號是相同。

#PHP

手機網頁的倒數計時

很多網站，都要求前端工程師要做出在手機跟電腦上都能順利顯示的介面。這種自動調整手機跟桌機的技術，叫做 Responsive web design (RWD)。

#JavaScript

UNIX 管道 pipe 的 echo 陷阱

#linux

你可能也想看

Google News 追蹤

VK科技閱讀時間

2024/12/17

美股定期定額從國泰世華 CUBE App 輕鬆開始

*合作聲明與警語：本文係由國泰世華銀行邀稿。證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務，定期定額(股)服務由國泰綜合證券提供。剛出社會的時候，很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天，都會聽到各種市場動態、理財話題，像是：聯準會降息或是近期哪些科

#國泰世華 #美股 #定期定額

捷可印的沙龍

2024/12/06

用 Behance 打造你的設計作品集

本文探討了 Behance 這個專業的設計分享平臺，對於設計師而言，擁有一個精美的作品集至關重要。介紹 Behance 的功能特色，包括專業作品展示、全球社群連結、自定義網站建立及即時反饋等。此外，提供具體步驟指導設計師如何上傳作品提升曝光率。無論新手還是專業人士，Behance 都是理想選擇。

#設計 #創意 #創作

獨角傳媒 | 創業專訪第一品牌

2024/12/06

用現在點亮未來西曬WESTSUN 暖心甜點征服味蕾

「用現在點亮未來 Light tomorrow with today.」——西曬 WESTSUN 創立僅半年，負責人謝采欣憑著堅持與用心，用網路宅配將美味甜點送到每位顧客手中。甜點不僅甜而不膩，還帶有一絲藝術氛圍。在浪漫且充滿詩意的西曬陽光下，呈現出一場甜點的視覺饗宴，謝采欣以溫暖的執著，在甜點這條

#創業 #專業 #美食