WILSON PENG的沙龍

用 Cloudflare 當 Wordpress 的防火牆

WILSON PENG-avatar-img
WILSON PENG
更新於 發佈於 閱讀時間約 5 分鐘
當使用 Wordpress 架站時,系統至少會有四層漏洞:
  1. 作業系統 (Linux/Windows) 網路層的漏洞。
  2. Web Server (Apache/Nginx) 的漏洞。通常是緩衝溢位,視 Server 的版本而定。
  3. PHP 的漏洞。通常是緩衝溢位,視 PHP 版本而定。
  4. Wordpress 的漏洞。通常是利用 wp-cofig.php 取得系統資訊;wp-login.php 攻擊。
駭客會用各種路徑,找出 wordpress 的漏洞。圖為 Cloudflare 的攻擊 Log。

零、關於 Cloudflare

Cloudflare 是 CDN 業者 (Content Delivery Network),它提供網站存取的服務,可以讓網站映射在不同處,讓用戶更快速看到網頁內容。
也因為這特性,所以 Cloudflare 可以隱藏用戶網站的資訊。也就是說,它可以阻斷作業系統網路層的攻擊。而網站也隱藏在它背後,也可以讓駭客不容易直接攻擊 Web Server。
Source: https://support.cloudflare.com/hc/en-us/articles/205177068-How-does-Cloudflare-work-

一、將網站隱藏在 Cloudflare 後面

將網域的 DNS Name Server 設定放在 Cloudflare 後,就可以將網站隱藏在 Cloudflare 後面了。可以擋掉絕大多數作業系統層與伺服器層漏洞。
要做的安全措施至少有二項:
  1. 在 Cloudflare 設定介面中,將網站的 Proxy status (Proxy 狀態) 設成 Proxied (透過 Proxy 處理)。讓用戶看不到 Web 網站的 IP。
  2. 在 Web Server 端設定防火牆 ,例如 ufw (Uncomplicated Firewall)、iptables/nftablesWindows Defender 防火牆,設定只有 Cloudflare 的 IP 可以存取 80/443 Port。可以防止陌生人亂入/誤入原始網站。

二、設定 Cloudflare 的防火牆規則

免費方案的用戶,可以設定五條防火牆規則。這五條規則是有順序的,所以我們需要將它設成下面的規則:
Pro 等級的用戶,可以設定 20 條防火牆規則
  1. 檢查後放行特定的地方可以操作 wp-login。例如公司的固定 IP,或者不確定時就設定成台灣的 IP。
(http.request.full_uri contains “wp-login” and ip.geoip.country eq “TW”)
2. 封鎖 wp-login 與 wp-config 操作。
(http.request.full_uri contains “wp-login”) or (http.request.full_uri contains “wp-config”) or (http.request.uri.query contains “wp-config”)
這順序不能設成先封鎖 wp-login,再允許特定的地址查問。否則就直接封鎖了,自己就不能登入 Wordpress 的後台操作。

三、付錢開 WAF 或許較安心

若是商用網站或想付些錢保護網站,建議每個月付 20 美金使用 Pro 服務,就可以使用 Cloudflare 的 WAF 應用程式防火牆服務。若不確定要開啟防火牆的哪些服務,就全部開啟;確定不開啟再關。它提供 Wordpress、Drupal、Joomla 等 PHP 應用套件的防火牆功能。
免費 Free 方案,不提供 WAF 應用程式防火牆功能
成為 Pro 等級以上的 Cloudflare 付費會員,就可以打開 WAF (Web 應用程式防火牆)
駭客可能會攻擊一些 PHP 的漏洞,若是 Pro 等級以上的會員,建議一定要打開 Cloudflare PHP 選項。

四、常常檢查記錄

這才是最重要的步驟!
設定好了不會高枕無憂,勤勞是唯一解。常常檢查 Cloudflare 與 Web Server 的 log 記錄,看看有什麼異常狀況,再依異常狀況做對應處理。
補充
Cloudflare 會過濾掉 HTTP Server 回傳資訊,類似下面的回傳 Header 會被拿掉:
Server: Apache/1.0
但是它不會過濾掉 CGI 的回傳資訊,會有類似下面的 Header
x-powered-by: PHP/7.6.5
這行資訊會給 Cracker 很大的協助,駭客可以利用該版本的漏洞想辦法進系統。
要解決這個問題,要調整 PHP 的設定檔 php.ini,要將內定是 On 的 expose_php 參數,設成 Off,如下
expose_php = Off
重開 Web Server 後,就可以了。
即將進入廣告,捲動後可繼續閱讀
為什麼會看到廣告
avatar-img
WILSON PENG的沙龍
2會員
26內容數
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
WILSON PENG的沙龍 的其他內容
虛擬貨幣 實體錢包
比較早期的 Ledger 做的是 USB 的實體錢包,接上 PC 可以操作。之後 Ledger Nano X 可以接手機操作。 庫幣科技有限公司發展了用藍芽連手機的卡片型實體錢包:CoolWallet S。目前它與 MyEtherWallet、幣安交易所、火币网和 OKB 有合作聯名款錢包。
Ruckus ZoneFlex 韌體的地雷
Ruckus 若用內建的 ZoneFlex Solo Access Point,在 MacOSX 上用 FireFox 輸入它的網址 (內定是 https://192.168.0.1/ ),帳號密碼再正確也無法 Login 進去。
#Ruckus
該用 DNS over HTTPS 嗎?
從 Router 出去到目的地網站,中間到底有沒有人窺探您的資料? 若從 DNS 開始,都用 HTTPS,就可以將資料都加密起來,防止中間有人惡意搞鬼。
#DNS#駭客攻擊
PHP 一個等號、二個等號跟三個等號
先簡單說結論: 一個等號是賦值;二個等號是等於;三個等號是相同。
#PHP
手機網頁的倒數計時
很多網站,都要求前端工程師要做出在手機跟電腦上都能順利顯示的介面。這種自動調整手機跟桌機的技術,叫做 Responsive web design (RWD)。
#JavaScript
UNIX 管道 pipe 的 echo 陷阱
要計算字串的 MD5 checksum,在 Shell 下用這樣的指令應該就可以了 但是,它怎麼跟 PHP 的 md5 函數算出來的不同!! 雖然是不同的程式語言,但同樣的字串,用同樣的演算法,應該都相同呀!
#linux
虛擬貨幣 實體錢包
比較早期的 Ledger 做的是 USB 的實體錢包,接上 PC 可以操作。之後 Ledger Nano X 可以接手機操作。 庫幣科技有限公司發展了用藍芽連手機的卡片型實體錢包:CoolWallet S。目前它與 MyEtherWallet、幣安交易所、火币网和 OKB 有合作聯名款錢包。
Ruckus ZoneFlex 韌體的地雷
Ruckus 若用內建的 ZoneFlex Solo Access Point,在 MacOSX 上用 FireFox 輸入它的網址 (內定是 https://192.168.0.1/ ),帳號密碼再正確也無法 Login 進去。
#Ruckus
該用 DNS over HTTPS 嗎?
從 Router 出去到目的地網站,中間到底有沒有人窺探您的資料? 若從 DNS 開始,都用 HTTPS,就可以將資料都加密起來,防止中間有人惡意搞鬼。
#DNS#駭客攻擊
PHP 一個等號、二個等號跟三個等號
先簡單說結論: 一個等號是賦值;二個等號是等於;三個等號是相同。
#PHP
手機網頁的倒數計時
很多網站,都要求前端工程師要做出在手機跟電腦上都能順利顯示的介面。這種自動調整手機跟桌機的技術,叫做 Responsive web design (RWD)。
#JavaScript
UNIX 管道 pipe 的 echo 陷阱
要計算字串的 MD5 checksum,在 Shell 下用這樣的指令應該就可以了 但是,它怎麼跟 PHP 的 md5 函數算出來的不同!! 雖然是不同的程式語言,但同樣的字串,用同樣的演算法,應該都相同呀!
#linux
你可能也想看
Google News 追蹤
avatar-avatar
理財人妻Vivi
Thumbnail
為什麼選擇美股?從入門策略到如何突破理財門檻 with 國泰世華CUBE App
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。 然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
#美股小白#國泰世華銀行#國泰世華
avatar-avatar
筱涵|Hannah的沙龍
Thumbnail
【生活記事】AI人工智慧解籤|慈母籤|線上求籤|科技與玄學
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
#互動設計#文化體驗#慈母籤
avatar-avatar
操作一下
Thumbnail
保障雲端安全的關鍵:了解什麼是雲端原生應用程式防護平台(CNAPP)
隨著企業對雲端技術的依賴日益加深,確保雲端環境中的應用程式安全變得至關重要。雲端原生應用程式防護平台(Cloud-Native Application Protection Platform,CNAPP)應運而生,旨在提供統一且全面的解決方案來保障雲端應用程式在整個生態
##CLOUD#雲端
avatar-avatar
唐志偉的沙龍
如何利用CDN有效防禦網路攻擊與DDoS攻擊
在現今數位化的時代,網路攻擊頻率持續上升,其中又以DDoS攻擊最為常見且具破壞性。面對這種威脅,企業如何保護自身的網路資源成為了一大挑戰。CDN(內容傳遞網絡)作為一種有效的防禦工具,不僅能提升網站的性能與用戶體驗,還能大幅降低DDoS攻擊的風險。
avatar-avatar
Kant Chan的沙龍
Thumbnail
WordPress 網站安全:8個關鍵措施保護您的網站
在數碼時代,網站安全變得越來越重要。特別是對於使用 WordPress 平臺的網站,保障安全尤為關鍵。本文將介紹一些實用的方法,幫助您保護 WordPress 網站免受各種威脅。為什麼 WordPress 安全至關重要?
#網站#文件#密碼
avatar-avatar
詹姆士的軟體易開罐
Thumbnail
在windows使用XAMPP架設PHP 站點的要小心了
戴夫寇爾研究團隊發現PHP在Windows系統上存在遠端程式碼執行漏洞,影響多個PHP版本,包括XAMPP預設安裝環境。漏洞源於字元編碼轉換的問題,允許攻擊者在遠端伺服器上執行任意程式碼。建議使用者立即升級至最新PHP版本,或採取臨時緩解措施。
#PHP漏洞#XAMPP安全性#PHP安全性問題
avatar-avatar
Alan的開發者天地
Thumbnail
實現 CloudFlare DNS 解析:使用 Terraform 和 GCS 進行高效配置
本文介紹如何在GCP上使用Terraform建立CloudFlare DNS解析和模組化。通過閱讀本文,可以瞭解如何設置Terraform建立CloudFlare DNS解析以及取得GCS上的Terraform state file並透過Terraform建立CloudFlare DNS解析的步驟。
#terraform#Cloudflare#GCP
avatar-avatar
西尼亞ming的沙龍
Thumbnail
利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋
本文介紹如何使用AWS WAF Rules規則,透過IP Set(白名單) 以及TW IP的設定,來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。
#AWS
avatar-avatar
奧莉薇走在成為後端工程師之路上
後端技術考古題- Web Operations 下篇
描述我所瞭解的 Web 攻擊技術 何謂網路攻擊? 駭客透過各種系統漏洞或惡意程式,搭配許多技術和工具進行攻擊。目標是要在企業或個人電腦網路中損害、取得控制權或存取重要的文件和系統。 例如: XSS(Cross-Site Scripting,跨站腳本攻擊/跨網站指令碼):指網路罪犯透過存在安全
avatar-avatar
網路安全停看聽-安啦的沙龍
Thumbnail
【網路安全停看聽】打造密不可破的資安防護網,企業不能缺席
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
#電信業者#資訊安全#詐騙電話
avatar-avatar
理財人妻Vivi
Thumbnail
為什麼選擇美股?從入門策略到如何突破理財門檻 with 國泰世華CUBE App
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。 然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
#美股小白#國泰世華銀行#國泰世華
avatar-avatar
筱涵|Hannah的沙龍
Thumbnail
【生活記事】AI人工智慧解籤|慈母籤|線上求籤|科技與玄學
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
#互動設計#文化體驗#慈母籤
avatar-avatar
操作一下
Thumbnail
保障雲端安全的關鍵:了解什麼是雲端原生應用程式防護平台(CNAPP)
隨著企業對雲端技術的依賴日益加深,確保雲端環境中的應用程式安全變得至關重要。雲端原生應用程式防護平台(Cloud-Native Application Protection Platform,CNAPP)應運而生,旨在提供統一且全面的解決方案來保障雲端應用程式在整個生態
##CLOUD#雲端
avatar-avatar
唐志偉的沙龍
如何利用CDN有效防禦網路攻擊與DDoS攻擊
在現今數位化的時代,網路攻擊頻率持續上升,其中又以DDoS攻擊最為常見且具破壞性。面對這種威脅,企業如何保護自身的網路資源成為了一大挑戰。CDN(內容傳遞網絡)作為一種有效的防禦工具,不僅能提升網站的性能與用戶體驗,還能大幅降低DDoS攻擊的風險。
avatar-avatar
Kant Chan的沙龍
Thumbnail
WordPress 網站安全:8個關鍵措施保護您的網站
在數碼時代,網站安全變得越來越重要。特別是對於使用 WordPress 平臺的網站,保障安全尤為關鍵。本文將介紹一些實用的方法,幫助您保護 WordPress 網站免受各種威脅。為什麼 WordPress 安全至關重要?
#網站#文件#密碼
avatar-avatar
詹姆士的軟體易開罐
Thumbnail
在windows使用XAMPP架設PHP 站點的要小心了
戴夫寇爾研究團隊發現PHP在Windows系統上存在遠端程式碼執行漏洞,影響多個PHP版本,包括XAMPP預設安裝環境。漏洞源於字元編碼轉換的問題,允許攻擊者在遠端伺服器上執行任意程式碼。建議使用者立即升級至最新PHP版本,或採取臨時緩解措施。
#PHP漏洞#XAMPP安全性#PHP安全性問題
avatar-avatar
Alan的開發者天地
Thumbnail
實現 CloudFlare DNS 解析:使用 Terraform 和 GCS 進行高效配置
本文介紹如何在GCP上使用Terraform建立CloudFlare DNS解析和模組化。通過閱讀本文,可以瞭解如何設置Terraform建立CloudFlare DNS解析以及取得GCS上的Terraform state file並透過Terraform建立CloudFlare DNS解析的步驟。
#terraform#Cloudflare#GCP
avatar-avatar
西尼亞ming的沙龍
Thumbnail
利用AWS WAF Rules規則設定IP Set(白名單)和臺灣IP不被阻擋
本文介紹如何使用AWS WAF Rules規則,透過IP Set(白名單) 以及TW IP的設定,來達成阻擋除臺灣以外的請求。同時也介紹了設定規則所需的條件及真值表。該方法可有效提升網站的安全性。
#AWS
avatar-avatar
奧莉薇走在成為後端工程師之路上
後端技術考古題- Web Operations 下篇
描述我所瞭解的 Web 攻擊技術 何謂網路攻擊? 駭客透過各種系統漏洞或惡意程式,搭配許多技術和工具進行攻擊。目標是要在企業或個人電腦網路中損害、取得控制權或存取重要的文件和系統。 例如: XSS(Cross-Site Scripting,跨站腳本攻擊/跨網站指令碼):指網路罪犯透過存在安全
avatar-avatar
網路安全停看聽-安啦的沙龍
Thumbnail
【網路安全停看聽】打造密不可破的資安防護網,企業不能缺席
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
#電信業者#資訊安全#詐騙電話