最新资讯
公司最新动态
促销及技术分享
公司最新动态
促销及技术分享
Cloudflare Host API遗留主机和经销商合作伙伴计划弃用和终止的即将到来的变化。由于维护和支持遗留主机程序的成本,Cloudflare将停止该程序,并将在2022年11月1日之前停止所有功能。
弃用的时间
事件时间表如下:
•2022年6月15日—所有使用Host API创建的新用户和区域将被禁用。这些端点将被禁用:
O user_create – https://www.cloudflare.com/docs/host-api/#s3.2.1
o zone_set – https://www.cloudflare.com/docs/host-api/#s3.2.2(注意:此端点之前在2021年11月21日禁用)
O full_zone_set – https://www.cloudflare.com/docs/host-api/#s3.2.3
•2022年11月1日——所有主机API和转售商API将被中断,您的访问将被禁用。您将失去通过Host API管理帐户或区域的权限。
客户在边缘服务流量的现有区域不会受到影响。希望直接迁移到Cloudflare的客户可以选择创建自己的账户,并重新创建自己的区域进行自我管理。
本指南面向具有安全意识的网站管理员,他们在启用Cloudflare的域上运行WordPress网站或博客。在免费计划中,Cloudflare会授予五个默认为空的防火墙规则。
通过添加我在本页上描述的特定于WordPress的规则,您可以保护您的网站并阻止攻击,甚至阻止它们到达Web主机的服务器。
在实施任何防火墙规则之前,应首先将自己的IP列入白名单。这样一来,如果您决定将WordPress管理区域拒之门外,您就不会受到影响(我将在稍后解释)。
可以通过访问Cloudflare仪表板并单击防火墙,然后 单击 工具,输入IP *,然后 在下拉菜单中选择 白名单来完成此操作.
*您可以按安全性从高到低的顺序选择几种方式:
以这种方式列入白名单的IP地址或国家/地区将不受 所有 防火墙规则的限制,因此您无需为每个单独的规则添加例外。
如果您查看服务器日志,可能会发现来自世界各地的大量IP试图访问wp-login.php文件。这是迄今为止对WordPress安装最常见的攻击。这些通常是自动扫描,不会带来很大的威胁,但是您仍然可以放心地将其阻止。
在Cloudflare仪表板中, 再次单击“ 防火墙”,然后按蓝色的“ 创建防火墙规则” 按钮。将其命名为任意名称,然后输入以下内容:
[动作:封锁]
如果你做的没错,你应该看到下面的 表达式预览 部分:?
1个 | (http.request.uri.path contains "/wp-login.php") |
保存规则,它应该自动启用。现在,Cloudflare将开始阻止所有尝试连接到wp-login.php的尝试,但您列入白名单的IP除外。
这些蛮力尝试将从您的服务器日志中消失,但是如果您希望验证保护功能是否起作用,则可以在Cloudflare的“防火墙事件” 部分中进行跟踪 。
在wp-login.php之后,xmlrpc.php是第二常见的攻击目标。XML-RPC具有合法用途,例如从智能手机撰写博客,或一次将内容发布到多个WordPress网站。但是,如果不需要它,则可以安全地将其阻止。遵循与之前相同的步骤,并创建规则:
[动作:封锁]
您应该在“表达式预览” 部分中看到以下 内容:
1个 | (http.request.uri.path contains "/xmlrpc.php") |
现在,让我们让您(只有您自己)可以访问您的管理区域。该规则稍微复杂一点,因为您需要做出两个例外。
首先是/wp-admin/admin-ajax.php,某些插件使用它来在您的网站上显示动态内容。因此,尽管位于/ wp-admin /文件夹中,但仍需要从外部对其进行访问。
第二个是/wp-admin/theme-editor.php,它在您每次通过内置编辑器通过对主页创建回送请求来编辑主题时都运行错误检查。如果不添加此例外,则检查将失败,并显示一条消息“无法与站点进行通讯以检查致命错误”,并且您的修改将不会保存。
继续并创建以下规则:
[和]
[和]
[动作:封锁]
或者,只需点击 编辑表达 和粘贴以下:?
1个 | (http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php") |
大多数WordPress网站都通过不安全的插件被黑客入侵。当然,最好的办法是不安装它们,但是您也可以创建防火墙规则来阻止直接访问/ wp-content / plugins /。
通过您的网站发出的合法请求带有“ http://yoursite.com/page”作为HTTP引用的内容,并且将被自动允许。您可能还希望允许已知的优秀漫游器(例如Google搜寻器)通过,以防它们试图在您的plugins文件夹中索引某些内容(例如图像)。
创建以下规则:
[和]
[和]
[动作:封锁]
或者,只需粘贴此直接表达(记得与实际地址来替换yoursite.com): ?
1个 | (http.request.uri.path contains "/wp-content/plugins/" and not http.referer contains "yoursite.com" and not cf.client.bot) |
我会说实话:由于这些天的垃圾邮件机器人非常复杂,足以欺骗引荐来源,因此此规则的影响将很小。这只会阻止僵尸程序直接锤击wp-comments-post.php文件。尽管如此,WordPress Codex中也描述了相同的技巧(除非他们使用.htaccess规则而不是Cloudflare),因此,如果对他们足够好,对我也足够。
规则如下:
[和]
[和]
[动作:封锁]
这是节省您时间的表达式:?
1个 | (http.request.uri.path eq "/wp-comments-post.php" and http.request.method eq "POST" and not http.referer contains "yoursite.com") |
这五个规则应涵盖最常见的WordPress攻击,但可以根据需要进行调整和组合。
您在日志中看到的大多数攻击都来自自动漫游器,它们只是愚蠢地扫描网站的漏洞,但是如果白名单IP之外的人试图访问您的管理区域,则会收到类似“错误1020”的页面(您可以通过代理或VPN对其进行确认):
检查是否安装了iptables
安装iptables
升级iptables
安装iptables-services
查看默认防火墙状态
停止firewall
禁止firewall开机启动
禁用firewalld服务
查看iptables现有规则
先允许所有
清空所有默认规则
清空所有自定义规则
所有计数器归0
禁止来自IPv4的所有HTTP/S访问请求
对Cloudflare CDN IPv4地址开放HTTP/S入站访问
禁止来自IPv6的所有HTTP/S访问请求
对Cloudflare CDN IPv6地址开放HTTP/S入站访问
保存iptables配置
保存规则(路径:/etc/sysconfig/iptables和ip6tables)
开启iptables服务
自动载入规则
开启服务
查看状态
重启iptables
老用户专属云产品续费,低至2.5折
腾讯云双11续费优惠活动,com续费6折,只要39元/年,最多可续8年
活动地址:
https://curl.qcloud.com/j0Nsjzq5
活动时间:
2020年10月15日至2020年11月30日
Cloudflare Partners Network-Pro/CloudflarePro的合作伙伴特别计划
Cloudflare Partners Network-Pro为Cloudflare 合作伙伴网络(Cloudflare Partner Network)特别渠道供应版。Cloudflare Pro合作伙伴特别版。
包含99%Pro方案的功能,30WAF及20Web应用程度防火墙,Mirage移动端加速及Polish通过优化域中托管的图像,缩短图像加载时间等。主要缩减目前已知功能:Browser Insights 规则及防火牆規則仍为5条(官方专业版为20条)……等一些附加功能。
Cloudflare Partner Pro提供的功能应用满足专业及中小企业网站,联系订购我们的伙伴计划套餐。或者订购商业版或更高方案。
另外我们提供Railgun动态加速,及CNAME接入。
Railgunf动态加速,该功能为订购商业版(Business200USD/月)以上才能使用。
CNAME接入,无需更改域名NS服务器(保持现有),简单方便粗暴的方式接入Cloudflare服务。对于较为复杂的DNS解析提供极大的便利。
如果专业及商业方案无法满足你业务需求,请联系我们索取Cloudflare Enterprise Plan报价。我们很乐意为您效劳。
我们将提供至少88折或更低折扣优惠。