In diesem Beitrag möchte ich dir zeigen, wie du neben den “Standard” Einstellungen zur Absicherung (sicheres Passwort, 2-Faktor-Authentifizierung, Updates,…), WordPress mit der Hilfe von Cloudflare deutlich sicherer machen kannst.
Vorraussetzungen
Wenn du Cloudflare nicht kennst, dann solltest du dich erstmal damit auseinandersetzen, denn Cloudflare bietet neben den erweiterten Sicherheitseinstellungen auch noch weitere Vorteile.
Damit das Ganze funktioniert, sollte Cloudflare schon dein DNS-Anbieter sein. Das erleichtert das Ganze. Sollte das nicht der Fall sein, dann solltest du schauen, dass du deine Domains inkl. der erforderlichen Einträge dort hinziehst und CF als Proxy nutzt.
Darüberhinaus sollte dein Hoster auch Cloudflare unterstützen! Das ist das Um und Auf bei der Sache. Ich hatte schon einige Hoster und leider viele Probleme damit. Mein aktueller Anbieter “Pikapods” untersützt Cloudflare und damit ist das für mich easy.
Sind alle Vorraussetzungen erfüllt, kannst du CF in der kostenlosen Variante voll ausnutzen und deinen WordPress-Blog noch besser gegen diverse Attacken absichern.
Wichtig
Hier wirst du einige Einstellungen in der Firewall von Cloudflare vornehmen. Deshalb ist es umso wichtiger nach jeder Änderung diese auch zu testen. Am besten nimmst du ein Smartphone, das nicht im gleichen WLAN-Netz wie dein Computer ist und testest das Ganze. Auch ein VPN hilft hier ungemein, damit du die Einstellungen testen kannst ob und wie gut sie funktionieren.
Firewall Regeln erstellen
Leitest du deinen gesamten Traffice auf deinen WordPress durch Cloudflare, hast du die Möglichkeit mit der Web Application Firewall oder “WAF” diversen Traffic zu blocken. Und das nutzen wir für unseren Vorteil.
Dazu gehst du bei deiner Domain auf die Security > WAF > Custom Rules Seite. Dort klicke dann auf Create Rule
Länder oder Kontinente blockieren
Die erste und einfachste Möglichkeit unterwünschte Besucher von deinem Blog fernzuhalten, ist Länder oder Kontinente zu blockieren. Es gibt paar übliche Verdächtige, die man hier blockieren kann um die Sicherheit gleich mal zu erhöhen. Ich habe unteranderem Russland, Indien und andere Länder blockiert, von wo ich in den “Events” gesehen habe, dass sie zum Beispiel die xmlrpc.php Datei aufrufen wollen.
Und so gehst du vor: Unser Custom Rules legst du folgende Regel fest, wie im Screenshot angezeigt:
Hast du die Regel erfolgreich hinzugefügt, sieht das Ganze bei dir dann so aus:
Ja, auch hier wird dann ein Crawler von Yandex (das russische Google) blockiert, aber das ist mir (recht herzlich) egal.
WordPress absichern
Neben der Möglichkeit ganze Länder oder gar Kontinente auszusperren, gibt es natürlich Angreifer, die in deiner unmittelbaren Nähe wohnen bzw. natürlich auch die Möglichkeit VPNs zu nutzen. Die sind ja auch nicht blöd. Deshalb ist es natürlich nützlich auch diverse WordPress-Dienste abzusichern um den Schutz deutlich zu erhöhen. Denn: Deine echten Besucher wollen deine Beiträge lesen und nicht auf irgendliche System-Dateien zugreifen.
WordPress Lockdown
Diese Regel soll deine xmlrpc.php – Datei schützen.
- Wie vorhin: Beginne eine Regel unter Create Rule zu erstellen
- Erstelle die Einträge: Dazu werden drei Einträge erstellt. Und das sieht wie folgt aus:
Möchtest du das alles nicht eintippen, dann gibt es die Möglichkeit meine Regel bei deinem Cloudflare einfach einzufügen. Dazu kopierst du das hier:
(http.request.uri eq "/xmlrpc.php")Und fügst es beim Punkt Edit expression ein. WICHTIG! Ändere bitte DEINEWEBSEITE.URL auf die Adresse deines Blogs. Sonst funktioniert das nicht!
Fazit
Dass die Regeln funktionieren, zeigen die Events bei Cloudflare. Man sieht genau, wer auf die xmlrpc.php – Datei zugreifen möchte und es durch das Absichern nicht kann. So sind auch Länder dabei, ich nicht nicht blockiert hatte, wie zum Beispiel die Slowakei. Aber nachdem ich die Datei mit CF geschützt habe, wird dieser Zugriff erfolgreich blockiert.
Wie sicherst du dein WordPress ab? Lass es mich in den Kommentaren wissen.
Leave a Comment