Kategoriler
WordPress

Cloudflare ile WordPress güvenliği

Cloudflare Firewall ile WordPress sitenizi korumaya alın.

  • Volkan Yılmaz
  • Yazı tarihi 8 Şubat 2021
Cloudflare Firewall Nasıl Çalışır?
Cloudflare Firewall Nasıl Çalışır?

Bazılarınızın bildiği gibi bazı markaları çok seviyorum; Google, Apple, Xiaomi, WordPress vs. Bu sevilen marka veya hizmetlere kesinlikle Cloudflare da dahil olmalı çünkü ücretsiz olarak o kadar kaliteli ve geniş bir hizmet veriyor ki gerçekten sloganlarında olduğu gibi “At Cloudflare, we have our eyes set on an ambitious goal — to help build a better Internet.” yönünde çalışıyorlar.

Cloudflare’i web siteniz için kullanmak size birçok fayda sağlar, bunlardan bir tanesi de güvenlik/Firewall. Cloudflare Firewall ile kendi web sunucunuza/hostinginize daha az yük gelmesini sağlayacağınız için barındırma maliyetiniz de düşecektir, yani yüksek seviye bir hsoting paketine ayda 50-100 dolar vermek yerine Cloudflare kullanarak sitenizi en ekonomik hosting çözümünde sorunsuz çalıştırma imkanına sahip olabilirsiniz. Tüm siteniz ve alt alan adları için ücretsiz SLL, CDN, Cache ve sayamamağım kadar çok muhteşem hizmet de cabası.

What is a WAF? – Cloudflare

Siteniz WordPress ise Cloudflare Firewall ayarlarınız için aşağıdaki önerilerimi uygulayabilirsiniz.

  1. Öncelikle wp-login ve /wp-admin/ dizinini ve wp-login.php dosyaınızı korumaya alın, bunun için aşağıdaki kuralı Cloudflare Firewall Rules olarak eklemeniz yeterli, bu kural Türkiye harici bir yerden sitenizin admin paneline girişi kapatır:
(http.request.uri contains "/wp-login.php" 
and 
not ip.geoip.country ne "TR") 
or (http.request.uri contains "/wp-admin/" 
and 
not ip.geoip.country ne "TR")

Veya dilerseniz aşağıdaki gibi ASN numarası ekleyerek örneğin Turkcell ve Superonline harici bağlantılar da kapatmanız mümkün:

(http.request.uri contains "/wp-login.php" 
and 
not ip.geoip.asnum in{34984 16135}) 
or (http.request.uri contains "/wp-admin/" 
and 
not ip.geoip.asnum in{34984 16135})
Cloudflare Firewall Rule for WordPress Admin
Cloudflare Firewall Rule for WordPress Admin

Birden fazla ülke, birden fazla ASN ve ip adresi eklenebilir, hem engellemek hem de izin vermek için.

  1. İkinci olarak ihtiyaçlarınıza göre aşağıdaki kuralları da kullanabilirsiniz:
(http.request.uri contains "/tmp/") 
or (http.request.uri contains ".aspx") 
or (http.request.uri contains ".git") 
or (http.request.uri contains ".env") 
or (http.request.uri contains ".bak") 
or (http.request.uri contains ".ini") 
or (http.request.uri contains ".log") 
or (http.request.uri contains ".tmp") 
or (http.request.uri contains ".tar") 
or (http.request.uri contains "/wp-config/") 
or (http.request.uri contains "_fragment") 
or (http.request.uri contains "xmlrpc.php") 
or (http.request.uri contains "wlwmanifest.xml") 
or (http.request.uri contains "/log/") 
or (http.request.uri contains "/logs/") 
or (http.request.uri contains "error_log.php") 
or (http.request.uri contains "phpini.php") 
or (http.request.uri contains "wp-comments-post.php") 
or (http.request.uri contains "wp-register.php") 
or (http.request.uri contains "wp-settings.php") 
or (http.request.uri contains "wp-config.php") 
or (http.request.uri contains "wp-mail.php") 
or (http.request.uri contains "wp-load.php") 
or (http.request.uri contains "wp-links-opml.php") 
or (http.request.uri contains "wp-blog-header.php") 
or (http.request.uri contains "wp-activate.php") 
or (http.request.uri contains "wp-trackback.php") 
or (http.request.uri contains "wp-cron.php")
  1. Son olarak Cloudflare Dashbboard’da /firewall/tools sayfasında “IP Access Rules” bölümüne varsa kendi Statik IP adresinizi, kullandığınız sunucunun IP adresini ve Belirlediğiniz ülke, ASN vs. IP adresini yazarak Allow verirseniz yukarıdaki Cloudflare Firewall Rules yazdığınız tüm kurallardan etkilenmeyecek şekilde ayarlamış olursunuz.,
Cloudflare Firewall Rules Tools
Cloudflare Firewall Rules Tools

Cloudflare ücretsiz hesaplarda toplamda 5 firewall rules kullanmanıza olanak verir, Pro ve üst seviye hesaplarda sınırsız ve Regex2de kullanılabilmektedir. Eklediğinmiz kuralların istatistiğini ayrıca görebildiğiniz gibi dilerseniz açıp kapatabilirsiniz, ekran görüntüsü aşağıdadır:

Cloudflare Firewall Rules
Cloudflare Firewall Rules

Benim önerdiklerim bu kadar, daha fazlası için https://turbofuture.com/internet/Cloudflare-Firewall-Rules-for-Securing-WordPress adresinde Andrew Po’nun makalesine ve https://www.cloudflare.com/learning/ddos/glossary/web-application-firewall-waf/ da yardım makalelerine bakabilirsiniz.

Cloudflare WAF: Product Demo

Cloudflare ve WordPress konusunda yardım almak için bana ulaşabilirsiniz, WordPress sitenizin maksimum hızlı çalışması, hataların giderilmesi vs. tüm konularda bana Twitter’dan hızlıca ulaşmanız mümkün.

Cloudflare’ın WordPress eklentisini kullanarak diğer özelliklerinden de maksimum fayda sağlayabilirsiniz, özellikle Cache ve Optimize konusunda oldukça başarılı ve sitenizi inanılmaz hızlı hale getirebilir.

Ayrıca Cloudflare konusunda şunlara da bakın:

Cloudflare ile sayfa yönlendirmeleri kullanmak
Cloudflare ile sayfa yönlendirmeleri kullanmak
Cloudflare ile HSTS
Cloudflare ile HSTS
Cloudflare WARP VPN
Cloudflare WARP VPN

Başka WordPress Güvenlik makalelerim:

WordPress güvenlik ve performans (2021)
WordPress güvenlik ve performans [2021]
WordPress versiyonunu gizlemek
WordPress versiyonunu gizlemek
Yönetici harici WordPress Admin panelini yasaklamak
Yönetici harici WordPress Admin panelini yasaklamak
WordPress Security – Güvenlik
WordPress Security – Güvenlik

Kolay gelsin.