国内的CDN虽然能抵御流量攻击,但是防御额度终究是有限的,并且还有不菲的费用,很多人选择使用CloudFlare,不但防御能力优秀,并且免费版不限流量额度。
经过多年的实操总结积累发现,无论是刻意的DDoS/CC攻击,大多数Web攻击都使用了境外IP作为代理,从而达到隐匿伪装的目的,由此可以得出结论只要屏蔽、拦截掉境外代理IP的恶意请求就会有非常大的改善,这也是可以通过WAF防御策略来完成的。
所以今天给大家分享一下自用的,也是自己多年来总结、分析、汇总出来的CloudFlare 缓存规则和 WAF 规则,对于提升网站速度、安全防御还是有些帮助的,国内使用上海云盾,海外使用CloudFlare,配置好WAF策略,你会发现wed、CC 攻击等等的数量下降了至少 90%以上。
上图是没有钱 CloudFlare 的缓存规则,可以说算是 WordPress 菜单标准 CloudFlare 缓存配置了,因为考虑到大多数人使用 CloudFlare CDN 主要是为了防御的,所以这个规则也开启了几乎所有有关安全的规则,安全级别都是最高的选择。
具体设置位置:域名——规则——页面规则,免费套餐只能设置三条规则哦!
这里主要是为了应对针对 WordPress 的 xmlrpc.php、wp-login.php、wp-cron.php 和 wp-admin 目录恶意请求的。针对 wp-cron.php 仅仅排除了自己服务器 IP,其他的一律禁止访问请求,毕竟定时任务还是需要正常运行的,特别是使用了缓存插件的,这点儿尤为重要。
可以看到针对 wp-admin 限定了仅限国内 IP 访问请求,因为发现不少恶意请求都是海外 IP,这样拦截基本可以阻止 90%以上的恶意请求,毕竟能用的国内 IP 是有限的。
具体设置位置:域名——安全性——WAF,免费套餐只能有 5 个自定义的 WAF 规则。
CloudFlare无论是免费版还是付费专业版,都不会限制流量额度,所以你攻击流量再大,都会尽全力帮你防御,又不额外收费。
CF的 WAF 规则就非常的丰富,比如五秒防CC盾,这个就能防住70%的攻击者,上述的规则只是根据日志分析总结出来的个别对待,经常分析自己网站的日志是很好的习惯,黑客在攻击之前,通常会使用扫描工具进行探索。