На сайте есть отличная статья от Ивана Зимина по настройке CloudFlare для фильтрации ботов.
При этом не всегда требуется настраивать кучу правил, ваш сайт может быть неинтересен поведенческим ботам, у сайта может быть небольшая роботность и т.д. Также нужно понимать, зачем вы фильтруете какой-либо трафик и нужно ли это сейчас вашему сайту.
Но если ваш сайт на wordpress (не только), к странице авторизации (wp-login.php) в круглосуточном режиме пытаются подобрать логин и пароль администратора. Это не зависит от посещаемости сайта, атакам массового перебора паролей подвергается любой сайт. Вы можете об этом и не знать. Выглядит так:
Серьёзной проблемы на самом деле нет, но это создаёт дополнительную нагрузку на сервер. Пресечь легко с помощью CloudFlare.
1. Переходим в раздел Security → WAF.
2. По кнопке + Create rule создаем новое правило
Созданное правило выглядит так:
Правило: (http.request.uri. path contains "/wp-login.php")
Если адрес страницы авторизации отличается, нужно заменить на фактический, который используется на защищаемом сайте.
Действие (Choose action): рекомендую использовать JS Challenge. Этого достаточно. Впрочем, возможно хоть полностью заблокировать доступ к этой странице.
3. Затем по кнопке Deploy применяете правило.
Можно и так, верно. Просто если вы подключаете сайт к cloudflare, необязательно сразу применять все правила про которые пишут. Достаточно закрыть админку. И мгновенно подключать новые при необходимости.
Зачем эти движения? Можно же тупо поменять страницу входа. Было /wp-login.php стало /hui-pizda и никаких проблем в левыми авторизациями.
Сюда же добавьте проверку при заходе на /wp-admin
Логичнее вместо JS использовать Managed Challenge.