Настраиваем CloudFlare для защиты страницы авторизации
На сайте есть отличная статья от Ивана Зимина по настройке CloudFlare для фильтрации ботов.
При этом не всегда требуется настраивать кучу правил, ваш сайт может быть неинтересен поведенческим ботам, у сайта может быть небольшая роботность и т.д. Также нужно понимать, зачем вы фильтруете какой-либо трафик и нужно ли это сейчас вашему сайту.
Но если ваш сайт на wordpress (не только), к странице авторизации (wp-login.php) в круглосуточном режиме пытаются подобрать логин и пароль администратора. Это не зависит от посещаемости сайта, атакам массового перебора паролей подвергается любой сайт. Вы можете об этом и не знать. Выглядит так:
Серьёзной проблемы на самом деле нет, но это создаёт дополнительную нагрузку на сервер. Пресечь легко с помощью CloudFlare.
1. Переходим в раздел Security → WAF.
2. По кнопке + Create rule создаем новое правило
Созданное правило выглядит так:
Правило: (http.request.uri. path contains "/wp-login.php")
Если адрес страницы авторизации отличается, нужно заменить на фактический, который используется на защищаемом сайте.
Действие (Choose action): рекомендую использовать JS Challenge. Этого достаточно. Впрочем, возможно хоть полностью заблокировать доступ к этой странице.
3. Затем по кнопке Deploy применяете правило.
Можно и так, верно. Просто если вы подключаете сайт к cloudflare, необязательно сразу применять все правила про которые пишут. Достаточно закрыть админку. И мгновенно подключать новые при необходимости.
Зачем эти движения? Можно же тупо поменять страницу входа. Было /wp-login.php стало /hui-pizda и никаких проблем в левыми авторизациями.
Сюда же добавьте проверку при заходе на /wp-admin
Логичнее вместо JS использовать Managed Challenge.