Mengamankan WordPress Dengan Firewall Rules Cloudflare

Mengamankan WordPress Dengan Firewall Rules Cloudflare – Pada tutorial kali ini ditujukan kepada pemilik situs atau blog dengan CMS WordPress yang sudah terintegrasi dengan Cloudflare untuk meningkatkan keamanan situs dari tangan jahil.

Keamanan blog dengan sangat penting bagi para pengguna blog dengan CMS WordPress yang memang sangat rentan dengan serangan.

Dengan memakai firewall rules Cloudflare khusus ditujukan untuk WordPress ini, kamu bisa mengamankan dan memblokir serangan sebelum sampai ke server.

Mengamankan WordPress

Pada firewall rules ini saya menggunakan dua rule yaitu memblokir akses admin dari IP address luar negri dan memblokir akses plugin dari luar.

Blokir Akses Admin

Kalau kamu memeriksa logs pada server pasti muncul banyak IP address yang mencoba melakukan akses pada file wp-login.php, xmlrpc.php.

Selain mengamankan file diatas kita juga akan mengamankan akses pada area admin yang ada pada bagian /wp-admin/.

Namun tidak semua bagian area admin kita blokir, karena file /wp-admin/admin-ajax.php harus bisa diakses dari luar dan /wp-admin/theme-editor.php akan terjadi error apabila tidak bisa diakses dari luar.

Baca juga: Cara Menggabungkan File PDF Menjadi Satu Halaman Tanpa Aplikasi

Masuk pada akun cloudflare kamu dan pilih domain yang ingin kamu terapkan rules ini.

Buka tab Firewall dan dibawahnya kamu akan melihat tab Firewall Rules, lalu tambahkan rules baru dengan klik Create a Firewall Rule.

Firewall rules wordpress

Klik pada tulisan Edit expression dan salin kode dibawah ini:

(http.request.uri.path contains "/xmlrpc.php") or (http.request.uri.path contains "/wp-login.php") or (http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains "/wp-admin/theme-editor.php" and ip.geoip.country ne "ID")

Dan pada action kamu pilih Block – selesai. Jangan lupa memberi nama untuk rules ini dan kamu bisa klik Deploy.

Pada rule diatas kamu akan memblokir IP Address selain Indonesia (ID) untuk melakukan akses pada file /xmlrpc.php, /wp-login.php, dan /wp-admin/, kecuali /wp-admin/admin-ajax.php dan /wp-admin/theme-editor.php.

Blokir Akses Plugin

Buat firewall baru dengan ikuti cara sebelumnya, skrip untuk Edit expression yang kita pakai yaitu:

(http.request.uri.path contains "/wp-content/plugins/" and not http.referer contains "ramitan.com" and not cf.client.bot)

Pada skrip diatas lakukan perubahan pada bagian yang saya bold sesuai dengan alamat situs kamu.

Firewall rule diatas akan memblokir akses langsung ke plugin WordPress tanpa memblokir Bot yang diperlukan seperti Google Crawler dan lain-lain.

Hasil

Ketika saya mencoba mengakses area admin dengan IP address luar negri menggunakan VPN:

Hasil Firewall Rules

Kamu belum menerapkan firewall rules pada cloudflare? segera gunakan dan amankan situsmu dari tangan-tangan jahat.

Komentar disini