Site icon Antonio Lamorgese

Cloudflare WAF: Metti in sicurezza il tuo sito web

Cloudflare WAF: Metti in sicurezza il tuo sito web

Gestisci un sito web WordPress? Allora la sicurezza dovrebbe essere la tua priorità numero uno. I siti web, in particolare quelli basati su WordPress, sono bersagli frequenti di attacchi informatici DDoS. La buona notizia è che puoi proteggerti facilmente utilizzando un Firewall WAF cioè un Web Application Firewall gratuito. Cloudflare WAF è quello che ti serve per mettere in sicurezza il tuo sito web. Cloudflare WAF ti offre un servizio online gratuito che ti permette di bloccare tutto il traffico dannoso prima che questo raggiunga il tuo sito web compromettendone definitivamente la funzionalità. È come avere un guardiano virtuale che controlli 24 ore su 24, 7 giorni su 7 eventuali accessi anomali sul tuo sito web.

In questo articolo, ti mostrerò come utilizzare Cloudflare WAF per proteggere il tuo sito web WordPress dagli hacker e da ogni eventuale accesso non autorizzato.

1. Perché utilizzare Cloudflare WAF?

Come ti ho già anticipato in questa guida, Cloudflare, è una vera e propria manna dal cielo per ogni sviluppatore di siti web. Esistono diversi motivi per utilizzare Cloudflare, infatti oltre a velocizzare un sito web Cloudflare offre tutto un insieme di servizi gratuiti che puoi utilizzare per mettere in sicurezza qualsiasi sito web. Cloudflare è il portale numero uno al mondo ed ha 3 ottime ragioni per esserlo tra cui:

a) È facile da usare. Non è necessario essere un esperto di sicurezza informatica per configurare e utilizzare Cloudflare.

b) È gratuito: Il piano gratuito di Cloudflare offre un’ampia gamma di funzionalità per la sicurezza del tuo sito web e la gestione della cache per migliorare le prestazioni delle tue pagine web.

c) È efficace. Il firewall WAF incluso in Cloudflare blocca miliardi di attacchi ogni giorno.

Ora vedremo nel dettaglio come funziona il firewall WAF di Cloudflare e come mettere in sicurezza il tuo sito web creando 3 semplici regole dall’interno della sua area di amministrazione.


Leggi anche: I segreti per velocizzare un sito web con Cloudflare


2. Come funziona Cloudflare WAF?

Cloudflare WAF funziona analizzando il traffico in entrata al tuo sito web e bloccando qualsiasi traffico che ritiene dannoso. Questo viene fatto utilizzando un set di regole che definiscono quali tipi di traffico sono consentiti e quali no. Cloudflare offre due tipi di regole che lo sviluppatore può creare per proteggere il suo sito web:

a) Regole predefinite: queste regole sono già configurate e proteggono da una varietà di attacchi comuni.

b) Regole personalizzate: puoi creare regole personalizzate per proteggere il tuo sito web da minacce specifiche.

Logicamente in questa guida vedremo come creare regole personalizzate per il tuo sito web e come impedire qualsiasi tipo di attacco hacker. Adesso scoprirai i passaggi necessari per creare 3 semplici regole WAF con Cloudflare per proteggere il tuo sito web.

3. Come creare regole WAF di protezione su Cloudflare

Prima di tutto è necessario accedere al tuo account Cloudflare, se non sai come fare leggi questa guida dove è spiegata dettagliatamente la procedura. Adesso clicca su questo link e raggiungi il portale Cloudflare per effettuare il login.

Effettua il login su Cloudflare
Effettua il login su Cloudflare

Dopo aver effettuato il login seleziona il sito web che desideri proteggere.

Seleziona il sito web da proteggere
Seleziona il sito web da proteggere

A questo punto all’interno del frame di sinistra sono presenti una serie di funzionalità, quella di nostro interesse è la funzionalità “Security”, quindi clicca sulla voce “Security” e successivamente sulla voce “WAF”.

Accedi alla funzionalità  WAF di Cloudflare
Accedi alla funzionalità WAF di Cloudflare

3.1 Impedire accessi non autorizzati da paesi esteri

Ora clicca sul pulsante “Create rule” per creare la tua prima regola di sicurezza su Cloudflare. Questa prima regola impedisce l’accesso alla pagina di amministrazione di WordPress da altri paesi, per cui al di fuori dell’Italia non è possibile accedere all’amministrazione del tuo sito web. Per fare questo imposta i campi così come riportato in figura.

Crea regola per impedire accessi non consentiti dall'estero
Crea regola per impedire accessi non consentiti dall’estero

Adesso non ti resta che impostare il tipo di blocco su “block” e premi il tasto “deploy” per finalizzare la regola WAF su Cloudflare.

Finalizza la regola appena creata su Cloudflare
Finalizza la regola appena creata su Cloudflare

Assicurati che la spunta “enabled” sia attiva per questa regola.

abilita regola WAF su cloudflare
abilita regola WAF su cloudflare

Da questo momento in poi non è più possibile accedere alla dashboard del tuo sito WordPress da paesi esteri. Ora però dobbiamo proteggere l’accesso al sito web anche da attacchi provenienti dall’Italia. Vediamo come…

3.2 Impedire accessi non autorizzati dall’Italia

Clicca sempre sul pulsante “Create rule” per creare la tua seconda regola di sicurezza su Cloudflare. Questa seconda regola impedisce l’accesso alla pagina di amministrazione di WordPress dall’Italia. Per fare questo imposta i campi così come riportato in figura.

Crea regola per impedire accessi non autorizzati dall'Italia
Crea regola per impedire accessi non autorizzati dall’Italia

Adesso non ti resta che impostare il tipo di blocco su “Managed Challenge” e premi il tasto “deploy” per finalizzare la regola WAF su Cloudflare. Il blocco “Managed Challenge” imposta una sfida, cioè, il sistema valuta automaticamente se si tratta di un accesso da bot oppure da utente chiedendo eventuale conferma all’accesso.

Imposta il tipo di blocco Managed Challenge per l'Italia
Imposta il tipo di blocco Managed Challenge per l’Italia

Da questo momento in poi è possibile accedere alla dashboard del tuo sito WordPress dall’Italia dopo che il sistema si sia accertato che si tratti di un utente e non di un bot.

3.3 Bloccare l’esecuzione di codice PHP se presente in URI

Cosa significa? Beh ricordi la famigerata function PHPeval”? Gli hacker utilizzano questa function PHP per eseguire codice passandolo nella Query String degli URL di accesso alle pagine web del tuo sito WordPress. Per impedire questo tipo di attacco devi creare un’altra regola WAF. Quindi clicca nuovamente sul pulsante “Create Rule” e crea una nuova regola come riportato in figura.

Bloccare esecuzione di codice maligno da query string
Bloccare esecuzione di codice maligno da query string

Con l’introduzione di quest’ultima regola il tuo sito web è protetto da accessi non autorizzati. La protezione di un sito web è una delle pratiche fondamentali che ogni sviluppatore dovrebbe mettere in atto. Infatti, come puoi vedere in figura, Cloudflare WAF ha già bloccato un accesso alla dashboard del mio portale dagli Stati Uniti. Questo utente ha tentato un accesso allo script “wp-login.php” per accedere in modo anomalo all’amministrazione del mio sito web. Per fortuna Cloudflare, grazie alle 3 regole che ti ho appena mostrato, è riuscito prontamente a bloccarlo impedendo eventuali danni.

Minaccia rilevata da Cloudflare
Minaccia rilevata da Cloudflare

Tieni presente che su Cloudflare è possibile creare anche altri tipi di regole, come ad esempio, la regola che limiti il numero di richieste che possono essere effettuate al tuo sito web ma questo lo vedremo più avanti.

4. Conclusione

Come hai potuto vedere, Cloudflare WAF, è uno strumento potente e facile da usare che può aiutarti a proteggere il tuo sito web WordPress da una varietà di minacce.

In questo articolo, ti ho mostrato come creare regole WAF con Cloudflare per proteggere il tuo sito web WordPress. Ti consiglio vivamente di attivare Cloudflare WAF e di configurare queste regole di base per proteggere il tuo sito web.

Ricorda, la sicurezza del tuo sito web è nelle tue mani! Usa Cloudflare WAF per dormire sonni tranquilli sapendo che il tuo sito web sarà sempre al sicuro!

Domande frequenti:

1. Cos’è Cloudflare WAF?

Cloudflare WAF è un servizio di sicurezza gratuito che aiuta a bloccare il traffico dannoso prima che raggiunga il tuo sito web WordPress. È come avere un vigile del fuoco virtuale che controlla 24 ore su 24, 7 giorni su 7 chi cerca di entrare nel tuo sito.

2. Come funziona Cloudflare WAF?

Cloudflare WAF analizza il traffico in entrata al tuo sito web e blocca qualsiasi traffico che ritiene dannoso. Questo viene fatto utilizzando un set di regole che definiscono quali tipi di traffico sono consentiti e quali no.

Exit mobile version