Dùng Cloudflare Để Bảo Mật Cho Website

Hôm nay mình mới chuyển song website lên vp từ hosting được donate. Khi chuyển thì mình chọn dùng nginx và thế là các thiếp lập cũ dựa trên apache trở lên vô dụng, chuyển qua nginx config thì gặp lỗi,

Sau một thời gian loay hoay mình thôi quyết định viết rule của cloudflare để tiến hành set chặn các quyền truy cập vào các thư mục nhạy cảm...

Đầu tiên mình set chặn ip vào wp-admin các bạn vào mục firewall tạo rule và chọn Edit expression

Sau đó các bạn điền đoạn code sau

Các bạn chú ý thay đổi 127.0.0.1 thành IP của bạn

Sau khi set song thì gặp vấn đề với ajax.hix cái này khá khoai khi nó cũng nằm trong thư mục wp-admin cũng dính block có thể dính lỗi cho người dùng giờ chúng ta phải giải quyết nó cách đơn giản nhất là chúng ta bỏ chặn nó bằng viết cho nó 1 cái rule nữa với nội dung như sau

và chọn action là js challenges hoặc alow thì tùy bạn sau đó lưu lại

Vậy là đã cấu hình song wp-admin giờ chúng ta cần phải xử lý file trong thư mục upload để tránh các file không phải ảnh chạy trong đó như php....

Chúng ta tạo 1 rule mới với nội dung như sau

Giờ các bạn có thể test thoải mái!

Update: Thêm code chống bruteforce password cho các bạn

Thay VN SG thành quốc gia bạn muốn thì bạn sẽ hạn chê được bruteforce password từ các tools của tụi nước ngoài hay cắm như khựa chả hạn!

Lưu ý: Nói là chặn tuy nhiên cái này chặn được người ngay không chặn được người gian. nghĩa là nếu IP sau clouflare của bạn bị lộ thì firewall này vô hiệu với user đó, thế nên hãy che kín cẩn thận IP của server cho đỡ bị scan và an toàn.