Du betrachtest gerade Cloudflare WordPress absichern

Cloudflare WordPress absichern

Mit Cloudflare WordPress absichern ist einfacher als du denkst. Doch „wp-admin“ alleine reicht nicht aus. So geht es !

Grundsätzlich gibt es zwei Wege, um die Administrationsbereiche von WordPress zu schützen. Beide Methoden haben spezifische Vor- und Nachteile – es hängt jedoch davon ab, welches Ziel du erreichen möchtest.

Cloudflare kann für diesen Zweck kostenlos genutzt werden, jedoch ist die Einrichtung eines Accounts erforderlich.

Um den kompletten Administrationsbereich von WordPress zu sichern und zu kontrollieren, solltest du dich auf die folgenden vier Punkte konzentrieren:

  • wp-admin
  • wp-login
  • xmlroc.php
  • admin-ajax.php

Weg 1: WAP | Web Application Firewall

Die WAP (Web Application Firewall) ermöglicht es dir, Anwendungen zu sperren und somit den Zugriff gezielt zu blockieren.

Um jedoch weiterhin auf deine WordPress-Anwendungen zugreifen zu können, musst du eine Regel erstellen, die dir diesen Zugriff erlaubt.

Üblicherweise geschieht dies durch das Freigeben bestimmter IP-Adressen. Bevorzugt wird hierbei die IPv6-Adresse, da diese in der Regel unverändert bleibt (oder unverändert bleiben sollte). Alternativ kann auch eine statische IPv4-Adresse genutzt werden.

Vorteil: Keine Verifizierung bei der Anmeldung

Nachteil: Zugriff nur wenn die Zugriffskriterien erfüllt werden.

Weg 2: Self-hosted Applikation

Mit einer Self-Hosted-Anwendung kannst du eine Vorab-Verifizierung einrichten, bevor du zum eigentlichen WordPress-Login gelangst. Hierbei verwenden wir eine Zwei-Faktor-Authentifizierung (2FA), die bereits vor dem Zugriff auf dein System – also noch auf der Ebene von Cloudflare – abgeschlossen werden muss.

Vorteil: Nur hinterlegten Benutzern ist es möglich durch die 2FA Authentifizierung zu kommen.

Nachteile: Je nach Einstellung, häufige Anmeldung, mit Email Code oder anderen Authentifizierung Methoden.

Allgemeines

Wir konzentrieren uns hier auf die zweite Methode, die Self-Hosted-Anwendung, da sie uns die Möglichkeit bietet, bestimmte Aufgaben auszulagern. Eine genaue Anleitung zur Einrichtung findest du im verlinkten Video.

Einen Link zur detaillierten Einrichtung eines Tunnels findest du weiter unten. Eine Lösung über VPN ist in diesem Zusammenhang nicht geeignet und daher nicht zu empfehlen. Bei Bedarf findest du jedoch auf meiner Homepage einen Beitrag zur Cloudflare-VPN-Einrichtung.

Video: Cloudflare WordPress absichern

Sprache: 🇩🇪
☝️ Benutze YouTube Untertitel für alle Sprachen.

Vorgehensweise zum Schutz von WordPress

Authentifizierung

Nach dem Einloggen bei Cloudflare wähle zunächst links „Zero Trust“ aus.

Gehe dann zu „Settings“ und überprüfe unter „Authentication“ die „Login methods“. Hier sollte „One-time PIN“eingestellt sein. Falls dies nicht der Fall ist, füge diese Methode hinzu. Alternativ kannst du auch eine andere Methode wählen, in diesem Leitfaden verwenden wir jedoch „One-time PIN“.

Applikation einrichten

Dein erster Schritt ist jetzt, „Applikation hinzufügen“ auszuwählen.

Verwende als Applikationsname für diese erste Anwendung „WP Admin Test“.

Anschließend gehst du zu „Erstelle weitere Regeln“.

Wähle bei „Selector“ die Option „Email“ und trage bei „Value“ alle E-Mail-Adressen ein, die berechtigt sein sollen. Mehrere E-Mail-Adressen können durch ein Komma „,“ getrennt werden.

… Speichern und Weiter mit „Next“ unten rechts.

Diese Seite mit CORS und und Cookie Settings kannst du übergehen.

… Speichern und Weiter mit „Next“ unten rechts.

Jetzt kehrst du zur Übersicht zurück, wo dir die Applikation „WP Admin Test“ angezeigt wird.

Du hast damit „wp-admin“ angelegt. Wiederhole diesen Vorgang für die drei weiteren Applikationen: „wp-login“„xmlrpc.php“ und „admin-ajax.php“. Danach sollten alle vier WordPress-Applikationen in der Übersicht angezeigt werden.

Stolperfalle !!!

Wenn du jetzt https://deine-domain.de/wp-admin aufrufst, erscheint das Cloudflare-Login-Fenster, wie im Video gezeigt.

Wenn du jedoch https://www.deine-domain.de/wp-admin aufrufst, gelangst du direkt zum WordPress-Login. Dies ist kein Fehler, sondern eine technische Begebenheit: Die Domain wird mit und ohne „www“ unterschiedlich behandelt.

Führe den Schritt „Applikation einrichten“ erneut durch und gib bei der „SUB Domain“ zusätzlich „www“ ein. Alle anderen Einstellungen bleiben gleich. Das Video kann dir hier möglicherweise eine zusätzliche Hilfestellung geben.

Nachdem du „wp-admin“ mit der Subdomain „www“ eingerichtet hast, wiederhole den Vorgang für die weiteren Applikationen: „wp-login“„xmlrpc.php“ und „admin-ajax.php“. Danach sollten alle vier WordPress-Applikationen in der Übersicht angezeigt werden.bekommen.

Der Funktionstest

Im Video wird auch die Verbindung getestet. Du kannst dort sehen, dass alles wie erwartet funktioniert.

Der Cloudflare Tunnel

In diesem Beitrag gehe ich nicht im Detail auf die Einrichtung des Tunnels ein, da du diesen normalerweise nicht benötigst – es sei denn, du hast noch keinen Tunnel eingerichtet. Eine ausführliche Anleitung zur Tunnel-Konfiguration findest du jedoch in diesem Artikel:

NAT? Deine WEB-Seite Hosten

Vergleichs Video mit dem Beispiel „Home Assistent“

Das vorherige Video bzw. der Beitrag bezieht sich auf dasselbe Thema, ist jedoch auf die Anwendung „Home Assistant“ausgerichtet und verwendet einen Tunnel. Dort kannst du ebenfalls noch wertvolle Informationen finden.

Cloudflare WEB Anwendungen absichern

Link zur Unterstützung / Spende für denn Kanal
PayPal Link
Überweisung, Bitcoin und Lightning

#Cloudflare #WEBsicherheit #WordPress #InternetSicherheit #Zugriffsschutz #Internet #Hosting #HostingSicherheit

Schlagwörter: , , , ,

Schreibe einen Kommentar