Настраиваем CloudFlare для защиты страницы авторизации

На сайте есть отличная статья от Ивана Зимина по настройке CloudFlare для фильтрации ботов.

При этом не всегда требуется настраивать кучу правил, ваш сайт может быть неинтересен поведенческим ботам, у сайта может быть небольшая роботность и т.д. Также нужно понимать, зачем вы фильтруете какой-либо трафик и нужно ли это сейчас вашему сайту.

Но если ваш сайт на wordpress (не только), к странице авторизации (wp-login.php) в круглосуточном режиме пытаются подобрать логин и пароль администратора. Это не зависит от посещаемости сайта, атакам массового перебора паролей подвергается любой сайт. Вы можете об этом и не знать. Выглядит так:

Серьёзной проблемы на самом деле нет, но это создаёт дополнительную нагрузку на сервер. Пресечь легко с помощью CloudFlare.

1. Переходим в раздел Security → WAF.

2. По кнопке + Create rule создаем новое правило

Созданное правило выглядит так:

Правило: (http.request.uri. path contains "/wp-login.php")

Если адрес страницы авторизации отличается, нужно заменить на фактический, который используется на защищаемом сайте.

Действие (Choose action): рекомендую использовать JS Challenge. Этого достаточно. Впрочем, возможно хоть полностью заблокировать доступ к этой странице.

3. Затем по кнопке Deploy применяете правило.