使用 Cloudflare 的 Page Rule 增强 WordPress 安全性和效能教学

使用 Cloudflare 的 Page Rule 增强 WordPress 安全性和效能教学

Copyright: asawinklabma / 123RF Stock Photo

相信使用 WordPress 架站的朋友一定都听过 Cloudflare,我也陆续写过几篇关于它的相关应用和教学,简单来说,Cloudflare 是一项整合网域名称解析、网站加速和安全防护等功能的超实用工具,它的内容传递网路特性可让网站在全世界各个地区都有相当好的连线速度。如果你正在起步,也正好使用 WordPress,那幺绝对推荐搭配 Cloudflare 使用,可让你的网站有加分效果,也省去很多麻烦。

在开始前,建议你可以先去阅读之前我写的这篇文章「Cloudflare 架站者必备免费 CDN、DNS 託管服务设定教学,网站载入加速、节省流量防止恶意攻击」,这篇是非常完整的 Cloudflare 使用教学和介绍。你也可以把 Cloudflare 单纯当成 DNS 代管而不启用 CDN 和 WAF 功能,这也是很多网站目前作法,从 DNSPerf 记录上显示出 Cloudflare 目前可能是世界数一数二快的 DNS Hosting 。

使用 WordPress + Cloudflare 建议搭配免费外挂程式,可一键为网站快速套用最佳化设定,省去手动调整时间(尤其又对于设定选项不那幺熟悉),如果你是使用 Cloudways 那就更好了,它们开发的免费轻量快取外挂 Breeze 也内建整合 Cloudflare 功能。

使用 Cloudflare 增强 WordPress 安全性和效能

本文要再来深入介绍如果你使用 WordPress 架站,在 Cloudflare 端应该可以做那些设定来增强你的 WordPress 安全性和效能,这里会用到的是「Page Rules」功能,免费方案可以加入最多三组,也能额外加价购买额度,不过如果付费升级 Pro 方案将有 20 组配额,对于一般网站来说应该很足够。

使用 Page Rules 增强网站安全性和效能

如果使用 Google 搜寻一下,国外网站会有不少教你如何利用 Cloudflare Page Rules 功能让网站变得更快的作法,不过作法众说纷纭,除非你非常有实验精神,那就可以花点时间去探究看看设定是不是确实有帮助。

在这里我会使用 Cloudflare 官方的最佳化方式,如果你有兴趣也可回到原网站看看教学影片,原则上免费方案只能设定三组 Page Rules,我会将最重要三个放在最前面,其他的项目就视个人需求调整。

STEP 1

开启登入 Cloudflare 后,从上方选单找到「Page Rules」,这可能也是使用者比较少会留意到的功能,接着就能点选「Create Page Rule」建立新的页面规则。

使用 Cloudflare 增强 WordPress 安全性和效能

STEP 2

Page Rule 是一个触发的机制,将触发网址设定进去,然后选择要执行的设定选项,如此一来 Cloudflare 就会自动处理。接下来我会介绍一些对于 WordPress 使用者有用的页面规则设定方式,请读者继续阅读下去(挑几个对自己有用的放到自己的 Cloudflare 设定中)。

使用 Cloudflare 增强 WordPress 安全性和效能

适用于 WordPress 的 Page Rule 列表

以下範例网址使用 example.com ,请视情况自行更改为你的网域名称。

1. 将所有流量重定向到 HTTPS 页面

网址部分输入 http://*example.com/* ,在底下的设定值选择「Always Use HTTPS」强制让所有走 http 协议的流量进入 https,这也是网站使用 SSL 加密后的必要工作。如果想知道要如何让 WordPress 加上绿色锁头,可参考「在 WordPress 设定 HTTPS,强制使用 SSL 安全加密协定教学」一文。

使用 Cloudflare 增强 WordPress 安全性和效能

2. 将 www 重新导向至 non-www 网址

如果你是使用裸域名(Naked domains)作网址,例如:example.com ,或曾经使用 www 子网域名称,必须将 www 的流量重新导向现有网址,可在网址输入 www.example.com/* ,底下设定值选择「Forwarding URL」及「301 – Permanent Redirect」,接着在目标网址输入 https://example.com/$1 。

这个作法可以避免搜寻引擎最佳化(SEO)中的多重内容问题。

使用 Cloudflare 增强 WordPress 安全性和效能

3. 保护 WordPress 登入页面

对 WordPress 来说最重要的就是控制台,要进入控制台之前必须经过登入步骤,因此登入页面也就成为许多骇客下手的目标,透过 Cloudflare 安全防护机制保护登入页面,减少被攻击造成损害的机会。若你想寻求更安全的防护机制,我推荐「启用 Jetpack 单一登入机制教学,让你的 WordPress 网站更安全(含两步骤验证)」会更一劳永逸。

设定方式很简单,在网址部分输入登入页面网址 example.com/wp-login.php* ,下方设定值选择「Security Level」再将防护等级调整到「High」。

使用 Cloudflare 增强 WordPress 安全性和效能

4. 保护 WordPress 控制台

前面提到登入页面很重要,其实 WordPress 控制台也很容易变成攻击下手目标,防护方式一样可透过 Page Rule 做到,网址部分输入 example.com/wp-admin* ,然后切换以下选项:

  • Security Level 改为 High 。
  • Cache Level 改为 Bypass ,不快取任何内容。
  • Disable Apps,停用 Apps。
  • Disable Performance,停用效能加速功能。

使用 Cloudflare 增强 WordPress 安全性和效能

5. 保护 XML-RPC

XML-RPC 是一项远端程式呼叫的协议,使用 HTTP 作为传送机制,如果你使用离线编辑器,通常是透过 XML-RPC 与你的 WordPress 网站连线、传递内容,但 XML-RPC 也就成为骇客和恶意攻击下手的目标之一,没用到建议就把它关掉吧!当然你可以直接透过 functions.php 将这个功能停用,或是从 .htaccess 写入阻挡连线请求的相关语法,亦能透过 Page Rule 功能将它引导到其他路径。

网址部分输入 example.com/xmlrpc.php* ,下方设定值选择「Forwarding URL」及「301 – Permanent Redirect」,接着在目标网址输入 https://example.com

使用 Cloudflare 增强 WordPress 安全性和效能

6. 强制 Cloudflare 快取图片档案

虽然 Cloudflare 本身就会快取静态档案(会被快取的档案类型),但我们还是可以透过一些设定强制让静态档案快取在各个节点,同时设定 Edge Cache TTL 也就是快取时间,这幺做将可以使图片载入速度更快(直接从 Cloudflare 节点提供档案,而不用回去原伺服器抓取资料),对于图片很多的网站来说非常有用。

设定方式为网址部分填入 example.com/wp-content/uploads* (你的图片上传路径,如果你不是让 WordPress 安装于根目录或有修改路径请自行调整),接着设定以下规则:

  • Browser Cache TTL 改为 a day 。
  • Cache Level 改为 Cache Everything 。
  • Edge Cache TTL 改为 a month 。

使用 Cloudflare 增强 WordPress 安全性和效能

7. 强制快取重要页面,网站出错时依然可用

接下来的功能不一定每个人都会用到,但 Cloudflare 官方最佳化教学提供了这个方法,我想如果你有多余的 Page Rule 额度或许可以试试看,把网站一些重要的页面(例如介绍、联络方式)加入强制快取的範围。因为 Cloudflare 预设情况下不会快取 HTML 格式档案,必须透过以下方式才能让页面被储存下来:

  • Browser Cache TTL 改为 a day 。
  • Always Online 改为 On 。
  • Cache Level 改为 Cache Everything 。
  • Edge Cache TTL 改为 a month 。

网址部分就设定成你要强制快取的页面即可,例如:example.com/about

使用 Cloudflare 增强 WordPress 安全性和效能

总结

以上是 Pseric 最近又重新研究 WordPress 搭配 Cloudflare 架站的一些小小心得。

就如同前文所述,在网路上有许许多多、数不尽的 Cloudflare 设定方法,但要听信谁说的好像又没一个準则,通常这种情况直接看官方文件大概八九不离十。当然官方提供的教学是普遍适合大多数网站的方法,但能不能适合你我想也不一定,这时候不妨发挥自架站的精神,好好彻底研究一下 Cloudflare 吧!Cloudflare 是一个非常强大的服务(工具),如果能够善加利用将有助于你的架站之路更加顺畅。

赞 (0) 打赏

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

取消

我们发现您正在使用 AdBlock Plus 或者其他 ABP 类软件屏蔽了广告。本站没有任何互动、动画、讨厌的声音或弹出广告,我们不做这些讨厌的类型的广告!请把 ddmf.net 加入到你的AdBlock Plus软件白名单,万分感谢!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

Powered by 江南品味,分享从这里开始,精彩与您同在