我在 Wordpress 上为一家初创 SaaS 产品开发和管理一个小型促销/营销网站。我们将 Cloudflare 用于 DNS 等。显然 WAF 已打开,它使用代理并更改用户的 IP 地址。我正在尝试使用 IP 地址来过滤 Google Analytics 的“内部”流量,唯一可行的方法是关闭 WAF。如果不使用 WAF 会给我的网站带来任何重大风险,那么显然我需要另一种方法来做我的分析工作。阅读他们网站上提供的所有内容并不能让我清楚地了解它对于这样的网站有多么重要。如果任何“明白”的人有一些见解可以分享,我将不胜感激。谢谢!
【问题讨论】:
标签: wordpress security cloudflare web-application-firewall
您绝对应该使用 WAF - 它可以保护您的网站免受许多恶意机器人和攻击。
Wordpress 网站特别容易成为攻击者的目标,原因有很多:
默认安装 Wordpress 的安全性不是很好。
每个 Wordpress 网站都具有共同的默认功能,例如管理员登录页面的位置、管理员用户名和其他可利用资源。
Wordpress 非常流行,目前估计有三分之一的互联网网站使用。
Wordpress 被许多不知道如何正确保护其网站的小型企业和爱好者使用。
因此,攻击者可以很容易地在网络上搜索容易被黑客入侵的 Wordpress 网站。其他恶意活动通常在大多数 Wordpress 网站上轻松进行,例如垃圾评论或Denial of Service 攻击。
WAF 提供什么保护?
Cloudflare 和大多数其他高质量 WAF 可以配置为通过自动执行以下操作来保护您的网站:
如果您可以使用此保护,您没有理由不想启用它,Cloudflare 是该领域的行业领导者。
此外,我建议您研究如何通过 WAF 以外的方式更好地保护您的 Wordpress 网站 - 例如The Ultimate WordPress Security Guide
如何解决IP地址问题
Cloudflare 不会更改用户(客户端)的 IP 地址,而是充当代理。正如您所注意到的,您看到的 IP 地址不是客户端自己的,而是 Cloudflare 的一个。这对于 Cloudflare 如何保护您的网站至关重要,但这是使用任何类型的代理时的常见问题。
要在使用代理时获取正确的 IP 地址,您需要检查 X-FORWARDED-FOR 标头。您可能会将其视为一串以逗号分隔的 IP 地址,具体取决于用户在到达站点之前经过了多少代理。列表中的第一个是原始客户端 IP。
例如这里203.0.113.1是客户端的原始IP地址:
X-Forwarded-For: 203.0.113.1,198.51.100.101,198.51.100.102
文档:How does Cloudflare handle HTTP Request headers?
不管用户是否在代理后面,使用一个可以全面检查标头并为您提供原始客户端IP的最佳匹配的功能是很好的,这样您就可以保证它始终有效。
这是一个非常流行的 StackOverflow 问题:
What is the most accurate way to retrieve a user's correct IP address in PHP?
【讨论】: