[網站] Cloudflare 快取設定,避免 WordPress 的「wp-admin/」被快取而造成資安漏洞!

就在昨天~分享上一篇文章的時候,小站竟然被花花挖到漏洞,不用帳號密碼直接進去後台…

真不愧是

黑客花花QAQ

這個問題真的非常危險,因為其他人可以直接看到管理帳號,以及裝了哪些外掛…等。後來直覺是快取的問題~把後台的快取外掛全部停用並清空快取資料夾,結果還是一樣可以任意檢視,搞了好久才發現是 Cloudflare Cache 的問題,去 Cloudflare 清快取後就正常了~

但這並非完美解決之道,一旦後台使用次數變頻繁,這個問題就會再度浮現。其實 Cloudflare 有提供額外的路徑設定,可以指定那些路徑使用哪些設定,這個功能就叫做 Page rules。

 

新增個別設定

Page rules 設定在新版控制界面登入後的最上面:

 

點進去以後可以看到 Add new rule ,這就是指定網頁路徑的地方,填入 http://domain/wp-* 並且將 Custom caching 設為 Bypass cacheAdd rule

 

如此一來,這些路徑就不會被 Cloudflare 給快取了,其他人就不會看到管理頁面了。

 

快取整個網站

設定例外的網址後,就可以設定快取整個網站了!這麼做的好處很多,一來可以加快瀏覽速度,也可以節省網站的流量,等於就是把檔案放在 CloudFlare 主機,速度很快很快。優點很多但也是有缺點,編輯過任何東西後需要到 CloudFlare 清除快取,不然更新完文章,瀏覽到的東西依舊會是更新前的舊內容,不過這可以靠 Sunny 外掛來達成自動清除快取的功能,基本上是沒有影響XD

Cache everything

 

此時此刻,WordPress 已經又快又安全囉!


See also

comments powered by Disqus