[網站] Cloudflare 快取設定,避免 WordPress 的「wp-admin/」被快取而造成資安漏洞!

就在昨天~分享上一篇文章的時候,小站竟然被花花挖到漏洞,不用帳號密碼直接進去後台…真不愧是黑客花花QAQ

這個問題真的非常危險,因為其他人可以直接看到管理帳號,以及裝了哪些外掛…等。後來直覺是快取的問題~把後台的快取外掛全部停用並清空快取資料夾,結果還是一樣可以任意檢視,搞了好久才發現是 Cloudflare Cache 的問題,去 Cloudflare 清快取後就正常了~

但這並非完美解決之道,一旦後台使用次數變頻繁,這個問題就會再度浮現。其實 Cloudflare 有提供額外的路徑設定,可以指定那些路徑使用哪些設定,這個功能就叫做 Page rules。

 

新增個別設定

Page rules 設定在新版控制界面登入後的最上面:

 

點進去以後可以看到 Add new rule ,這就是指定網頁路徑的地方,填入 http://domain/wp-* 並且將 Custom caching 設為 Bypass cacheAdd rule

 

如此一來,這些路徑就不會被 Cloudflare 給快取了,其他人就不會看到管理頁面了。

 

快取整個網站

設定例外的網址後,就可以設定快取整個網站了!這麼做的好處很多,一來可以加快瀏覽速度,也可以節省網站的流量,等於就是把檔案放在 CloudFlare 主機,速度很快很快。優點很多但也是有缺點,編輯過任何東西後需要到 CloudFlare 清除快取,不然更新完文章,瀏覽到的東西依舊會是更新前的舊內容,不過這可以靠 Sunny 外掛來達成自動清除快取的功能,基本上是沒有影響XD

Cache everything

 

此時此刻,WordPress 已經又快又安全囉!

關於 富源

一名台東大學資訊工程學系的學生,這個網站用來紀錄一些不常用,但很重要、會忘記的事情。我的興趣是寫一些實用向的程式,例如 Python 爬蟲之類的東西... 歡迎各位交流!

4 Comments

  1. 您好,謝謝你的文章:)很詳細的說明

    想請教您,我用了CloudFlare 在 WordPress 的網站後,前台網頁讀取速度快很多,
    唯一的問題是 wp-admin 頁面速度變得很慢,有時甚至沒回應
    不知道版主有沒有遇過一樣的問題呢…

    另外您說的整體只需要一個Rule是指留下 bypass caching wp-admin 這一個嗎?

    1. 是的, 不過這樣子的話, 決定頁面是否獲快取要靠 CloudFlare 去決定了
      變很慢的問題, 可能是主機速度不足..或是路由問題, 會影響的因素太多了, 實在難以判斷

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *