• Cloudflare Logo

Cloudflare mit WordPress

Von |2018-07-02T16:14:48+00:00Juli 1st, 2018|Allgemein|0 Kommentare

Der Dienstleister Cloudflare ist eigentlich gestartet, um koordinierte Angriffe (sogenannte DDoS-Attacken) auf Webseiten zu verhindern. Neben der Erhöhung der Performance erhält man für jede Webseite ein kostenloses SSL Zertifikat und einen Performance-Schub dazu. Im Professional Paket für $20/Monat/Domain ist eine Web Application Firewall (WAF) enthalten, der sich perfekt zu Wordfence ergänzt oder diesen ersetzt. Wer sich die Umstellung von Mixed Content (siehe unten den Bereich Testen) sparen möchte, kann Cloudflare vor die Website schalten und sie ist automatisch komplett verschlüsselt. Das Data Processing Addendum (AVV-Vertrag) kann man online unter Account Home/Configurations einfach abschließen. Aus Sicht der DSGVO ist CloudFlare nicht nötig, hilft jedoch Sicherheit und Geschwindigkeit des Blogs sicherzustellen und die zwingend nötige SSL Verschlüsselung umzusetzen.

Konfiguration von Cloudflare (Originaltexte u.a. hier, hier, hier und hier)

Im Tab Crypto:

  • SSL auf Flexible, wer kein sauberes Zertifikat auf der Homepage laufen hat, ansonsten Full wählen
  • Always use HTTPS, Opportunistic Encryption und Automatic HTTPS Rewrites einschalten

Im Tab Firewall:

  • Rate Limiting aktivieren – hierfür muss eine Kreditkarte hinterlegt werden. Es sind jedoch 10.000 erfolgreiche Aufrufe der Rule enthalten, es wird also nichts kosten (blockierte Aufrufe zählen nicht)
    Protect Your Login wählen und https: //www.EIGENE-DOMAIN.de/wp-logineingeben
  • Security Level: Medium
  • Bei Professional Plan: Web Application Firewall einschalten, Package: OWASP ModSecurity Core Rule Set auf Medium, dort Show Rules und auf Seite 2 Rules to detect attacks on WordPress. einschalten

Im Tab Speed:

  • Auto Minify: alle drei einschalten, läuft bis jetzt bei allen Seiten ohne Probleme
  • Professional Plan: Polish einschalten, Lossless oder Lossy nach Geschmack wählen
  • Brotli, Mirage, Rocket Loader einschalten.

Im Tab Cache:

  • Caching Level: Standard
  • Always Online einschalten

Im Tab Pages Rules: (mehr Infos hierzu)

  • eine Rule für die URL https://EIGENE-DOMAIN.de/wp-admin/* mit den Settings Security Level: High, Cache Level: Bypass, Disable Apps und Disable Performance hinzufügen
  • zwei Rules hinzufügen mit der folgenden URL
    https://EIGENE-DOMAIN.de/wp-*
    Die Rules mit Cache Level auf Cache Everything eintragen
  • mit der dritten Rule die Login-Seite absichern (nur nötig, wenn wie oben beschrieben über Firewall gemacht)
    https://EIGENE-DOMAIN.de/wp-login*
    Diese Rule mit Security Level: High und Cache Level: Bypass
    Ganz wichtig: Die Rule mit wp-admin muss vor der zweiten Rule laufen, damit die Admin-Seiten nicht gecacht werden und der normale Nutzer plötzlich eine Admin-Bar sieht.

Auf SSL umleiten

Um die gesamte Seite per SSL erreichbar zu machen, reicht es im Dashboard Always Use HTTPS einzuschalten. Wer dies nicht nutzen möchte oder nur Teile der Seite auf SSL umstellt, nutzt eine Page Rule (Quelle):

http://*EIGENE-DOMAIN.de/*

Mit der Rule Always use HTTPS . Nachteil dieser Lösung: Im freien Account sind nur drei Pagerules möglich und die werden oft für anderes gebraucht.

Wer Mixed Content (das sind Abrufe von unverschlüsselten Ressourcen auf einer grundsätzlich verschlüsselten Seite) hat und das nicht an der Quelle beseitigen möchte, kann Automatic HTTPS Rewrites im Crypto Tab einschalten.

Cloudflare mit Themeco X oder Pro Theme

Wer WordPress und von Themeco das X oder Pro Theme und gleichzeitig CloudFlare mit Rocket Loader nutzt, sollte eine PageRule mit https://EIGENE_DOMAIN.de/x/* und Disable Performance einrichten, damit der PageBuilder geht.

Cloudflare mit Wordfence

Wer Wordfence benutzt kann unter Wordfence/All Options/Use the Cloudflare "CF-Connecting-IP" HTTP header to get a visitor IP. Only use if you're using Cloudflare einschalten.

Tipp: Wer die Optionen unter Wordfence nicht speichern kann, muss in Cloudflare den Rocket Loader abschalten bzw. eine passende Page-Rule dafür anwenden (siehe Cloudflare-Teil).

DSGVO Konformität

Der Auftragsverarbeitungsvertrag von Cloudflare befindet sich auf derInfoseite und ist seit Juni 2018 auch Online abschließbar

Hinterlassen Sie einen Kommentar

Newsletter zum Thema Orientierung in der digitalen Welt


Inhalt, Datenschutz, Analyse und Widerruf