Cloudflare Logo

Cloudflare mit WordPress

Inhaltsverzeichnis

Cloudflare mit WordPress


Der Dienstleister Cloudflare ist eigentlich gestartet, um koordinierte Angriffe (sogenannte DDoS-Attacken) auf Webseiten zu verhindern. Neben der Erhöhung der Performance erhält man für jede Webseite ein kostenloses SSL Zertifikat und einen Performance-Schub dazu. Im Professional Paket für $20/Monat/Domain ist eine Web Application Firewall (WAF) enthalten, der sich perfekt zu Wordfence ergänzt oder diesen ersetzt. Wer sich die Umstellung von Mixed Content (siehe unten den Bereich Testen) sparen möchte, kann Cloudflare vor die Website schalten und sie ist automatisch komplett verschlüsselt. Das Data Processing Addendum (AVV-Vertrag) kann man online unter Account Home/Configurations einfach abschließen. Aus Sicht der DSGVO ist CloudFlare nicht nötig, hilft jedoch Sicherheit und Geschwindigkeit des Blogs sicherzustellen und die zwingend nötige SSL Verschlüsselung umzusetzen. Mehr Informationen um ein WordPress Blog DSGVO konform zu gestalten gibt es im Artikel DSGVO für WordPress Praktiker.

Update vom 2. Februar 2020

Konfiguration von Cloudflare (Originaltexte u.a. hier, hier, hier und hier)

Im Tab Crypto:

  • SSL auf Flexible, wer kein sauberes Zertifikat auf der Homepage laufen hat, ansonsten Full wählen
  • Always use HTTPS, Opportunistic Encryption und Automatic HTTPS Rewrites einschalten

Im Tab Firewall:

  • Rate Limiting aktivieren – hierfür muss eine Kreditkarte hinterlegt werden. Es sind jedoch 10.000 erfolgreiche Aufrufe der Rule enthalten, es wird also nichts kosten (blockierte Aufrufe zählen nicht)
    Protect Your Login wählen und https: //www.EIGENE-DOMAIN.de/wp-logineingeben
  • Security Level: Medium
  • Bei Professional Plan: Web Application Firewall einschalten, Package: OWASP ModSecurity Core Rule Set auf Medium, dort Show Rules und auf Seite 2 Rules to detect attacks on WordPress. einschalten

Im Tab Speed:

  • Auto Minify: alle drei einschalten, läuft bis jetzt bei allen Seiten ohne Probleme
  • Professional Plan: Polish einschalten, Lossless oder Lossy nach Geschmack wählen
  • Brotli, Mirage, Rocket Loader einschalten

Im Tab Cache:

  • Caching Level: Standard
  • Always Online einschalten

Im Tab Pages Rules: (mehr Infos hierzu)

  • eine Rule für die URL https://EIGENE-DOMAIN.de/wp-admin/* mit den Settings Security Level: High, Cache Level: Bypass, Disable Apps und Disable Performance hinzufügen
  • zwei Rules hinzufügen mit der folgenden URL
    https://EIGENE-DOMAIN.de/wp-*
    Die Rules mit Cache Level auf Cache Everything eintragen
  • mit der dritten Rule die Login-Seite absichern (nur nötig, wenn nicht wie oben beschrieben über Firewall gemacht)
    https://EIGENE-DOMAIN.de/wp-login*
    Diese Rule mit Security Level: High und Cache Level: Bypass
    Ganz wichtig: Die Rule mit wp-admin muss vor der zweiten Rule laufen, damit die Admin-Seiten nicht gecacht werden und der normale Nutzer plötzlich eine Admin-Bar sieht.

Auf SSL umleiten

Um die gesamte Seite per SSL erreichbar zu machen, reicht es im Dashboard Always Use HTTPS einzuschalten. Wer dies nicht nutzen möchte oder nur Teile der Seite auf SSL umstellt, nutzt eine Page Rule (Quelle):

http://*EIGENE-DOMAIN.de/*

Mit der Rule Always use HTTPS . Nachteil dieser Lösung: Im freien Account sind nur drei Pagerules möglich und die werden oft für anderes gebraucht.

Wer Mixed Content (das sind Abrufe von unverschlüsselten Ressourcen auf einer grundsätzlich verschlüsselten Seite) hat und das nicht an der Quelle beseitigen möchte, kann Automatic HTTPS Rewrites im Crypto Tab einschalten.

Cloudflare mit Elementor Page Builder

Der Elementor Page Builder ist ein sehr guter Page Builder für WordPress. Wer den Rocket Loader nutzt, erhält beim Aufruf der Seite mit dem Elementor die Fehlermeldung „Die Vorschau konnte nicht geladen werden“. Die Lösung ist eine Page Rule, die den Rocket Loader im Zusammenhang mit Elementor abschaltet: https://EIGENE_DOMAIN.de/*elementor* und Disable Performance.

Cloudflare mit Divi

Der Divi Visueller Builder bleibt beim laden hängen, wenn bei Cloudflare alle Performance-Optionen aktiviert sind. Die Lösung ist auch hier eine Page Rule https://EIGENE _DOMAIN.de/*PageSpeed=off und Cache Level: Bypass, Disable Performance

Cloudflare mit Themeco X oder Pro Theme

Wer WordPress und von Themeco das X oder Pro Theme und gleichzeitig CloudFlare mit Rocket Loader nutzt, sollte eine PageRule mit https://EIGENE_DOMAIN.de/x/* und Disable Performance einrichten, damit der PageBuilder geht.

Cloudflare mit Wordfence

Wer Wordfence benutzt kann unter Wordfence/All Options/Use the Cloudflare "CF-Connecting-IP" HTTP header to get a visitor IP. Only use if you're using Cloudflare einschalten.

Tipp: Wer die Optionen unter Wordfence nicht speichern kann, muss in Cloudflare den Rocket Loader abschalten bzw. eine passende Page-Rule dafür anwenden (siehe Cloudflare-Teil).

DSGVO Konformität

Der Auftragsverarbeitungsvertrag von Cloudflare befindet sich auf der Infoseite und ist seit Juni 2018 auch Online abschließbar

2 Kommentare zu „Cloudflare mit WordPress“

  1. Pingback: Wordpress Performance Mythen mit modernen Servern

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen