URL Site CloudFlare จัดการ URL ของ Website ด้วย Cloud Flare Page Rules เพื่อยกระดับความปลอดภัยให้ Web Site หรือ WordPress Blog ของเราให้ปลอดภัยมากยิ่งขึ้น ซึ่งในบทความนี้ทาง IndyDiary.com จะมาแนะนำการใช้งาน Page Rules เพื่อจัดการ URL ของเว็บไซต์เราให้มีความปลอดภัยมากขึ้น และ ที่สำคัญ Cloud Falre ให้ใช้งานได้ฟรีด้วย
บทความนี้เดินทางมาถึง EP8 แล้ว โดยเนื้อหาจะเขียนเกี่ยวกับการจัดการ Page Rules และในบทควาที่แล้วทางอินดี้เขียนขึ้น เกี่ยวกับ เรื่อง CloudFlare Caching Web จัดการแคชในคลาวแฟร์ EP7 ลองไปอ่านเพิ่มเติมกันได้
URL Site CloudFlare และ Page Rules
เป็นการควบคุม URL ของเว็บไซต์เราด้วยการตั้งค่าที่ฝั่ง คลาวแฟร์ เมื่อมีผู้เข้ามาใช้งานผ่าน URL ที่เรากำหนดไว้ และ เมื่อเกิดเหตุการณ์ผิดปกติเกิดขึ้น ทางบริการของ คลาวแฟร์ จะช่วยทำอะไรบางอย่างเพื่อช่วยป้องกัน Website หรือ WordPress Blog ของเราปลอดภัยมากยิ่งขึ้น
ข้อจำกัดของ Page Rules บน Account แบบฟรี คือ สามารถตั้งคา Page Rules ได้แค่ 3 Page Rules เท่านั้นดังนั้นการตั้งค่าต้องคิดให้ดี แต่หากใครใช้ WordPress อย่างเว็บของอินดี้ แค่นี้ก็เพียงพอแล้ว ซึ่งการตั้งค่า Page Rules จะต่างกับการตั้งค่า Firewall แนะนำให้ไปอ่านบทความเกี่ยวกับ Firewall เพิ่มเติม Firewall Cloud Flare บริหารจัดการ Firewall ฟรี EP5 โดยทางอินดี้จะยกตัวอย่าง Page Rule ที่ทางอินดี้ใช้งานละกัน
URL Site CloudFlare และ Always Use HTTPS
กรณีมีผู้เยี่ยมยมเข้าเว็บของเรามาจากอินเตอร์เน็ตโดยพิมพ์คำว่า “www.indydiary.com” เจ้า URL Page Rules จะทำหน้าที่บังคับให้ URL ของอินดี้เป็น “https://www.indydiary.com” โดยอัตโนมัติ และ ถามว่าใน WordPress ก็มี Plugins ยอดฮิตอย่าง “Really simply plugins” ที่ทำหน้าที่ Redirect เป็น HTTPS อยู่แล้ว และทำไมยังต้องใช้ Cloud Flare Page rules คำตอบก็คือ การที่ คลาวแฟร์ อยู่ข้างหน้าเว็บเรา ทำให้ถูกบังคับให้ใช้ HTTPS ก่อนจะมาถึง Server เรา ซึ่งมีข้อดีพอะฺบายได้ดังนี้
- บังคับให้ Web เป็น HTTPS ก่อนถึง Server
- ช่วยลดภาระของ Server ในการ Redirect HTTPS กรณีคนเข้ามาเยอะๆ
- เพิ่มความปลอดภัยให้กับ Website มากขึ้นเพราะ ถูกบังคับ HTTPS มาตั้งแต่ DNS
- ทางอินดี้แนะนำให้ใช่คู่กับ WordPress Plugins Really simply plugins
โดยขั้นตอนการสร้าง Page Rule : Always Use HTTPS ทางอินดี้อธิบายการทำดังนี้
- Cloud Flare Portal > Page Rules > Create Page Rule ดังรูปด้านล่าง
- ยกตัวอย่างการ Create Page rule : Always Use HTTPS และ อธิบายรายละเอียดต่างๆด้านล่าง
- กำหนดให้ URL มีการใส่เครื่องหมาย * หมายถึง มาจาก URL ไหนก็ได้ หรือ เป็น Sub Domain ก็ได้
- Then The setting are: SSL > Strict กรณีนี้ทางอินดี้ใช้ SSL ของ Cloud Flare เลยกำหนดแบบนี้ หากใครสนใจ SSL ของ Cloud Flare ไปหาอ่านได้ในบทความเก่าๆ
- กรณีใช้ SSL เจ้าอื่นแนะนำให้เหลือก Then The setting are: Always Use HTTPS
- ทำการกด Save and Deploy ก็เรียบร้อย
Security Level: I’m Under Attack
เป็นที่ทราบกันดีอยู่แล้วว่า คลาวแฟร์ มีบริการ DDOS มาให้ด้วย และ หากเรากลัวว่า Website ของเราจะโดน Hack เราสามารถเปิดโหมด Security Level: I’m Under Attack ซึ่งจะเป็นการป้องกันการเข้ามาพยายาม DDOS หรือ พยายาม Login หน้า Admin ของเว็บเราได้เป็นอย่างดี ใครเคยใช้ คลาวแฟร์ หรือ เคยเข้าเว็บที่ใช้ คลาวแฟร์ น่าจะเจอกับรูปนี้ประจำ
หากใครเคยเจอหน้าแบบนี้ตอนเข้าเว็บแน่นอนหากคนเยี่ยมชมมีความรู้เรื่องการเข้า Website ก็จำการกรอกตรงตัวอย่างในรูปก็เข้าใช้งาน Website ได้แล้ว และ ถ้าถามว่าคนไม่รู้เรื่องละครับ ก็อาจะปิด Website ของเราไปได้เลย ดังนั้นการตั้ง Security Level: I’m Under Attack ไม่เหมาะกับการตั้งทั้งเว็บ หากสนใจอ่านบทความ Brute force attack คืออะไร อ่านเพิ่มได้ที่ link
หากใครใช้งาน WordPress แน่นอนหน้าที่เราต้องการป้องมากที่สุดคือ “wp-login.php” และ “xmlrpc.php” ถ้าหากถูก Hack หรือ Brute force password ได้รับรอง Web เราโดนยึดแน่ ดังนั้นทางอินดี้แนะนำให้เราใช้ Page rule ปกป้องแค่ สองหน้าที่ว่ามาก็พอ ดีกว่าใช้งานทั้งเว็บ โดยการตั้งค่าก็คล้ายกับหัวข้อ Always Use HTTPS และ เมื่อเราตั้งค่าเสร็จแล้วจะได้ดังรูป
การตั้งค่า Page rules แบบนี้จะดีกว่า และ ช่วยป้องกัน Website ของเราไม่ให้โดน Hack หรือ ลดระยะเวลาการโดน Hack ลงไปได้อีก
จากรูปจะเห็นได้ว่ามี Hack พยายามจะ Hack หน้า WordPress “wp-login.php” แต่ Page rule ช่วยจัดการ Block ให้ เป็น Security level ซึ่งแน่นอนดีกว่าการเปิด Security level ทั้งหน้าเว็บ
บทสรุป
การใช้ Cloud Flare Page Rules จำเป็นต้องใช้ร่วมกับ Firewall ซึ่งไปหาอ่านบทความของทางอินดี้ได้ ซึ่ง Account แบบฟรี สามารถใช้งาน Page Rule ได้แค่ 3 เอง ซึ่งก็เพียงพอต่อการใช้งาน WordPress ของเราแล้ว ทางอินดี้ก็อยากแนะนำให้ตั้ง Page Rule ป้องกันเว็บของเราเอาไว้
แหล่งอ้างอิง Cloud Flare help center