Czy warto mieć Cloudflare? 🤔

cloudflare-waf-cdn-wordpress

To pytanie retoryczne, bo według mnie Cloudflare to jedna z najlepszych warst ochronnych stron opartych o WordPressa. Twierdzę tak, bo ponad 10 lat temu miałem problem z masowym atakiem botów, które „zgadywały” mój tajny link do logowania się na WordPressa. Mimo że wtyczka bezpieczeństwa obsługiwała te ataki poprawnie, to robiła to aplikacyjnie, co obciążało cały CMS. Żadne znane mi wtedy techniki nie dawały rady, np. blokowałem user-agent w htaccess, to za chwilę przychodził inny i problem wracał. Wtedy znalazłem takie cudo jak Cloud WAF od Cloudflare i ataki zostały zablokowane za pomocą jednego suwaka i po jakimś czasie w ogóle zanikły. Co najlepsze, to jestem z CF ponad dekadę i chronię tam sporo stron moich i klientów, a nie zapłaciłem jeszcze ani złotówki.

Cloud WAF i CDN

Pierwsza zaleta Cloudflare to bardzo dobry Cloud WAF, czyli Web App Firewall w chmurze. Zanim ktoś dotrze do Twojej strony, musi się połączyć z tzw. reverse proxy i jest maglowany przez zabezpieczenia CF, a ewentualnie wtedy dopuszczany do właściwego serwera. Wielką zaletą tego rozwiązania jest szyfrowany ruch oraz ukrycie adresu IP hostingodawcy, co zmniejsza ryzyko ataku. Sprawdzanie żądań dzieje się bardzo szybko i nie ma wpływu na czas wczytywania strony. Druga super zaleta to CDN, czyli Content Delivery Network. CDN to taka sieć serwerów, która bierze na siebie część treści z właściwego hostingu i ładuje go szybciej, bo z serwera, który jest najbliżej użytkownika. Jest to super rozwiązanie. Takie rozwiązanie – jeśli zaznaczysz odpowiednią opcję – będzie utrzymywało Twoją stronę ciągle online, jeśli faktyczny serwer przestanie obsługiwać żądania.

Ataki DDOS

Ataki DDoS to inaczej Distributed Denial of Service, który oznacza rozproszoną odmowę usługi. Jest to ogromna ilość bezwartościowych zapytań do serwera/aplikacji, których po pewnym czasie nie jest w stanie obsługiwać i się wyłącza lub zawiesza. Ochrona Cloudflare w wielkim uproszczeniu ogranicza się do jednego suwaka „I’m under attack!” i w większości przypadków jest wystarczająca. Oczywiście jest jeszcze ogrom innych narzędzi, które potrafią poprawić ochronę przed DDoS-em i możesz je nawet „zobaczyć” w praktyce. AI_Devs – szkolenie prowadzone m.in. przez Jakuba Mrugalskiego w ramach promocji kursu zrobiło grę. Okazało się, że w grę „chciało zagrać 500 tysięcy Azjatów”, ale z pominięciem gry, bo dobijali się bezpośrednio do API od AI. Problem był taki, że AI_Devs płaciło za ilość żądań do API i taki atak mógł podnieść sporo rachunek (lub nawet zablokować usługę), ale wszystko skończyło się na dodatkowych kosztach wysokości 20 gr. Wszystko dzięki Cloudflare’owi. Więcej o tej sprawie znajdziecie w tym wątku z platformy X.

Od zera złotych

Koszt, od którego zaczynają się usługi od Cloudflare, zaczyna się dosłownie od zera złotych. Jestem z nimi od ponad dekady, a na serio nie zapłaciłem żadnej złotówki. Za to dzięki CF dostałem wielokrotnie dobre „deale”, na przykład na klucze Yubikey, które kosztowały mnie 50 złotych zamiast 300 złotych. Poza tym Cloudflare nigdy nie wysłał mi spamu, który namawiałby mnie na pokochanie ich komercyjnych usług. Jedyne maile, jakie dostaję, to monitoring SSL (tak, jest za darmo) i przeprosiny, jeśli coś nie działa. Takich przeprosin trudno znaleźć w polskich firmach IT. Jedyną wadą darmowego konta od CF jest ograniczony zakres usług, jak np. basic WAF, ale z drugiej strony, jeśli masz trochę wiedzy, to w ustawieniach jesteś w stanie znacznie poprawić bezpieczeństwo i uzupełnić niejako braki opcji basic WAF. W RetroMedia robimy to tak, że prócz Cloud WAF od CF (i bardziej zaawansowanych ustawień) używamy kombinacji z innymi firewallami: ModSec, 8G Firewall, WP addons, Imunify360 – przy czym plugin WP od bezpieczeństwa „rozmawia” z cloudowym WAF-em i blokuje niepożądane adresy IP na poziomie Cloudflare’a. Druga wada, a może zaleta – jak kto woli – jest brak profesjonalnego wsparcia technicznego, ale za to jest community, które sobie pomaga. Co ciekawe, pojawiają się tam pracownicy od CF, więc jest jakiś rodzaj pomocy od pracowników.
Po drugie, dokumentacja i dział pomocy są tak świetnie rozbudowane (nie licząc ogromu tutoriali w sieci), że większość problemów rozwiążesz samodzielnie. Przez blisko dekadę współpracy z Cloudflare’m miałem tylko dwa problemy, z którymi miałem trochę więcej problemów. Nigdy nie pomagała mi społeczność, bo zawsze staram się rozwiązywać problemy samodzielnie, ale gdy czasem czytam forum, to faktycznie całkiem dobrze pomagają.

RetroMedia i Cloudflare

Tak jak pisałem wcześniej, przygoda z Cloudflare zaczęła się na długo przez spółką RetroMedia.pl PSA, kiedy byłem zwykłym freelanserem i trwa do dzisiaj z benefitami dla klientów spółki, bo CF to standard w naszej ofercie. Czy masz prostą wizytówkę w HTML-u, czy zaawansowany sklep w Woo, to zawsze dostajesz od nas Cloudflare jako warstwę ochronną. I to nie wszystko, bo jak pisałem wyżej uzupełniamy CF wieloma innymi rozwiazaniami, a firewall podpięty bezpośrednio do WordPressa, „rozmawia” z Cloudflarem i daje mu info jakie IP na przyszłość blokować na warstwie chmury.
A jeśli masz już stronę interentową, to możesz zobaczyć nasz pakiet zabezpieczająco-optymalizujący SEO Firewall, który poprawi bezpieczeństwo Twojej witryny opartej o WordPress, a Cloudflare jest jego podstawowym ogniwem.

Find this content useful? Share it with your friends!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *