WAFPlanet
Cloudflare Web Application Firewall WordPress 6.x

Comment configurer Cloudflare WAF pour WordPress

Guide étape par étape pour configurer le pare-feu applicatif web Cloudflare pour protéger votre site WordPress des attaques.

15-30 minutes beginner 6 steps
Dernière mise à jour : Déc 15, 2024

Le WAF de Cloudflare offre une excellente protection pour les sites WordPress contre les attaques courantes comme l'injection SQL, le cross-site scripting (XSS), et les attaques par force brute sur la connexion.

Ce guide vous accompagne dans le processus complet de configuration, de l'ajout de votre domaine à Cloudflare à la configuration des règles de sécurité spécifiques à WordPress.

Prérequis

  • Un site WordPress hébergé sur n'importe quel serveur web
  • Accès à votre registrar de domaine pour changer les serveurs de noms
  • Un compte Cloudflare (l'offre gratuite fonctionne) En savoir plus

Guide étape par étape

1

Ajouter votre domaine à Cloudflare

Connectez-vous à votre tableau de bord Cloudflare et cliquez sur "Ajouter un site". Entrez votre nom de domaine (sans www) et cliquez sur "Ajouter le site".

Cloudflare analysera vos enregistrements DNS existants. Vérifiez-les pour vous assurer que tous vos sous-domaines et enregistrements mail sont inclus.

Conseil : Assurez-vous que l'enregistrement A de votre site WordPress est listé et défini sur "Proxy activé" (icône nuage orange).
2

Mettre à jour vos serveurs de noms

Cloudflare vous fournira deux serveurs de noms. Connectez-vous à votre registrar de domaine et remplacez vos serveurs de noms actuels par ceux de Cloudflare.

La propagation DNS peut prendre jusqu'à 24 heures, mais se termine généralement en quelques heures.

Attention : Ne supprimez pas vos anciens enregistrements DNS tant que les nouveaux serveurs de noms ne sont pas actifs.
3

Activer le WAF Cloudflare

Une fois votre domaine actif sur Cloudflare :

  1. Allez dans Sécurité > WAF dans votre tableau de bord Cloudflare
  2. Activez l'ensemble de règles gérées Cloudflare
  3. Activez l'ensemble de règles OWASP Core
Conseil : Commencez avec le WAF en mode "Journalisation" pendant quelques jours pour voir quelles requêtes seraient bloquées avant de passer en mode "Blocage".
4

Configurer des règles spécifiques WordPress

Créez des règles personnalisées pour protéger les endpoints spécifiques à WordPress :

  1. Allez dans Sécurité > WAF > Règles personnalisées
  2. Créez une règle pour protéger wp-login.php des attaques par force brute
  3. Envisagez de bloquer l'accès à xmlrpc.php si non utilisé
text 
# Bloquer xmlrpc.php (si vous ne l'utilisez pas)
Nom de la règle: Bloquer XML-RPC
Expression: (http.request.uri.path eq "/xmlrpc.php")
Action: Bloquer
5

Installer le plugin Cloudflare (Optionnel)

Installez le plugin officiel Cloudflare pour WordPress pour une meilleure intégration :

  1. Allez dans Extensions > Ajouter dans WordPress
  2. Recherchez "Cloudflare"
  3. Installez et activez le plugin officiel Cloudflare
  4. Connectez-le avec votre token API Cloudflare
Conseil : Le plugin aide à restaurer les vraies IP des visiteurs et permet la purge du cache en un clic.
6

Tester votre configuration

Après la configuration, testez que votre site fonctionne correctement :

  • Visitez votre site et vérifiez qu'il se charge correctement
  • Testez la connexion à l'administration WordPress
  • Vérifiez que les commentaires et formulaires fonctionnent toujours
  • Surveillez le tableau de bord Cloudflare pour les requêtes bloquées

Conclusion et étapes suivantes

Votre site WordPress est maintenant protégé par le WAF de Cloudflare. Les ensembles de règles gérées bloqueront automatiquement la plupart des attaques courantes, et vos règles personnalisées fournissent une protection supplémentaire spécifique à WordPress.

Prochaines étapes :

  • Surveillez régulièrement la page Sécurité > Événements pour examiner les menaces bloquées
  • Envisagez de passer à Cloudflare Pro pour des fonctionnalités WAF supplémentaires
  • Activez le mode Bot Fight pour une protection supplémentaire contre les bots

Dépannage

Le site affiche des erreurs SSL

Dans les paramètres SSL/TLS de Cloudflare, définissez le mode de chiffrement sur "Complet" si votre origine a un certificat SSL, ou "Flexible" si ce n'est pas le cas.

Formulaires ou connexion ne fonctionnent pas

Vérifiez Sécurité > Événements pour les requêtes bloquées. Vous devrez peut-être créer une règle d'exception pour le trafic légitime.

Le site est lent après la configuration

Activez les fonctionnalités de mise en cache de Cloudflare et envisagez d'activer Rocket Loader pour l'optimisation JavaScript.

Questions fréquentes

Le WAF Cloudflare est-il gratuit ?

Oui, le WAF Cloudflare de base est inclus dans l'offre gratuite. Il comprend des ensembles de règles gérées qui protègent contre les attaques courantes. Des fonctionnalités plus avancées comme les règles de pare-feu personnalisées et les analyses détaillées sont disponibles sur les forfaits payants.

Cloudflare va-t-il ralentir mon site WordPress ?

Non, Cloudflare accélère généralement les sites WordPress en mettant en cache le contenu statique et en le servant depuis des emplacements edge plus proches de vos visiteurs. L'inspection WAF ajoute une latence minimale (généralement moins de 1ms).

Guides associés

Comment configurer AWS WAF avec Application Load Balancer

Apprenez à protéger vos applications AWS en attachant AWS WAF à un Application Load Balancer avec des groupes de règles gérées.