Cloudflare WAF — це перша лінія захисту для будь-якого інтернет-магазину. У цьому гайді розберемо практичне налаштування Custom Rules, Rate Limiting та захист від ботів.
Базові Custom Rules
Почніть з блокування підозрілих User-Agents і геолокацій де у вас немає клієнтів. Використовуйте Expression Rules:
(http.user_agent contains "python-requests") or
(ip.geoip.country in {"RU" "BY" "KP"})
Захист адмінки
Закрийте /wp-admin, /admin, /administrator через Cloudflare Access або IP allowlist. Це усуне 90% brute-force атак на адмінку.
Rate Limiting
Налаштуйте Rate Limiting для сторінок чекауту та логіну: не більше 10 запитів за 60 секунд з однієї IP. Це захищає від credential stuffing атак.
Bot Fight Mode
Увімкніть Super Bot Fight Mode — він автоматично блокує відомих шкідливих ботів, зберігаючи доступність для корисних (Google, Bing).
DDoS L7 захист
При атаці на /wp-login або /checkout: тимчасово переключіть в Under Attack Mode та додайте expression rule що challenge-ить весь трафік на ці URL.