前

最近在重整站点的时候，看到wordpress后台一直在被尝试密码暴破，虽然做了IP级别的登陆尝试限制，但是感觉还是没有十足的安全感。为了解决这个问题，使用 Cloudflare Zero Trust 的application 方案，为 WordPress 后台登录页面增加一层保护，确保只有授权用户能够访问和操作。

试试看？👉 我的管理后台

正文

Zero Trust 的使用优势

**Zero Trust（零信任）**是一种网络安全模型，假设网络内外的任何人或设备都不可信，并需要验证每一个试图访问资源的请求。这种方法不仅有效防止了外部的攻击，也能限制内部的威胁。通过为 WordPress 后台页面启用 Cloudflare 的 Zero Trust 服务

• 访问控制：确保只有经过授权的用户才能访问后台页面，有效防止暴力攻击和其他未经授权的访问。
• 多重认证：可以为登录页面添加多因素认证（MFA），进一步提高安全性。
• 活动监控：实时监控所有访问请求，能够快速识别和阻止可疑活动。

配置 Cloudflare Zero Trust 保护

如果域名托管在 Cloudflare上面，那就可以进行进行直接的接入，在五分钟拥有一个 有保护的后台

1. 配置认证方式

在左边栏 Settings -> Authentication，找到认证方式的设置，在下面点击Add new。

这里我添加了两种认证方式，一种是邮件的 TOTP就是给你邮箱发送一个一次性验证码，另一种是使用 github来进行oauth来登陆。具体配置点击Edit 有详细介绍

2. 创建 应用

1. 登录到 Cloudflare 仪表板

   进入 Cloudflare 仪表板后，选择所需的网站，导航到 Zero Trust 菜单下的 Access。

2. 创建应用程序

   在 Access 页面中，选择 Applications，点击 Add an application 按钮。

3. 设置应用程序的基本信息

   • Application Name（应用名称）：输入名称，例如 “WordPress Admin”。
   • Subdomain（子域名）：输入后台子域或路径，我的是 wordpress ，所以我这里是 例如 “/wp-login.php”。

4. 选择应用类型

   在应用类型中，选择 Self-hosted（自托管），因为 WordPress 是运行在自己服务器上的。

之后点击保存，即可完成这个APP的创建，党完成创建之后这个路由已经托管在了CF上，当用户访问的时候需要先进行认证之后才能进入真正的 wordpress 后台。

3. 验证配置

在打开后台的时候可是看到直接跳转到验证登陆界面。而且从wp的后台来看，密码爆破攻击已经不在发生。

后

通过使用 Zero Trust 服务，可以显著提高后台页面的安全性，防止未经授权的访问和潜在的攻击。