Takaisin muihin artikkeleihin

Suojaa WordPress kirjautuminen Cloudflare Accessin avulla

Cloudflare Access -opas: Suojaa WordPress Admin - Suojaa WordPress kirjautuminen Cloudflare Accessin avulla

Mikä on Cloudflare Access ja miksi tarvitset sitä?

Cloudflare Access on nerokas tapa suojata eri verkkopalveluiden kriittisiä osia, kuten ylläpidon kirjautumissivuja, ilman monimutkaisia VPN-virityksiä. Se on osa laajempaa Cloudflare Zero Trust -kokonaisuutta ja voi useissa tapauksissa korvata yritysten perinteiset sisäverkon VPN-palvelut kokonaan.

Cloudflare Access teknisestä näkökulmasta

cloudflare access

Jos tekniikka ei ole vahvuutesi, mutta haluat nostaa esimerkiksi WordPress-sivustosi tietoturvan uudelle tasolle, voit hypätä suoraan asennusohjeisiin. Lyhyesti sanottuna Cloudflare Access on tunnistautumisjärjestelmä, joka toimii "portinvartijana" sinun ja palvelimesi välissä.

Sen tehtävä on estää tuntemattomien tahojen pääsy verkkopalvelusi kriittisiin osiin. Käyttäjän on tunnistauduttava ensin Cloudflaren tarjoamassa näkymässä ennen kuin liikenne päästetään edes palvelimellesi asti. Tämä noudattaa Zero Trust -periaatetta ja mukailee Googlen BeyondCorp -arkkitehtuuria tuoden sen kaikkien saataville.

Tuetut tunnistautumistavat

Tunnistautuminen voidaan hoitaa monilla tutuilla palveluilla. Cloudflare Access tukee muun muassa:

WordPress-hallintapaneelin suojaus Cloudflare Accessilla

Cloudflare Accessin avulla voi suojata lähes kaikki verkossa olevat resurssit. WordPressin kirjautumissivu (/wp-admin/) on vakiona altis väsytyshyökkäyksille ja bottiverkkojen skannauksille. Vaikka käyttäisit vahvaa salasanaa ja salasanamanageria, raskaat hyökkäykset voivat kuormittaa palvelinta ja hidastaa sivustoa.

Kun suojaat hallintapaneelin Cloudflare Accessilla, hyökkääjät eivät pääse edes yrittämään kirjautumista WordPressiin, sillä he törmäävät ensin Cloudflaren muuriin. Tämä säästää palvelinresursseja ja parantaa tietoturvaa merkittävästi.

Cloudflare Accessin käyttöönotto ja asennus

HUOM! Tämä ohje olettaa, että olet jo ottanut Cloudflaren CDN-palvelun käyttöön sivustollasi ja nimipalvelimet on ohjattu Cloudflarelle.

1. Cloudflare Zero Trust -hallintapaneeli

Kirjaudu sisään Cloudflareen ja valitse vasemmasta valikosta Zero Trust. Tämä avaa erillisen hallintapaneelin osoitteessa one.dash.cloudflare.com. Jos käytät palvelua ensimmäistä kertaa, sinun tulee valita "Team domain" (esim. omayritys.cloudflareaccess.com).

cloudflare acceess hallinta

2. Tunnistautumistapojen lisääminen

Navigoi Zero Trust -paneelissa kohtaan Settings > Authentication. Kohdassa "Login methods" paina "Add new".

Yksinkertaisin tapa on valita "One-Time PIN", joka lähettää kirjautumiskoodin sähköpostiin. Jos haluat käyttää Google-tunnistautumista, se vaatii hieman enemmän määrityksiä:

Google-tilillä tunnistautumisen määritys (OAuth)

  1. Kirjaudu sisään Google Cloud Consolen API-hallintaan.
  2. Luo uusi projekti (Create Project) ja nimeä se esim. "Cloudflare Access".
  3. Valitse "Create Credentials" ja sen alta "OAuth Client ID". (Jos järjestelmä pyytää konfiguroimaan "Consent Screenin", tee se ensin valitsemalla "External" ja täyttämällä sovelluksen nimen).
  4. Valitse Application Type -kohdasta Web application.
  5. Kohdassa "Authorized JavaScript origins" syötä Team domainisi muodossa: https://omadomain.cloudflareaccess.com.
  6. Kohdassa "Authorized redirect URIs" syötä osoite muodossa: https://omadomain.cloudflareaccess.com/cdn-cgi/access/callback.
  7. Paina "Create" ja kopioi saamasi Client ID ja Client Secret.
  8. Palaa Cloudflaren hallintapaneeliin, valitse Google-metodi ja liitä kopioimasi tunnisteet niille varattuihin kenttiin.

3. Sovelluksen suojaaminen (Application Setup)

Nyt kun tunnistautumistapa on luotu, suojataan itse WordPress-sivusto.

  1. Mene Zero Trust -paneelissa kohtaan Access > Applications.
  2. Paina "Add an application" ja valitse Self-hosted.
  3. Application Name: Anna nimi, esim. "WordPress Admin".
  4. Session Duration: Valitse kuinka kauan kirjautuminen pysyy voimassa (esim. 24h).
  5. Application Domain:
    • Subdomain/Domain: Valitse suojattava verkkotunnus.
    • Path: Kirjoita tähän wp-admin. Tämä varmistaa, että vain hallintapaneeli suojataan, ei koko sivustoa.
  6. Paina "Next".

Oikeuksien määritys (Policies)

Seuraavaksi määritellään, kuka pääsee sisään. Cloudflare Access toimii nykyään oletuksena "Implicit Deny" -periaatteella, eli kaikki estetään, ellei heitä erikseen sallita.

  1. Anna säännölle nimi (Policy Name), esim. "Salli ylläpito".
  2. Action: Valitse "Allow".
  3. Configure rules:
    • Valitse "Selector" -valikosta Emails (jos haluat sallia yksittäisiä henkilöitä) tai Emails ending in (jos haluat sallia koko yrityksen sähköpostipäätteellä).
    • Kirjoita arvokenttään sähköpostiosoite tai domain (esim. @yritys.fi).
  4. Paina "Next" ja lopuksi "Add application".

Cloudflare Accessin testaus

Varmista toimivuus avaamalla selaimesi incognito-tilassa ja menemällä osoitteeseen https://sinundomainisi.fi/wp-admin/.

Sinun ei pitäisi nähdä WordPressin kirjautumisruutua, vaan Cloudflare Accessin tunnistautumissivu. Kirjaudu sisään määrittämälläsi tavalla (esim. Google tai sähköpostikoodi). Onnistuneen tunnistautumisen jälkeen sinut ohjataan varsinaiseen WordPressin hallintaan.

FAQ

Usein kysytyt kysymykset

Maksaako Cloudflare Accessin käyttö?

Cloudflare tarjoaa Zero Trust -palvelusta (johon Access kuuluu) erittäin kattavan ilmaisversion. Se on ilmainen jopa 50 käyttäjälle, mikä riittää useimmille pk-yrityksille ja yhteisöille.

Ota yhteyttä

Valitse verkkokumppani, joka ymmärtää suomalaisia pk-yrityksiä ja tarjoaa yritysarkea helpottavia ratkaisuja kustannustehokkaaseen hintaan.