不論是優化網站載入速度,還是提升網站安全,Cloudflare都是網站開發者的恩物,就算不付費,免費帳號已經有提供強大功能(包括網路攻擊防護)。
這些防護的原理是Cloudflare 作為「中繼」(或者代理) 隔絕訪客直接連線到網站主機,所以當網站有啟用Cloudflare,DNS解析看到的就會變成是Cloudflare的IP,原來主機的IP會被隱藏起來。
換過說法,假如原來主機的IP被「發現」,那在Cloudflare的所有安全設定也會變得毫無意義。舉例說,我們曾經分享過使用Cloudflare 設定WordPress後台兩步認證的教學,那些設置其實是可以透過連線主機原來IP繞過的。那有沒有辦法避免?答案是有的。
以下的方法除了WordPress,所有使用Cloudflare的網站都適用,而且不一定是科比主機用家,大部分主流虛擬主機,使用Litespeed或者Apache都適用。
1、在Cloudflare 管理頁面,進入「規則」 > 「概觀」,按「建立規則」>「要求標頭轉換規則」
2、設定「所有傳入要求」> 「設定形態」,標頭名稱跟值可以參考以下, 值應該是自己設定的密碼字串
3、設定完成後,回到自己網站根目錄,修改 .htaccess 檔案
RewriteCond %{HTTP:X-My-Secret} !^passkey123$
RewriteRule ^ - [F,L]
這樣的話,網站連線必須雙邊標頭字串符合才會成立。假如沒有正確標頭,繞過Cloudflare 連線到網站主機只會得到 403回應。
