dato search shopping envelope Pinterest youtube LinkedIn Facebook Twitter instagram search

Cloudflare

De fleste kender Cloudflare som et content delivery network, der kan hjælpe med at forbedre brugeroplevelsen på et website ved at sikre, at statisk indhold (billeder, javascript, css osv) hentes fra et datacenter, der er placeret så tæt på brugeren som muligt. Hvis besøgende på websitet kommer fra mange forskellige geografiske områder, så kan dette give en markant forbedring af den tid det tager at hente indhold fra websitet. Cloudflare er også kendt for at tilbyde gratis beskyttelse mod nogle former for distribuerede denial-of-service angreb (DDOS).

Hvis man har et website der primært henvender sig til danske brugere, så er et content delivery network måske ikke så nødvendigt, og man bekymrer sig måske heller ikke så meget om DDOS-angreb. Men Cloudflare har en række andre funktioner, som man også kan have glæde af. Nedenfor er der en kort beskrivelse af de funktioner som vi synes er mest nyttige.

Firewall

Cloudflare fungerer generelt på den måde, at al trafik mellem brugere og website går via det nærmeste af Cloudflares mange datacentre. Det giver Cloudflare mulighed for at følge med i denne trafik og gribe ind, hvis der foregår noget mistænkeligt.

Cloudflares web application firewall produkt er ikke gratis, men man har mulighed for at definere op til 5 firewall regler uden at opgradere til en plan, der kræver betaling. Man kan f.eks. lave regler der kun tillader besøgende fra bestemte geografiske områder – måske er man ikke interesseret i brugere fra Kina eller Rusland – eller man kan begrænse adgangen til visse områder af et website til brugere, der kommer fra en bestemt IP-adresse.

Rate limiting

WordPress er et populært mål for forskellige bots, der enten forsøger at installere malware ved at udnytte diverse sikkerhedshuller eller anvender brute-force metoder til at forsøge at finde et admin password. Sikkerhedshuller kan lukkes ved at holde WordPress, plugins og temaer opdateret, men brute-force angreb kan være svære at beskytte sig mod, fordi lange passwords med forskellige tegn, tal og bogstaver i praksis ofte er for besværlige at arbejde med.

Cloudflares rate limiting feature giver mulighed for at begrænse antallet af login-forsøg fra den samme IP-adresse i et bestemt tidsrum, f.eks. 5 login-forsøg pr. 5 minutter, hvorefter login blokeres i 15 minutter. Brute-force angreb afhænger af at det er muligt at prøve mange forskellige kombinationer af brugernavne og passwords indenfor et kort tidsrum, så rate limiting kan være en effektiv måde at begrænse disse angreb.

HTTPS

Når man anvender HTTPS med Cloudflare, så er der et ekstra hop mellem brugeren og serveren der kører websitet. Forbindelsen mellem brugeren og Cloudflare er krypteret, men hvad der sker mellem Cloudflare og serveren afhænger af opsætningen i Cloudflare. I det typiske scenarie vælger man også at køre HTTPS mellem Cloudflare og serveren, men hvis dette af den ene eller anden årsag ikke er muligt, så kan man i stedet vælge at anvende HTTP på det sidste hop.

Ældre websites der er udviklet til at køre HTTP kan ofte være besværlige at skifte over på HTTPS, fordi der kan være referencer til forskellige filer og medier der er hardcoded til at loade over HTTP. Afhængig af hvilke typer filer der er tale om, så får man enten en “mixed content” advarsel eller indhold der ikke kan loades. Denne type problemer kan nogle gange afhjælpes uden at man behøver at rette i koden ved at konfigurere Cloudflare til at omskrive HTTP-forespørgsler til HTTPS.

Hvis man selv hoster et website (f.eks. på en VPS), så skal man også håndtere udstedelse og fornyelse af SSL certifikater for de forskellige domæner på serveren, f.eks. ved hjælp af Let’s Encrypt. Hvis man anvender Cloudflare, så kan man i stedet få benytte et “Origin” certifikat udstedet af Cloudflare. Disse er wildcard-certifikater med en gyldighed mellem 7 dage og 15 år – det sidste er standard, så løbende fornyelse af certifikater er ikke længere nødvendigt.