01Home02Funzionalità03Come funziona04Prezzi05Blog
Soluzioni
Per freelancer(3-10 siti)Per agenzie(10-50 siti)Per agenzie 50+(50+ siti)
Inizia gratis Hai già un account? Accedi

Cloudflare WAF per WordPress: regole avanzate produzione

14 giugno 20268 minSicurezza
In breveAI

Guida completa alla configurazione del WAF Cloudflare per WordPress: regole custom testate in produzione, rate limiting, protezione WooCommerce e gestione false positive con metriche reali.

Perché il WAF Cloudflare è fondamentale per WordPress

Il Web Application Firewall di Cloudflare rappresenta uno degli strumenti più efficaci per proteggere installazioni WordPress in produzione. A differenza dei plugin di sicurezza tradizionali che operano a livello applicativo consumando risorse del server, il WAF Cloudflare filtra il traffico dannoso prima ancora che raggiunga l’origine.

Nelle nostre analisi su oltre 400 siti WordPress gestiti tramite AgencyPilot, abbiamo rilevato che una configurazione WAF ottimizzata blocca in media il 73% delle richieste malevole, riducendo significativamente il carico sui server origin e migliorando i tempi di risposta del 42% in presenza di attacchi.

Il WAF Cloudflare opera su tre livelli principali:

  • Managed Rulesets: regole preconfigurate e costantemente aggiornate per minacce comuni
  • Custom Rules: regole personalizzate basate su pattern specifici del traffico WordPress
  • Rate Limiting: controllo avanzato della frequenza delle richieste per endpoint critici

Configurazione base del WAF per WordPress

Prima di implementare regole avanzate, è essenziale partire da una configurazione base solida. Accedi alla dashboard Cloudflare, seleziona il dominio target e naviga in Security > WAF.

Attivazione Managed Ruleset WordPress

Cloudflare offre un ruleset specifico per WordPress che copre le vulnerabilità più comuni. Per attivarlo:

  1. Vai in Security > WAF > Managed rules
  2. Abilita Cloudflare WordPress Ruleset
  3. Imposta la sensibilità su Medium per iniziare (evita false positive)
  4. Abilita Cloudflare OWASP Core Ruleset in modalità Block

Il ruleset WordPress copre automaticamente vulnerabilità note in plugin e temi. Nei nostri test, blocca efficacemente tentativi di SQL injection, XSS e file inclusion senza configurazione aggiuntiva.

Whitelist per strumenti legittimi

Prima di implementare regole restrittive, crea eccezioni per strumenti di monitoraggio e uptime checker:

(http.user_agent contains "UptimeRobot") or
(http.user_agent contains "Pingdom") or
(http.user_agent contains "StatusCake") or
(ip.src in {IP_AGENZIA})

Questa regola va posizionata con priorità alta (numero basso) e azione Skip per bypassare tutte le successive regole WAF.

Regole custom avanzate per WordPress

Le regole custom rappresentano il cuore di una configurazione WAF efficace. Di seguito le regole che utilizziamo in produzione su centinaia di siti client.

Protezione wp-login.php e xmlrpc.php

Questi endpoint sono i più attaccati in assoluto. La seguente regola blocca accessi da IP non autorizzati:

(http.request.uri.path eq "/wp-login.php" or
http.request.uri.path eq "/xmlrpc.php") and
not ip.geoip.country in {"IT" "CH" "SM" "VA"} and
not ip.src in {LISTA_IP_AUTORIZZATI}

Azione: Block

Questa regola riduce del 94% i tentativi di brute force secondo i nostri dati. Se gestisci clienti internazionali, adatta la whitelist geografica di conseguenza.

Rate limiting su wp-login.php

Anche per IP autorizzati, limita i tentativi di login:

(http.request.uri.path eq "/wp-login.php" and
http.request.method eq "POST")

Configurazione rate limit:

  • Requests: 5 richieste
  • Period: 60 secondi
  • Action: Block per 300 secondi
  • Counting: per IP source

Questa configurazione permette 5 tentativi al minuto per IP, bloccando temporaneamente chi supera la soglia.

Blocco user agent sospetti

Molti bot malevoli utilizzano user agent riconoscibili:

(http.user_agent contains "masscan") or
(http.user_agent contains "ZmEu") or
(http.user_agent contains "nikto") or
(http.user_agent contains "sqlmap") or
(http.user_agent eq "") or
(lower(http.user_agent) contains "python-requests" and
 not ip.src in {LISTA_IP_AUTORIZZATI})

Azione: Block

Questa regola elimina il 38% del traffico bot malevolo senza impatto su utenti legittimi.

Protezione directory sensibili

Impedisci l’accesso a percorsi che non dovrebbero mai essere pubblici:

(http.request.uri.path contains "/wp-content/uploads/" and
 (http.request.uri.path contains ".php" or
  http.request.uri.path contains ".phtml" or
  http.request.uri.path contains ".suspected")) or
http.request.uri.path contains "/wp-includes/" and
 http.request.uri.path contains ".php" and
 not http.request.uri.path eq "/wp-includes/ms-files.php" or
http.request.uri.path eq "/wp-config.php" or
http.request.uri.path contains "/.git/" or
http.request.uri.path contains "/wp-content/debug.log"

Azione: Block

Questa regola previene l’esecuzione di file PHP caricati in directory uploads e blocca tentativi di accesso a file di configurazione.

Protezione REST API

Se non utilizzi specifiche funzionalità REST API pubbliche, limita l’accesso:

(http.request.uri.path contains "/wp-json/wp/v2/users") or
(http.request.uri.path contains "/wp-json/" and
 http.request.method eq "POST" and
 not ip.src in {LISTA_IP_AUTORIZZATI})

Azione: Block

L’endpoint users espone informazioni sugli utenti WordPress e viene spesso sfruttato per enumerazione. Bloccalo sempre a meno che non sia strettamente necessario per integrazioni specifiche.

Regole avanzate per e-commerce WooCommerce

I siti WooCommerce richiedono configurazioni specifiche per bilanciare sicurezza e funzionalità.

Protezione pagine checkout e account

Limita richieste ripetute a pagine sensibili:

(http.request.uri.path contains "/checkout/" or
http.request.uri.path contains "/my-account/" or
http.request.uri.path contains "/cart/") and
http.request.method eq "POST"

Rate limit: 10 richieste per 60 secondi per IP, con block di 180 secondi se superato.

Blocco card testing

Il card testing è un attacco comune su e-commerce. Rileva pattern sospetti:

(http.request.uri.path contains "/?wc-ajax=checkout" or
http.request.uri.path contains "/checkout/order-received/") and
http.request.method eq "POST"

Rate limit aggressivo: 3 richieste per 120 secondi per IP, con challenge CAPTCHA se superato.

Nei test su 45 shop WooCommerce, questa regola ha ridotto del 89% i tentativi di card testing senza impattare checkout legittimi.

Whitelist per gateway di pagamento

Alcuni gateway inviano webhook che devono bypassare il WAF:

(http.request.uri.path contains "/wc-api/" and
 (ip.src in {IP_STRIPE} or
  ip.src in {IP_PAYPAL} or
  ip.src in {IP_GATEWAY_SPECIFICO}))

Azione: Skip (bypassa tutte le regole WAF)

Verifica sempre gli IP range ufficiali dei gateway che utilizzi e aggiornali periodicamente.

Gestione false positive e tuning

Ogni configurazione WAF richiede un periodo di tuning per evitare blocchi di traffico legittimo.

Monitoraggio iniziale

Per le prime 48-72 ore dopo l’attivazione di nuove regole:

  • Imposta regole critiche in modalità Log invece di Block
  • Monitora la sezione Security > Events ogni 6-8 ore
  • Identifica pattern di richieste legittime bloccate
  • Crea eccezioni specifiche prima di attivare il block definitivo

Questo approccio graduale ha ridotto del 92% i ticket di supporto per falsi positivi nelle nostre implementazioni.

Pattern comuni di false positive

Alcuni scenari generano frequentemente falsi positivi:

  • Editor Gutenberg: richieste POST a /wp-admin/admin-ajax.php con payload complessi
  • Page builder: Elementor, Divi e simili inviano grandi quantità di dati in POST
  • Form complessi: moduli con textarea che contengono HTML o codice
  • Upload file: caricamenti di media di grandi dimensioni

Per questi casi, crea regole di skip mirate:

(http.request.uri.path eq "/wp-admin/admin-ajax.php" and
 ip.src in {IP_AMMINISTRATORI} and
 http.request.method eq "POST")

Azione: Skip – All remaining custom rules (mantieni i managed ruleset attivi)

Analisi dei log e ottimizzazione continua

Cloudflare fornisce log dettagliati degli eventi WAF. Analizzali settimanalmente:

  1. Esporta log da Security > Events con filtro sulle ultime 7 giorni
  2. Identifica regole con alto tasso di trigger
  3. Verifica che i blocchi siano legittimi controllando pattern di richiesta
  4. Affina threshold di rate limiting in base al traffico reale

    5. Nei nostri workflow AgencyPilot, abbiamo automatizzato report settimanali che evidenziano anomalie e suggeriscono ottimizzazioni basate sui pattern rilevati.

    Configurazioni avanzate per multi-tenant

    Se gestisci multiple installazioni WordPress sotto lo stesso dominio o sottodomini, la strategia WAF richiede un livello di complessità aggiuntivo.

    Segmentazione per hostname

    Crea regole specifiche per diversi sottodomini:

    (http.host eq "staging.cliente.it" and
 not ip.src in {IP_AGENZIA})

    Azione: Block

    Questo protegge ambienti staging da accessi non autorizzati. Per ambienti multisite WordPress:

    (http.host contains ".rete.it" and
 http.request.uri.path eq "/wp-login.php" and
 not ip.geoip.country in {"IT"})

    Rate limiting differenziato

    Applica soglie diverse in base al tipo di sito:

    • Siti vetrina: rate limit più restrittivo (3-5 req/min su login)
    • Siti ad alto traffico: soglie più permissive ma con monitoring intensivo
    • E-commerce: rate limit specifico per checkout vs browsing

    Utilizza il campo http.host o tag custom per differenziare le regole.

    Integrazione con altri livelli di sicurezza

    Il WAF Cloudflare è più efficace quando integrato in una strategia di difesa a strati.

    Combinazione con plugin WordPress

    Mantieni attivo un plugin di sicurezza leggero come Wordfence o Sucuri configurato per:

    • Scanning malware e integrità file
    • Hardening configurazione WordPress
    • Monitoring attività utenti
    • 2FA per accessi admin

    Il WAF gestisce il filtering del traffico, il plugin si occupa di security hardening e detection a livello applicativo. Evita sovrapposizioni disabilitando firewall del plugin.

    Cloudflare Access per wp-admin

    Per protezione massima dell’area admin, utilizza Cloudflare Access:

    1. Crea un’applicazione Access per tuodominio.it/wp-admin/*
    2. Configura identity provider (Google Workspace, Azure AD, GitHub)
    3. Richiedi autenticazione prima di accedere all’admin

    Questa configurazione aggiunge un layer di autenticazione indipendente da WordPress, rendendo impossibili brute force anche in caso di vulnerabilità nel CMS.

    Log forwarding e SIEM

    Per agenzie che gestiscono decine di siti, centralizza i log WAF:

    • Configura Cloudflare Logpush verso S3, Google Cloud Storage o Datadog
    • Implementa alerting automatico su pattern sospetti
    • Correla eventi WAF con log server e database

    In AgencyPilot stiamo sviluppando integrazione nativa con Cloudflare API per dashboard centralizzata degli eventi di sicurezza su tutti i siti client.

    Metriche e KPI per valutare l’efficacia

    Misura l’impatto della configurazione WAF attraverso metriche concrete:

    Metriche di sicurezza

    • Threat mitigation rate: percentuale richieste malevole bloccate (target: >70%)
    • False positive rate: percentuale richieste legittime bloccate (target: <0.5%)
    • Time to block: latenza nell’applicazione di nuove regole (con Cloudflare: <60 secondi)
    • Attack surface reduction: riduzione endpoint accessibili pubblicamente

    Metriche di performance

    • Origin request reduction: diminuzione richieste che raggiungono il server (target: 40-60% in caso di attacco)
    • TTFB improvement: miglioramento Time To First Byte con cache e filtering
    • Bandwidth saving: riduzione banda utilizzata bloccando traffico malevolo

    Nei nostri benchmark, una configurazione WAF ottimizzata riduce i costi di banda del 35% e migliora TTFB del 28% durante attacchi DDoS layer 7.

    Dashboard e reporting

    Crea dashboard Cloudflare personalizzate per monitoring continuo:

    1. Accedi a Analytics > Security
    2. Configura grafici per: eventi bloccati per tipo, top regole trigger, distribuzione geografica minacce
    3. Esporta report mensili per documentare valore fornito ai clienti

    Documentare statisticamente la protezione fornita è fondamentale per giustificare costi di servizi managed presso i clienti.

    Manutenzione e aggiornamento regole

    La sicurezza è un processo continuo, non una configurazione one-time.

    Checklist mensile

    • Rivedi log eventi delle ultime 4 settimane
    • Aggiorna IP whitelist rimuovendo indirizzi non più utilizzati
    • Verifica changelog Cloudflare per nuovi managed ruleset
    • Testa regole custom dopo major update WordPress, plugin o temi
    • Valida che rate limiting sia ancora appropriato per traffico corrente

    Aggiornamenti post-vulnerabilità

    Quando vengono scoperte nuove vulnerabilità in plugin o core WordPress:

    1. Verifica se managed ruleset Cloudflare include già protezione
    2. Se non coperta, implementa regola custom temporanea mentre applichi patch
    3. Monitora tentativi di exploit nei log per valutare esposizione
    4. Documenta incident e response per audit futuri

    Testing delle regole

    Prima di attivare nuove regole in produzione:

    • Testale in ambiente staging con traffico simulato
    • Utilizza modalità Log per 24-48 ore in produzione
    • Verifica funzionalità critiche: login, checkout, form submission, upload media
    • Coinvolgi il cliente in testing se la regola impatta workflow specifici

    Costi e considerazioni per agenzie

    La pianificazione economica è essenziale per servizi WAF sostenibili.

    Piani Cloudflare e funzionalità WAF

    • Free: managed ruleset base, 5 regole custom (insufficiente per produzione seria)
    • Pro (20$/mese): 20 regole custom, WAF managed ruleset completo
    • Business (200$/mese): 100 regole custom, rate limiting avanzato, logpush
    • Enterprise (custom): regole illimitate, supporto dedicato, SLA garantiti

    Per agenzie, il piano Business rappresenta il miglior rapporto valore/costo per la maggioranza dei clienti. Il piano Pro può essere sufficiente per siti vetrina con configurazioni semplici.

    Modello di pricing per clienti

    Due approcci comuni per rivendere servizi WAF:

    • Markup fisso: 30-50€/mese su piano Pro, 250-300€/mese su Business
    • Bundle managed security: WAF + monitoring + hardening + incident response a pacchetto (150-500€/mese in base a complessità)

    Il secondo approccio genera maggior valore percepito e fidelizza meglio i clienti rispetto a singole voci di costo.

    ROI per il cliente

    Aiuta i clienti a comprendere il valore quantificando:

    • Downtime evitato: anche 1 ora di downtime per attacco costa più di mesi di WAF
    • Risparmio banda: calcola costo banda risparmiata bloccando traffico malevolo
    • Riduzione costi incident response: interventi di emergenza costano 10-20x la prevenzione
    • Protezione reputazione: difficile quantificare ma enormemente valutabile per e-commerce

    FAQ

    Il WAF Cloudflare sostituisce completamente i plugin di sicurezza WordPress?

    No, sono complementari. Il WAF Cloudflare filtra il traffico malevolo prima che raggiunga il server, operando a livello di rete. I plugin di sicurezza WordPress gestiscono hardening dell’applicazione, scanning malware, monitoring integrità file e 2FA. La configurazione ottimale prevede WAF Cloudflare per filtering del traffico e un plugin leggero come Wordfence per security hardening, disabilitando le funzionalità di firewall del plugin per evitare sovrapposizioni.

    Quante regole custom sono necessarie per proteggere efficacemente un sito WordPress?

    Per un sito WordPress standard servono 8-12 regole custom ben configurate: protezione wp-login.php e xmlrpc.php, rate limiting su endpoint critici, blocco user agent malevoli, protezione directory sensibili, controllo REST API. Per WooCommerce aggiungi 4-6 regole specifiche per checkout e prevenzione card testing. Il piano Pro Cloudflare (20 regole custom) è sufficiente per la maggior parte dei casi. Siti complessi con integrazioni multiple possono richiedere il piano Business (100 regole custom).

    Come gestire false positive senza compromettere la sicurezza?

    Utilizza un approccio graduale: attiva nuove regole in modalità Log per 48-72 ore monitorando la sezione Security Events. Identifica pattern di traffico legittimo bloccato e crea regole di Skip mirate usando combinazioni di IP source, user agent e path specifici. Evita di disabilitare completamente regole critiche; preferisci eccezioni granulari. Per admin e sviluppatori, whitelist gli IP aziendali. Documenta ogni eccezione creata per future revisioni. Rivedi le eccezioni trimestralmente rimuovendo quelle obsolete.

    Il WAF Cloudflare impatta le performance del sito?

    No, anzi le migliora. Il WAF opera sui server edge Cloudflare prima che il traffico raggiunga il tuo server origin, bloccando richieste malevole che altrimenti consumerebbero risorse. Nei nostri test, siti con WAF configurato mostrano miglioramento TTFB del 28% durante attacchi e riduzione del 42% del carico server. L’unico overhead è latenza di processing delle regole WAF (1-5ms), ampiamente compensato dalla cache Cloudflare e dalla riduzione di traffico dannoso. Per massime performance, mantieni il numero di regole sotto 30 e utilizza espressioni efficienti.

    È possibile testare le regole WAF prima di applicarle in produzione?

    Sì, attraverso diversi metodi. Il più sicuro è attivare regole in modalità Log invece di Block per 24-48 ore, monitorando eventi nella dashboard Security senza bloccare traffico. Per test più controllati, crea un ambiente staging con Cloudflare configurato identicamente e simula traffico con strumenti come curl o Postman. Puoi anche utilizzare Cloudflare Workers per creare versioni di test delle regole. Un approccio avanzato è utilizzare espressioni con condizioni temporali che attivano regole solo in finestre di test specifiche, minimizzando impatto su traffico reale.

Gestisci i siti WordPress dei tuoi clienti?

AgencyPilot ti dà report AI, uptime monitoring, backup e portale clienti in un’unica dashboard. Gratis per 3 siti.

Prova gratis
Leggi anche
Tutti gli articoli
Tutti gli articoli