Dicas de proteção e segurança em sites com Cloudflare

O firewall da Cloudflare oferece as melhores opções de segurança em sites. Veja dicas de proteção contra ataques, bots, invasões e mais!

Por Fabio Lobo, publicado em 24/11/2020.

Segurança em sites é um assunto que sempre vai estar em alta. Além das novas questões sobre privacidade de dados, todo site está sujeito a problemas como ataques DDoS, bots, invasões e por aí vai.

A saber, o número de ataques a sites, blogs e lojas virtuais praticamente dobra ano após ano. E o pior é que muita coisa poderia ter sido evitada de maneira simples, automática e grátis.

Mas se você é novo nessa área (sendo você o dono de um site ou um desenvolvedor) é normal que isso tudo pareça muito confuso e assustador. Então, elaborei esse texto com uma das formas mais fáceis e eficientes de aumentar ou melhorar a proteção de um site: Cloudflare.

Aqui você vai saber:

  • O que é essa tal de Cloudflare;
  • Como usar a cloudflare para proteção e segurança em sites de qualquer tipo;
  • Como criar regras específicas contra ataques e invasões utilizando o firewall da Cloudflare;
  • E respostas para dúvidas comuns sobre site seguro.
ilustração de um cadeado digital; à frente, o texto Site protegido com Cloudflare

O que é e como funciona a Cloudflare?

Cloudflare é uma empresa dos EUA que fornece serviços de distribuição de conteúdos (CDN), de segurança e de serviços de nomes na Internet (DNS).

Aliás, a empresa e seu principal produto têm o mesmo nome, e é por isso que quando falamos em “Cloudflare” normalmente estamos nos referindo aos serviços que ela oferece.

Essencialmente a Cloudflare oferece serviços gratuitos, o que normalmente são suficientes para a maioria das necessidades em se tratando de blogs WordPress. Há também serviços pagos, que em geral custam uma pequena fortuna mensal.

Além disso, a empresa também oferece certificado SSL grátis e serviços de registro de domínios que são bem mais acessíveis que os dos concorrentes.

Entretanto, aqui vou citar apenas os serviços gratuitos da Cloudflare com foco em segurança.

Como a Cloudflare melhora a segurança em sites?

A Cloudflare, como toda CDN (Content Delivery Network, ou Rede de Distribuição de Conteúdo), opera com uma camada extra que fica entre o servidor propriamente dito e os visitantes. Isso se chama proxy.

Assim, quando uma requisição é feita a um domínio com Clouflare ativa, ela recebe esta requisição e aplica uma série de regras e verificações que vão implicar uma ação possível:

  1. A CDN já tem aquele recurso (que pode ser uma página do seu site) armazenado no cache, e o entrega instantaneamente ao visitante;
  2. A CDN não tem aquele recurso no cache, então o recurso é requisitado ao servidor, entregado ao visitante e finalmente salvo no cache;
  3. A requisição é negada porque o visitante ou a requisição foram identificados como perigosos ou não autorizados pela Cloudflare. Isso evita que o servidor precise desperdiçar recursos de processamento com um acesso inútil.

E isso é só o básico.

Se você quer proteger seu site e ainda economizar dinheiro, saiba que utilizando uma conta grátis da Cloudflare é possível impedir ou mitigar ataques em geral.

Principais recursos da Cloudflare gratuita

como funciona a CDN da cloudflare

A Cloudflare gratuita tem no firewall seu principal trunfo, pois é ele que isola o servidor de ataques comuns a qualquer site.

Aliás, o próprio uso da CDN também já implica uma camada extra de segurança ao ocultar de olhares curiosos informações como o endereço IP do servidor.

Confira abaixo os principais recursos grátis da Cloudflare para segurança em sites.

Ofuscação de endereço IP do servidor

Uma das mais importantes e menos consideradas contribuições da Cloudflare para a segurança de um site está no fato de ela, por ser uma CDN, naturalmente esconder o endereço IP do servidor.

Analogamente, se um desafeto não sabe onde eu moro ele não pode ir à minha casa para fazer ameaças ou agressões. Da mesma forma, sem saber o endereço IP de um site é impossível a um pretenso hacker disparar qualquer tipo de ofensiva contra o servidor, porque ele não sabe aonde ir.

Vale notar que essa ofuscação do IP não dá salvo-conduto para que um site cometa crimes ou delitos. Afinal, os termos de serviço da Cloudflare não apenas vetam este tipo de conteúdo como deixam claro que a companhia não poupará esforços para ajudar as autoridades a localizar e punir os responsáveis.

Proteção contra ataques automatizados

A Cloudflare tem várias ferramentas de detecção de acessos automatizados, que é como os ataques cibernéticos acontecem.

Afinal, é muito raro que uma multidão de usuários legítimos se coordene para, juntos e manualmente, fazerem uma ofensiva contra um domínio.

É claro que a Cloudflare não dá muitos detalhes sobre como funcionam estes mecanismos, até porque se o fizesse ficaria fácil para os autores dos ataques encontrarem meios de burlar as proteções todas.

A boa notícia é que na maior parte do tempo é possível deixar a inteligência artificial da Cloudflare decidir o que fazer com cada requisição. Mas caso seja necessário forçar uma proteção mais ampla, é possível usar o Modo Sob Ataque do serviço.

printscreen da opção modo sob ataque da Cloudflare
Essa opção fica logo na primeira aba do painel da Cloudflare, “Visão Geral”

Assim, quando este modo está ativo, todas as requisições feitas ao site precisam provar serem feitas por um visitante legítimo antes de efetivamente obter acesso ao conteúdo.

Essa prova pode ser tanto automatizada (ou seja, sem necessidade de interferência humana) quanto manual — possivelmente com o uso de um CAPTCHA — ficando a critério da Cloudflare decidir quando aplicar um ou outro método.

Mas é recomendável manter o modo sob ataque sempre inativo para evitar que bots legítimos (logo, ferramentas automatizadas) percam acesso ao site, o que poderia ser prejudicial quanto à indexação e classificação do conteúdo junto aos buscadores.

Políticas de segurança com Firewall

printscreen do painel de firewall

Os serviços gratuitos da Cloudflare oferecem um firewall bastante simplificado, mas bem eficiente e útil.

Todo site protegido pela Cloudflare conta com cinco proteções básicas que não precisam de configuração:

  1. HTTP Flood: protege o site contra ataques de requisições HTTP;
  2. UDP Flood: protege o site contra ataques de pacotes UDP;
  3. SYN Flood: protege o site de ataques TCP explorando o marcador SYN;
  4. ACK Flood: semelhante ao filtro acima, porém para pacotes TCP explorando o marcador ACK;
  5. QUIC Flood: semelhante a todas as outras, mas especificamente para pacotes QUIC (a base do HTTP/3).

Num mundo ideal essas proteções todas seriam implementadas no servidor, ou seja, diretamente na hospedagem do seu site.

Mas sabemos bem que nem todos os serviços de hospedagem levam segurança e desempenho tão a sério como deveriam.

Contudo, mesmo os servidores corretamente configurados e bem protegidos podem obter vantagem desta filtragem adicional feita pela Cloudflare. Isso ajuda a economizar banda e processamento, inclusive, já que a Cloudflare faz o serviço antes de ser necessário que a camada de rede da hospedagem seja acionada.

Saiba mais sobre as regras de firewall

printscreen do painel de regras de firewall

Um dos melhores recursos da Cloudflare é a criação de regras de firewall. E felizmente até o serviço gratuito conta com a possibilidade de criação de filtros poderosos.

Não é exagero. Tais filtros são tão poderosos que podem não apenas parar um ataque capaz de passar pelos filtros padrão como também deixar seu domínio offline para todo e qualquer visitante.

Aliás, a ferramenta é capaz até mesmo de bloquear o Googlebot de maneira silenciosa, o que poderia ter resultados desastrosos para a indexação e a classificação de seu conteúdo.

Cada filtro pode ser criado por uma regra ou combinação de regras que se aplicam a cada requisição individualmente; e para cada requisição que atender aos requisitos de cada filtro existe uma ação específica possível.

Assim sendo, cada regra é definida por:

  • Um nome (o identificador da regra)
  • Um campo (o critério a ser checado)
  • Um operador (a lógica que será aplicada ao critério ou campo)
  • Um valor de testes
  • E a ação propriamente dita.

Além do nome, que é de edição livre, as opções de operador e valor podem variar. Tendo isso em vista, vou falar sobre as demais opções: campo e ação.

Campo

É possível criar regras baseados nos seguintes campos das requisições individuais:

  • AS Num: espécie de código que identifica provedores de rede na Internet. Assim é possível bloquear ou exigir checagens integridade de visitantes que usem um determinado provedor, por exemplo.
  • Cookie: permite criar critérios baseados na existência ou não de determinados cookies vinculados à requisição.
  • País / Continente: permite criar ações baseado no país/continente de onde se origina a requisição.
  • Nome do Host: permite a filtragem de requisições em cima do nome de host vinculado ao IP do visitante (DNS reverso).
  • Endereço IP: permite que se apliquem ações baseadas no endereço IP do visitante. Por outro lado, na maioria dos casos o uso do AS Num é mais eficiente.
  • Referente: contém o endereço da página que originou a requisição específica. Útil para bloquear ou permitir visitantes oriundos de determinados sites, por exemplo.
  • Método de solicitação: permite identificar o método HTTP que está fazendo a requisição.
  • SSL/HTTPS: permite que se acesse a informação a respeito da criptografia da requisição.
  • URI cheia: endereço completo da requisião, incluindo nome de host, “querystrings” e “âncoras” de navegação interna.
  • URI: semelhante ao campo URI cheia, mas não inclui o nome de host.
  • Caminho do URI: contém apenas a “rota” da requisição.
  • Cadeia de caracteres de consulta do URI: contém apenas a query string da requisição.
  • Versão HTTP: contém a versão do protocolo HTTP utilizada na requisição.
  • Agente do usuário: contém a identificação do navegador ou outro agente de usuário que esteja fazendo uma dada requisição.
  • Bots conhecidos: contém um valor que indica se a requisição está sendo feita por um bot conhecido.
  • Pontuação da ameaça: “nota” que indica o nível de ameaça que um determinado visitante representa.
Ação

Por fim, as ações básicas são:

  • Bloquear: para simplesmente bloquear uma requisição.
  • Desafio JS: para forçar um desafio, que é uma espécie de CAPTCHA cujo objetivo é comprovar que a requisição está sendo feita em um navegador convencional e operado por um ser humano. Todavia, nesse caso o desafio é automatizado, não requerendo nenhuma interação do operador. Ou seja, basta o operador esperar o fim do desafio e o carregamento da página solicitada.
  • Desafio (CAPTCHA): semelhante ao Desafio JS, mas nesse caso o operador do navegador é obrigado a resolver um CAPTCHA. Tal desafio pode ser informar letras e números que aparecem numa imagem, clicar em objetos semelhantes etc.
  • Permitir: autoriza a requisição.
  • Ignorar: permite que o firewall continue processando a requisição, porém desativando algum dos filtros internos.

Como criar regras no firewall da Cloudflare?

printscreen do painel de criação de regras de firewall
Na aba “Firewall”, clique em “Regras de firewall” e, em seguida, em “Criar uma regra de firewall”

Antes de mais nada, vale frisar que a Cloudflare tem uma página com a documentação completa sobre a criação das regras de firewall. Então, se você saber como tirar mais proveito dos recursos de proteção de seu site, vale a pena dar uma lida.

Abaixo separei alguns exemplos de regras mais populares para segurança em sites. A conta gratuita só permite 5 regras de firewall por domínio – porém, isso deve ser suficiente para a maioria dos casos.

Como bloquear o Googlebot falso?

Existem serviços de rastreamento (ou ladrões de conteúdo, mesmo) que recorrem a um truque bem sujo para tentar obter acesso a todo o conteúdo de um site, sem limites de qualquer tipo: eles fingem ser o Googlebot. 

Inclusive, a própria Google recomenda que, antes de permitir acesso a um bot que se identifique como Googlebot, o servidor verifique se o IP que está fazendo a requisição realmente faz parte da rede da Google.

Entretanto, implementar isso no servidor pode ser bem complicado, além de ter o potencial de causar lentidão para todos os visitantes em função das consultas de DNS serem demoradas.

Mas felizmente é possível combater esse mal usando uma regra de firewall da Cloudflare.

printscreen de regras para bloquear googlebot falso

Conforme imagem acima, a regra deve considerar o seguinte:

  1. Se o Agente de usuário (Campo) contém (Operador) Googlebot (Valor); e
  2. A flag de Bots conhecidos da Cloudflare for igual a Off; então
  3. A ação será Bloquear!

Como bloquear países?

Às vezes, um site precisa impedir países inteiros de acessar seu conteúdo.

Isso porque é muito comum que ataques (de todo tipo) partam de países com leis menos rígidas para crimes digitais, como os do Leste Europeu. China e Índia também têm reputação de serem origem de vários ataques e tentativas de invasão.

printscreen de regras para bloquear países

Para bloquear países no firewall da Cloudflare é simples: basta criar uma regra que verifique se o País (Campo) de origem está em (Operador) uma lista de sua preferência (Valor). Assim, a ação é Bloquear.

É bom ter um pouco de cautela, ser menos agressivo ao bloquear países inteiros, pois serviços legítimos (como Facebook e Telegram) têm servidores em todos os países.

Provavelmente você não vai querer impossibilitar o acesso destes serviços ao seu blog, não é mesmo?!

Como bloquear tentativas de invasão por força bruta?

Uma “invasão por força bruta” ocorre quando um hacker qualquer obtém acesso a um site ou serviço utilizando ferramentas automatizadas que ficam tentando milhares de combinações de nomes de usuários e senhas até obter sucesso.

Também é chamado de “ataque por dicionário”, já que um conjunto de palavras conhecidas e senhas comuns é usado para alimentar o programa que tenta invadir.

É devido às invasões por força que se recomenda sempre o uso de senhas fortes, algo que, contudo, ainda está longe de ser levado a sério.

Sendo assim, esses ataques costumam ser muito bem sucedidos. Isso evidencia que, no geral, as pessoas não estão nem aí para a segurança de suas senhas.

Mas vamos, então, à solução.

Se você utiliza WordPress, para esta proteção funcionar é necessário instalar um plugin que altera a url do login. Recomendo o WPS Hide Login, sempre presente em minhas dicas de segurança para WP.

Ao instalar o plugin, sua configuração é bem simples: basta definir uma nova url de login e, opcionalmente, uma página que irá abrir caso alguém tente acessar o endereço /wp-login.php.

Em seguida a Cloudflare pode ser configurada para impedir todo e qualquer acesso à página de login original.

printscreen de regras para bloquear tentativas de login

O Campo a ser verificado pela regra é Caminho do URI, o Operador é contém e o Valor é /wp-login.php. A ação, claro, Bloquear.

Assim, o invasor que não souber a URL de login configurada no plugin vai levar um bloqueio toda vez que tentar acessar a URL padrão.

Como instalar a Cloudflare?

Agora que você já sabe como funciona e o que faz a Cloudflare, certamente vai querer instalar o sistema em seu site.

A princípio o processo é bem fácil, mas pode ser que você precise da ajuda de um profissional para prosseguir. De qualquer forma, criei um passo-a-passo abaixo!

Antes de prosseguir, porém, certifique-se de que você tem acesso às configurações do domínio, já que será necessário substituir os nameservers cadastrados além de revisar os registros de DNS.

Passo a passo de cadastro de domínio na Cloudflare

Tempo necessário: 1 dia.

Saiba como cadastrar um domínio na Cloudflare em poucos passos. As alterações podem levar um dia para surtir efeito.

  1. Crie uma conta

    Se você ainda não tem uma conta, acesse dash.cloudflare.com/sign-up para criar um cadastro.printscreen de painel de criar conta na Cloudflare

    Esse conteúdo não pode ser exibido em seu navegador.

  2. Adicione um site

    O próximo passo é adicionar o domínio do site em sua conta. Ou seja, o endereço do seu site (seusite.com.br, por exemplo).printscreen de painel de adicionar site na Cloudflare

    Esse conteúdo não pode ser exibido em seu navegador.

  3. Escolha um plano

    A seguir, você deve escolher um plano. Role a página para baixo e clique na opção Grátis. Em seguida, clique em Continuar.printscreen de seleção de plano da Cloudflare

    Esse conteúdo não pode ser exibido em seu navegador.

  4. Revise os registros de DNS

    Nesse passo a Clouflare irá tentar identificar todos os registros de DNS configurados em seu domínio. Assim, você deve verificar se esses registros estão corretos – normalmente essa verificação é feita no painel de sua hospedagem. Caso algum dado esteja incorreto ou em falta, é possível fazer a edição nessa etapa.printscreen de registros de DNS no painel da Cloudflare

    Esse conteúdo não pode ser exibido em seu navegador.

  5. Colete os nameservers da Cloudflare

    Assim que você confirmar os registros de DNS do passo anterior, é preciso copiar os nameservers que a Cloudflare informar a seguir. Você pode clicar em Concluído, verifique os nameservers, mas ainda é preciso seguir o passo abaixo. printscreen de nameservers da Cloudflare

    Esse conteúdo não pode ser exibido em seu navegador.

  6. Altere os nameservers do seu domínio

    Por fim, acesse o painel de gerenciamento do seu domínio para fazer a alteração de nameservers, também chamados de servidores DNS. Após fazer essa alteração, o domínio irá apontar para os servidores da Cloudflare. Isso pode levar até 24 horas para acontecer!printscreen de nameservers no painel do Registro.br

    Esse conteúdo não pode ser exibido em seu navegador.

Se você clicou no botão do passo 5 a Cloudflare fará verificações automáticas para confirmar a alteração dos nameservers.

Quando essa etapa não estiver mais pendente, pronto! Seu site estará protegido com a Cloudflare.

Créditos das imagens: Freepik, Registro.br e Cloudflare.

Revisão

Agora que você sabe como a Cloudflare pode melhorar a segurança em sites, certifique-se abaixo de que não há mais dúvidas sobre o assunto!

O que é Cloudflare?

Cloudflare é uma empresa que fornece serviços de distribuição de conteúdos (CDN), de segurança e de serviços de nomes na Internet (DNS). Seus principais serviços são gratuitos, mas há planos pagos para opções mais avançadas.

A Cloudflare ajuda na segurança do site?

Sim, a Cloudflare tem um papel importante na defesa contra ataques em geral. Além da proteção padrão, é possível configurar regras de firewall para bloquear ameaças específicas e proteger ainda mais seu site.

Como ter um site seguro com a Cloudflare?

Site seguro é um termo utilizado para modo de criptografia SSL/TLS. Por padrão isso já é ativo na Cloudflare (vide a aba SSL/TLS para mais informações – a opção selecionada deve ser “Completo”). Porém, há outras configurações para melhorar a segurança em sites, como você pode ver neste post.

A cópia dos conteúdos e trabalhos deste site não é permitida. Saiba mais clicando aqui!

Quem é Fabio Lobo?

Web designer, desenvolvedor front-end e programador WordPress.

Quem é Fabio Lobo?

Estou há mais de uma década na área. O foco do meu trabalho é em usabilidade, facilidade pro usuário, acessibilidade, SEO e performance.

Também tenho alguns projetos open source, além de prestar consultoria em hospedagem WordPress e criação de conteúdo.

Como posso te ajudar hoje?

Trabalho com consultoria, suporte, manutenção, criação e desenvolvimento.

Fale comigo

Leia também...

...alguns textos que têm a ver com o assunto:

Como criar: página de termos de serviço / condições de uso

Essencial para proteger tanto a empresa quanto o usuário, a página de termos de serviço / condições de uso devem ser bem claras e completas. Veja como!

Como proteger sua privacidade na internet

Seus dados valem dinheiro, e não só sua privacidade está em jogo: sua segurança também. Veja dicas para proteger sua privacidade e a de seus clientes na internet.

Plataformas para criar curso de ensino a distância

Quer oferecer aulas em formato EAD? Saiba onde e como criar um curso de ensino a distância. Opções para aulas grátis, pagas e até com certificado.

Deixe seu comentário

Se você deseja um orçamento, entre em contato clicando aqui.

Quero um orçamento