Czym różni się WAF od tradycyjnego firewalla i dlaczego WordPress potrzebuje obu?

Tradycyjny firewall chroni sieć na poziomie IP i portów, podczas gdy WAF analizuje ruch HTTP/HTTPS na poziomie aplikacji. WordPress potrzebuje obu rozwiązań - firewall chroni serwer przed atakami sieciowymi, a WAF chroni aplikację WordPress przed atakami jak SQL injection, XSS czy brute force. WAF rozumie specyfikę WordPress i potrafi blokować ataki zanim dotrą do kodu.

Jakie są koszty utrzymania WAF dla małej strony WordPress?

Dla małej strony podstawowa ochrona jest darmowa - Cloudflare Free oferuje WAF z regułami OWASP. Dla bardziej zaawansowanej ochrony koszty zaczynają się od 80 zł/miesięcznie za Cloudflare Pro lub 735 zł/rok za Sucuri. Warto rozważyć też Wordfence Premium za 400 zł/rok jeśli nie można zmienić DNS. Koszty rosną wraz z rozmiarem strony i wymaganiami bezpieczeństwa.

Czy WAF może spowolnić działanie strony WordPress?

Cloud-based WAF jak Cloudflare czy Sucuri zwykle przyspieszają stronę dzięki CDN, ponieważ ruch jest filtrowany na edge zanim dotrze do serwera. Host-based WAF jak Wordfence może nieznacznie spowolnić stronę (1-5% przyrost TTFB) ponieważ każdy request jest przetwarzany przez PHP. Dla większości stron różnica jest niezauważalna, a korzyści bezpieczeństwa przewyższają minimalny spadek wydajności.

Jak skonfigurować WAF aby nie blokował prawdziwych użytkowników?

Kluczowe jest stopniowe wdrażanie reguł - zacznij od trybu "Learning Mode" jeśli dostępny, monitoruj zdarzenia bezpieczeństwa, whitelistuj znane boty jak Googlebot, testuj formularze i funkcjonalności po każdej zmianie. W Cloudflare można tworzyć wyjątki dla konkretnych IP lub ścieżek. Ważne jest regularne przeglądanie logów i dostosowywanie reguł do specyfiki strony.

Czy WAF chroni przed wszystkimi typami ataków na WordPress?

WAF chroni przed większością ataków aplikacyjnych jak SQL injection, XSS, brute force, DDoS, ale nie zastępuje innych zabezpieczeń. Nie chroni przed phishingiem, słabymi hasłami, nieaktualnymi wtyczkami, czy atakami socjotechnicznymi. Pełne bezpieczeństwo wymaga kombinacji WAF, regularnych aktualizacji, silnych haseł, 2FA, kopii zapasowych i monitorowania.

Czym jest WAF i czy jest naprawdę potrzebny dla mojej strony WordPress?

WAF (Web Application Firewall) to system ochrony, który filtruje ruch HTTP/HTTPS przed dotarciem do Twojej strony. Dla WordPressa jest absolutnie konieczny, ponieważ 43% wszystkich stron internetowych używa WP, co czyni je głównym celem ataków. WAF blokuje 99% ataków zanim dotrą do serwera, w tym brute force, SQL injection i ataki DDoS.

Czy darmowy Cloudflare WAF wystarczy do ochrony mojej strony?

Tak, Cloudflare Free Plan oferuje podstawową ochronę WAF z regułami OWASP Core Rule Set oraz nieograniczoną mitygację ataków DDoS do ~10 Gbps. Dla małych blogów i stron portfolio to wystarczające rozwiązanie. Strony e-commerce powinny rozważyć plan Pro (80 zł/m) z dodatkowymi regułami custom i rate limiting.

Jakie są najczęstsze błędy podczas konfiguracji WAF?

Najczęstsze błędy to blokowanie Googlebota (co powoduje spadek w SEO), zbyt agresywne reguły powodujące false positives, konflikty między różnymi rozwiązaniami WAF oraz problemy z SSL (nieskończone przekierowania przy Flexible SSL). Zawsze whitelistuj dobre boty i testuj reguły na ruchu testowym.

Czy mogę używać jednocześnie Cloudflare WAF i Wordfence?

Technicznie tak, ale nie jest to zalecane ze względu na podwójne przetwarzanie każdego zapytania, co zwiększa obciążenie serwera. Lepszym rozwiązaniem jest użycie Cloudflare WAF jako głównej ochrony i Wordfence tylko do skanowania malware z wyłączonym firewallem, lub odwrotnie jeśli nie masz możliwości zmiany DNS.

Jak szybko mogę wdrożyć ochronę WAF na mojej stronie WordPress?

Konfiguracja Cloudflare Free zajmuje około 20-30 minut. Proces obejmuje rejestrację konta, zmianę nameserverów, włączenie SSL/TLS oraz skonfigurowanie podstawowych reguł WAF. Dla Wordfence instalacja i podstawowa konfiguracja zajmuje około 15 minut. W obu przypadkach ochrona jest aktywna natychmiast po konfiguracji.

WAF w WordPress – jak chronić stronę przed atakami botów i DDoS

Spis treści

Czym jest WAF i dlaczego to kluczowy element ochrony
Rodzaje ataków na WordPress
Jak działa WAF - filtrowanie i analiza
Popularne rozwiązania WAF - porównanie
Konfiguracja WAF krok po kroku
Integracja z serwerem i CDN
Monitorowanie i alerty
Najczęstsze błędy i jak ich unikać
Podsumowanie i rekomendacje

Czym jest WAF i dlaczego to kluczowy element ochrony WordPressa

Web Application Firewall (WAF) to zaawansowany system ochrony, który działa jako bariera między Twoją stroną WordPress a ruchem internetowym. W przeciwieństwie do tradycyjnych firewalli sieciowych, WAF analizuje treść requestów HTTP/HTTPS i blokuje podejrzany ruch zanim dotrze do Twojej strony.

Dlaczego WAF jest niezbędny dla WordPressa w 2025 roku?

WordPress = największy cel ataków - 43% wszystkich stron używa WP, co czyni go głównym celem dla hakerów
90,000+ ataków dziennie według Wordfence - boty skanują strony 24/7 szukając luk w zabezpieczeniach
Ataki DDoS mogą wykończyć hosting - nawet shared hosting w sekundach
Brute force attacks - próby logowania admin/admin, admin/password123 tysiące razy na minutę
Zero-day exploits - nowe luki w wtyczkach wykorzystywane w ciągu godzin od publikacji

Kluczowa różnica: Zwykły firewall chroni serwer, WAF chroni aplikację. WordPress potrzebuje obu.

Rodzaje ataków – najczęstsze zagrożenia dla WordPressa

1. Ataki botów (Bot Traffic)

Problem: 40-60% ruchu na przeciętnej stronie WordPress to boty - większość złośliwe.

Bad bots: Scrapers (kradną treść), spam bots (komentarze), skanery podatności
Good bots: Googlebot, Bingbot - ich NIE blokujemy
Skutki: Obciążenie serwera, wyższe koszty hostingu, gorsze SEO (wolne ładowanie strony)

2. Brute Force – ataki na panel logowania

Mechanizm: Bot próbuje logowania setkami kombinacji hasła/login jednocześnie.

Targetują /wp-login.php i /wp-admin
Wykorzystują listy skradzionych haseł (wypełnianie danymi)
Distributed brute force - atak z tysięcy IP jednocześnie

Ochrona WAF: Rate limiting (max 5 prób logowania/10 minut), IP blacklisting, CAPTCHA enforcement.

3. DDoS (Distributed Denial of Service)

Cel: Przeciążenie serwera tysiącami zapytań, żeby strona przestała odpowiadać.

Layer 7 DDoS: Ataki na poziomie aplikacji (HTTP flood) - najgroźniejsze dla WordPress
XML-RPC amplification: Jeden request = setki operacji na serwerze
WordPress-specific: Ataki na wp-cron.php, wp-admin/admin-ajax.php

Skutki: Niedostępność = utrata sprzedaży, kara SEO, blokada przez Google.

4. Exploity i vulnerability attacks

Najczęstsze:

SQL Injection: Manipulacja query do bazy danych
XSS (Cross-Site Scripting): Wstrzykiwanie złośliwego JavaScript
LFI/RFI (Local/Remote File Inclusion): Dołączanie plików lokalnych/zdalnych
Plugin exploits: 90% włamań przez vulnerable wtyczki

Statystyka: 29% ataków na WordPress wykorzystuje luki w wtyczkach, 8% w motywach. WAF blokuje te exploity nawet jeśli wtyczka nie jest jeszcze zaktualizowana.

Jak działa WAF – filtrowanie ruchu, reguły bezpieczeństwa i analiza heurystyczna

3 warstwy ochrony WAF:

1. Filtrowanie ruchu (Traffic Filtering)

WAF analizuje każdy request HTTP/HTTPS przed przekazaniem do WordPressa:

IP reputation: Blokuje znane złośliwe IP (botnety, proxy TOR, źródła spamu)
Geoblocking: Możesz zablokować cały ruch z krajów wysokiego ryzyka
Rate limiting: Max X requestów na sekundę z jednego IP
User-Agent filtering: Blokuje podejrzane boty (fake User-Agent)

2. Reguły bezpieczeństwa (Security Rules)

WAF używa reguł signatury do wykrywania znanych wzorców ataków:

# Przykładowa reguła WAF (ModSecurity)
SecRule REQUEST_URI "@contains /wp-admin" \
  "id:1001,phase:1,deny,status:403,msg:'Admin access blocked'"

OWASP Core Rule Set: ~200 reguł chroniących przed top 10 vulnerability
WordPress-specific rules: Ochrona xmlrpc.php, wp-login.php, wp-cron.php
Custom rules: Możesz dodać własne (np. blokuj access do /wp-content/uploads/*.php)

3. Analiza heurystyczna i machine learning

Nowoczesne WAF (Cloudflare, Sucuri Premium) używają AI do wykrywania zero-day exploits:

Behavioral analysis: Normalny użytkownik vs bot - różne wzorce klikania, ruchy myszy
Anomaly detection: Jeśli zapytanie różni się od 99% ruchu - flagowany do weryfikacji
Threat intelligence: WAF uczy się z ataków na miliony innych stron i aktualizuje reguły w czasie rzeczywistym

Typy WAF według deployment:

Network-based WAF (Hardware)

Gdzie: Fizyczne urządzenie w data center
Plusy: Najniższe latency
Minusy: Drogi (5000$+), wymaga administracji
Dla kogo: Enterprise (banki, e-commerce z 100k+ transakcji/dzień)

Host-based WAF (Software)

Gdzie: Zainstalowany na serwerze (moduł Apache/Nginx)
Przykłady: ModSecurity, Wordfence (endpoint WAF)
Plusy: Darmowy, pełna kontrola
Minusy: Zużywa zasoby serwera, wymaga konfiguracji

Cloud-based WAF (SaaS) - REKOMENDOWANE dla WordPress

Gdzie: Edge network (request przechodzi przez WAF zanim trafi na serwer)
Przykłady: Cloudflare, Sucuri, Imperva
Plusy: Zero obciążenia serwera, automatyczne aktualizacje reguł, mitygacja DDoS, CDN w cenie
Minusy: Miesięczny koszt (od 0 zł Cloudflare Free do 735 zł/m Sucuri)

Popularne rozwiązania WAF – Cloudflare, Sucuri, Wordfence, Imunify360

1. Cloudflare WAF

Plan FREE (0 zł/m) - najlepszy stosunek jakości do ceny

WAF: Basic reguły (OWASP Core Rule Set)
DDoS protection: Unlimited - mitygacja ataków do ~10 Gbps
CDN: 275+ data centers worldwide
SSL: Darmowy certyfikat Flexible/Full
Rate limiting: NIE (dopiero w Pro)
Dla kogo: Mały blog, portfolio, startup

Plan Pro (80 zł/m)

+ WAF reguły custom (do 5)
+ Rate limiting (10 reguł)
+ Image optimization (Mirage, Polish)
Dla kogo: Business site, small e-commerce

Plan Business (800 zł/m)

+ Pełny WAF z custom rulesets
+ Advanced DDoS (layer 3/4/7)
+ PCI compliance
Dla kogo: E-commerce, SaaS

2. Sucuri Website Firewall

Plan Basic (735 zł/rok ≈ 61 zł/m)

Cloud WAF: Edge protection przed serwerem
DDoS mitigation: Unlimited
Malware scanning: Daily automated
CDN: Sieć Anycast (szybsza niż Cloudflare dla niektórych regionów)
Cleanup: Malware removal w cenie (1x rok)
SSL: Let's Encrypt automatic

Plan Pro (1470 zł/rok ≈ 123 zł/m)

+ Advanced WAF rules
+ Unlimited malware cleanup
+ Priority support

Sucuri vs Cloudflare:

Sucuri = WordPress-specific, lepszy support dla WP
Cloudflare = Ogólny, bardziej techniczny, lepszy dla deweloperów
Sucuri = Czyszczenie w cenie - jeśli zhakowano, naprawione za darmo

3. Wordfence Security (WordPress Plugin)

Wordfence Free

Typ: Endpoint WAF (działa na serwerze)
WAF: Reguły aktualizowane co 30 dni (delayed)
Firewall rules: ~1000 reguł chroniących WP
Malware scanner: Unlimited scans
Login security: 2FA, brute force protection
Monitoring: Live traffic view
Minusy: Obciąża serwer (PHP execution na każdy request)

Wordfence Premium (400 zł/rok)

+ Reguły WAF w czasie rzeczywistym (aktualizacja w ciągu minut od zero-day)
+ Country blocking
+ Advanced malware signatures
+ Premium support

Kiedy Wordfence:

Shared hosting bez dostępu do DNS (nie możesz zmienić na Cloudflare)
Chcesz kontrolę z poziomu WordPress dashboard
Budżet 0 zł

4. Imunify360 (Server-level WAF)

Koszt: ~200-400 zł/m (przez hosting provider)

Typ: Host-based WAF + IDS/IPS
Deployment: Automatycznie przez cPanel/DirectAdmin/Plesk
WAF: ModSecurity rules + custom for WordPress
Proactive Defense: Blokuje exploity zanim dotrą do WP
Malware scanner: Real-time file monitoring
Patch management: Wirtualne łatanie dla podatnych wtyczek

Dla kogo: VPS/Dedicated server owners, agencje zarządzające wieloma stronami WP.

Porównanie tabelaryczne

Rozwiązanie	Typ	Koszt/miesiąc	DDoS Protection	Dla kogo
Cloudflare Free	Cloud WAF	0 zł	Unlimited (~10 Gbps)	Wszyscy
Sucuri Basic	Cloud WAF	61 zł	Unlimited	Business, e-commerce
Wordfence Free	Endpoint WAF	0 zł	Brak	Shared hosting, budżet 0
Imunify360	Host-based	200-400 zł	Częściowo	VPS/Dedicated

Konfiguracja krok po kroku – jak włączyć i skonfigurować WAF dla WordPressa

Konfiguracja Cloudflare WAF (Free Plan) - Step by Step

Krok 1: Zarejestruj się w Cloudflare

Idź na cloudflare.com i załóż darmowe konto
Dodaj swoją domenę: twojadomena.pl
Cloudflare zeskanuje DNS records automatycznie

Krok 2: Zmień nameservery

Cloudflare poda Ci 2 nameservery (np. alex.ns.cloudflare.com). Zmień je u swojego rejestratora domeny:

home.pl → Panel → Domeny → Zarządzaj → DNS → Zmień NS
OVH → Domeny → Serwery DNS → Zmień

Czas propagacji: 2-24h (średnio 2h).

Krok 3: Włącz SSL/TLS

W Cloudflare dashboard → SSL/TLS → Overview
Ustaw "Full (strict)" jeśli masz SSL na serwerze
Lub "Flexible" jeśli nie masz (Cloudflare dostarczy darmowy)

Krok 4: Skonfiguruj podstawowy WAF

Security → WAF → Managed rules
Włącz "Cloudflare Managed Ruleset" (OWASP)
Włącz "Cloudflare OWASP Core Ruleset"

Krok 5: Dodaj custom rule dla wp-login.php

Security → WAF → Custom rules → Create rule
Rule name: Protect wp-login

Gdy przychodzące zapytania pasują:

(http.request.uri.path contains "/wp-login.php") and
(not ip.src in {123.45.67.89})  # Twoje IP

Wtedy: Wyzwanie JS
Deploy

Krok 6: Rate Limiting (tylko Pro plan 80 zł/m)

Jeśli masz Free plan, pomiń. W Pro:

Security → WAF → Rate limiting rules
Utwórz regułę: Max 5 zapytań/10s na IP na /wp-login.php

Krok 7: Włącz "Under Attack Mode" przy DDoS

Szybkie akcje (prawy górny róg) → "Jestem pod atakiem"
Wszyscy odwiedzający zobaczą 5-sekundową stronę pośrednią przed dostępem
Blokuje boty DDoS - wyłącz gdy atak ustanie

Konfiguracja Wordfence (Free Plugin) - Step by Step

Krok 1: Instalacja

WordPress Dashboard → Plugins → Add New
Szukaj: "Wordfence Security"
Install Now → Activate

Krok 2: Podstawowa konfiguracja

Wordfence → Dashboard → Run manual scan (pierwszy scan 5-10 min)
Wordfence → Firewall → Optimize Firewall (auto-detect best config)
Wordfence → Login Security → Enable 2FA for all admins

Krok 3: Firewall rules

Wordfence → Firewall → Firewall Options
Poziom ochrony: Tryb nauki (przez 1 tydzień) → potem Rozszerzona ochrona
Brute force protection: ON
Ograniczenie częstotliwości: Max 3 logowań/minutę na IP

Krok 4: Country blocking (Premium only)

W Free plan: brak. Upgrade do Premium (400 zł/rok) albo użyj Cloudflare Free (ma geoblocking).

Krok 5: Scan schedule

Wordfence → Scan → Scan Options & Scheduling
Włącz automatyczne skany: Codziennie o 3:00
Alerty email: Włącz dla krytycznych problemów

Integracja z serwerem i CDN – jak połączyć WAF z Cloudflare, LiteSpeed czy Nginx

Cloudflare + WordPress (Recommended Stack)

1. Zainstaluj wtyczkę Cloudflare (opcjonalnie)

Plugins → Add New → "Cloudflare"
Connect przez API token (Settings → API Tokens w CF dashboard)

Korzyści: Automatyczne czyszczenie cache przy publikacji posta, APO (Automatic Platform Optimization).

2. Ustaw Cloudflare na "Orange Cloud" (proxied)

W Cloudflare DNS: Orange cloud icon = ruch przechodzi przez CF (WAF aktywny).

3. Restore visitor IP w WordPress

Problem: Cloudflare = proxy, więc WordPress widzi IP CF zamiast IP odwiedzającego.

Rozwiązanie - dodaj do wp-config.php:

if (isset($_SERVER['HTTP_CF_CONNECTING_IP'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_CF_CONNECTING_IP'];
}

LiteSpeed + LSCache + Cloudflare

Recommended config:

Cloudflare: Edge WAF + DDoS protection
LiteSpeed Web Server: HTTP/3, protokół QUIC
Wtyczka LSCache: Cache strony na poziomie serwera

Setup:

Install LiteSpeed Cache plugin
LSCache → Settings → CDN → Cloudflare
Wprowadź klucz API CF - automatyczne czyszczenie cache przy publikacji posta
LSCache → Cache → Włącz Object Cache (Redis/Memcached)

Stos wydajności: Cloudflare (WAF + CDN) → LiteSpeed (HTTP/3) → LSCache (cache strony) → WordPress = najszybsza kombinacja w 2025.

Nginx + ModSecurity (Advanced)

Dla zaawansowanych: własny WAF na VPS

ModSecurity = open-source moduł WAF dla Nginx/Apache.

Instalacja (Ubuntu 22.04):

sudo apt install libnginx-mod-security
sudo wget https://github.com/coreruleset/coreruleset/archive/v3.3.4.tar.gz
sudo tar -xvf v3.3.4.tar.gz -C /etc/nginx/modsec/
sudo cp /etc/nginx/modsec/coreruleset-3.3.4/crs-setup.conf.example /etc/nginx/modsec/crs-setup.conf

Włącz w konfiguracji Nginx:

server {
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;

    location / {
        # Reguły WordPress
    }
}

Plusy: Pełna kontrola, darmowy.
Minusy: Wymaga administracji, może obciążać serwer.

Monitorowanie i alerty – jak śledzić ataki i reagować w czasie rzeczywistym

Cloudflare Analytics - co monitorować

1. Security Events

Cloudflare Dashboard → Security → Events
Zobacz: zablokowane zapytania, kraj pochodzenia, typ ataku
Filtruj według: Akcja (blokuj, wyzwanie, zezwalaj), Usługa (WAF, Reguły zapory)

2. Traffic Analytics

Zapytania: Łącznie vs Zbuforowane vs Niezbuforowane
Przepustowość: Oszczędność przez CDN
Zagrożenia: Liczba zablokowanych zagrożeń dziennie

3. Top Events Report

Najczęściej blokowane kraje
Najczęściej uruchamiane reguły WAF
Najczęściej atakujące IP

Wordfence Live Traffic - real-time monitoring

Wordfence → Tools → Live Traffic
Zobacz każde zapytanie do WordPressa:
- IP address, country, User-Agent
- URL accessed
- Kod odpowiedzi (200, 404, 403 zablokowany)
- Człowiek vs Bot vs Crawler
Filtruj według: Zablokowany ruch, Logowania, Ruch ludzki

Email Alerts - set it and forget it

Cloudflare Notifications (Business plan 800 zł/m)

Alert gdy WAF blokuje > 100 zapytań/min z tego samego IP
Alert przy wykryciu ataku DDoS
Ostrzeżenie o wygaśnięciu certyfikatu SSL

Wordfence Alerts (Free)

Wordfence → All Options → Alerts
Email gdy:
- Logowanie administratora
- 5+ nieudanych prób logowania
- Wykryto malware
- Zmieniono plik core
- Wtyczka zainstalowana/aktywowana
Rejestracja telefonu: Alerty SMS (tylko Premium)

Uptime monitoring - czy strona jest online?

UptimeRobot (FREE)

uptimerobot.com → Create Monitor
Typ monitorowania: HTTP(s)
URL: https://twojadomena.pl
Interwał monitorowania: 5 minut
Kontakty alertowe: Email/SMS/Slack

Alert gdy: Strona niedostępna > 5 minut = otrzymasz email natychmiast.

Slack/Discord Integration

Wordfence → Slack:

Zainstaluj plugin: "Wordfence Slack Notifications"
Connect Slack workspace
Wybierz kanał: #security-alerts
Alerty w czasie rzeczywistym w Slack przy każdym incydencie

Najczęstsze błędy – blokowanie ruchu Googlebota, konflikty z wtyczkami

Błąd 1: Blokowanie Googlebota przez WAF

Problem:

WAF flaguje Googlebota jako podejrzany bot → blokuje → kara SEO (strona wypada z indeksacji).

Symptomy:

Google Search Console: skok "błędów indeksowania"
Cloudflare Analytics: zapytania z Google IP blokowane
Ruch organiczny spada

Rozwiązanie - Whitelist Googlebot:

W Cloudflare:

Security → WAF → Tools → User Agent Blocking
NIE blokuj: Googlebot, Bingbot, AhrefsBot, SEMrushBot

Custom Rule:
(cf.client.bot) and (cf.bot_management.verified_bot)
Then: Allow

W Wordfence:

Wordfence → Firewall → Rate Limiting
Whitelist known crawlers: ON
Immediately block fake Google crawlers: ON (blokuje fake, ale NIE prawdziwego)

Błąd 2: WAF blokuje legitimate traffic (False Positives)

Problem:

Zbyt agresywne reguły WAF blokują prawdziwych użytkowników (np. formularz kontaktowy z długim tekstem uruchamia regułę SQL injection).

Symptomy:

Użytkownicy zgłaszają: "403 Forbidden" przy wysyłaniu formularza
Checkout w e-commerce nie działa dla niektórych użytkowników
Pętla wyzwań Cloudflare

Rozwiązanie:

Sprawdź Cloudflare Security Events - która reguła blokowała

Wyłącz konkretną regułę lub dodaj wyjątek:

WAF → Managed Rules → Cloudflare Managed Ruleset → Configure
Znajdź uruchomioną regułę (np. 100136A)
Ustaw akcję: Wyłącz lub Log (tylko loguj, nie blokuj)

Test: Spróbuj ponownie wysłać formularz

Błąd 3: Cloudflare + Wordfence = Duplicate Protection Overhead

Problem:

Używasz Cloudflare WAF + Wordfence jednocześnie = podwójne przetwarzanie każdego zapytania.

Skutek:

Wyższe server load
Wolniejszy TTFB (Time to First Byte)
Konflikty (CF blokuje request, który Wordfence też chce sprawdzić)

Rozwiązanie - wybierz jedno:

Cloudflare WAF (edge) + Wordfence Malware Scanner tylko (wyłącz Wordfence Firewall)
Lub: Wordfence WAF (bez Cloudflare, jeśli hosting nie pozwala zmienić DNS)

Błąd 4: Infinite redirect loop (Flexible SSL + HTTPS redirect)

Problem:

Cloudflare SSL = "Flexible" + WordPress force HTTPS redirect = nieskończona pętla.

Symptomy:

Strona nie ładuje się: "ERR_TOO_MANY_REDIRECTS"
Odwiedzający → CF (HTTPS) → Serwer (HTTP) → WP redirect HTTPS → CF (HTTPS) → pętla

Rozwiązanie:

Cloudflare → SSL/TLS → Overview → Zmień na "Full (strict)"
Upewnij się że serwer ma certyfikat SSL (Let's Encrypt lub Cloudflare Origin Certificate)
Lub: Wyłącz redirect HTTPS w WordPress (NIE rekomendowane)

Błąd 5: Cache bypass przez query string attacks

Problem:

Atakujący dodaje losowe query strings do URL: /?random=12345 → każde zapytanie = cache miss → obciąża serwer.

Rozwiązanie - Cloudflare Cache Rules:

Caching → Configuration → Cache Rules
Rule: Remove query string parameters for static resources
If: (http.request.uri.path matches ".*\.(jpg|png|css|js)$")
Then: Cache Everything, ignore query string

Podsumowanie – jakie korzyści daje WAF i kiedy warto go wdrożyć

Kluczowe korzyści WAF dla WordPressa:

Blokuje 99% ataków zanim dotrą do serwera
- Brute force, SQL injection, XSS, LFI/RFI
- Zero-day exploits (nawet jeśli wtyczka nie zaktualizowana)
Mitygacja DDoS - strona online nawet przy ataku
- Cloudflare Free obsługuje ataki do ~10 Gbps
- Sucuri/Cloudflare Pro: unlimited
Niższe obciążenie serwera
- 60% ruchu botów zablokowany na edge = mniej CPU/RAM na hostingu
- Tańszy hosting wystarczy
Szybsza strona (jeśli WAF + CDN)
- Cloudflare/Sucuri = CDN included
- Statyczne zasoby serwowane z edge = niższe opóźnienia
PCI Compliance i security standards
- E-commerce = wymagany WAF dla PCI DSS
- RODO/GDPR: ochrona danych użytkowników

Kiedy wdrożyć WAF? ZAWSZE.

Nawet mała strona potrzebuje WAF, bo:

Boty atakują wszystko - nie patrzą czy masz 100 czy 100,000 odwiedzających/dzień
Cloudflare Free = 0 zł - nie ma wymówki "za drogi"
WordPress = automatyczny cel - skanery botnet sprawdzają każdą nową domenę

Szczególnie krytyczny WAF dla:

E-commerce (WooCommerce, Easy Digital Downloads) - płatności, dane klientów
Strony członkowskie - logowania, dane użytkowników
Strony biznesowe z formularzami - spam, eksfiltracja danych
Blogi z dużym ruchem - atak DDoS konkurencji

Rekomendacje wdrożenia:

Mały blog / portfolio:

Cloudflare Free (0 zł) + Wordfence Free (tylko skanowanie malware)
Całkowity koszt: 0 zł
Czas konfiguracji: 30 minut

Business site / small e-commerce:

Sucuri Basic (735 zł/rok) lub Cloudflare Pro (80 zł/m)
Kopia zapasowa: UpdraftPlus Premium (60 zł/rok)
Całkowity koszt: ~800-1000 zł/rok

Large e-commerce / SaaS:

Cloudflare Business (800 zł/m) + Imunify360 (300 zł/m)
Dedykowany VPS (200 zł/m)
Profesjonalny audyt bezpieczeństwa (3000 zł/kwartał)
Całkowity koszt: ~1500-2000 zł/m

Final checklist:

Zainstaluj WAF (Cloudflare Free minimum)
Włącz SSL/TLS (Full strict)
Skonfiguruj basic WAF rules (OWASP)
Whitelist good bots (Googlebot)
Ustaw alerty email (logowania, malware)
Testuj co miesiąc (próbuj SQL injection, sprawdź czy blokuje)
Monitoruj analitykę (Security Events)

WordPress security w 2025 = WAF jest obowiązkowy. Koszt wdrożenia: 0-100 zł/m. Koszt zhakowania: tysiące złotych + utrata reputacji + kara SEO + potencjalny pozew (RODO).

Zacznij dziś. Konfiguracja Cloudflare Free zajmuje 20 minut i chroni przed 95% ataków.

Potrzebujesz pomocy w konfiguracji WAF dla WordPressa? Wdrożymy pełną ochronę i pokażemy jak monitorować zdarzenia bezpieczeństwa.

Twoja strona WordPress jest narażona na ataki DDoS i boty? Nie ryzykuj utraty danych i reputacji! Skontaktuj się z nami, aby profesjonalnie skonfigurować WAF i zapewnić kompleksową ochronę Twojej strony przed wszystkimi zagrożeniami.

zlecenia@devdoit.pl 530 776 999