Cloudflare Rate Limiting (WordPress için)

1️⃣ Cloudflare Paneline Gir

• cloudflare.com → hesabına giriş yap

• Domain’i seç

2️⃣ Security → WAF → Rate Limiting Rules

Yeni panelde:

• Security

• WAF

• Rate limiting rules

• Create rule

3️⃣ wp-login.php için Kural (ÇOK ÖNEMLİ)

Rule Name

wp-login-rate-limit

Field ayarları:

If incoming requests match…

• Field: URI Path

• Operator: equals

• Value: /wp-login.php

Threshold (Limit Ayarı)

10 requests
per 1 minute

? 1 IP 1 dakikada 10’dan fazla denemeye kalkarsa tetiklenir.

Action

• Block ✅
  veya

• Managed Challenge (önerilir)

Duration

10 minutes

4️⃣ xmlrpc.php için Kural (BOTLARIN %80’İ BURADA)

URI Path

/xmlrpc.php

Threshold

5 requests
per 1 minute

Action

• Block

Duration

1 hour

5️⃣ wp-admin için Genel Koruma

URI Path

/wp-admin*

Threshold

30 requests
per 1 minute

Action

• Managed Challenge

6️⃣ Botlara Özel (İleri Seviye – Opsiyonel)

Field

• User Agent

• contains

bot

Threshold

20 requests
per 1 minute

7️⃣ Kaydet ve Aktif Et

• Deploy → Bitti ?

⚠️ Önemli Notlar

• Managed Challenge, gerçek kullanıcıyı engellemez

• Admin IP’n varsa:

  • IP Access Rules → Allow ekle (kendin etkilenmezsin)

• Mobil uygulama / API kullanıyorsan xmlrpc kapatmadan önce kontrol et

✅ Minimum Tavsiye (Hızlı Koruma)

Eğer sadece 2 kural yapacaksan:
1️⃣ /xmlrpc.php → Block
2️⃣ /wp-login.php → Managed Challenge

Bu ikisi CPU yükünü anında düşürür.