Ochrona PrestaShop przed atakami — CF-AutoBan Cloudflare

Czym jest CF-AutoBan dla PrestaShop?

CF-AutoBan to kompleksowy system automatycznej ochrony sklepu PrestaShop oparty na infrastrukturze Cloudflare. Łączy 5 zaawansowanych reguł firewall z automatycznym skryptem PHP, który co 5 minut analizuje logi bezpieczeństwa i blokuje podejrzane adresy IP bez Twojej interwencji.

Każdego dnia sklepy e-commerce są atakowane przez boty, skanery podatności, narzędzia SQL injection i złośliwe crawlery. Bez odpowiedniej ochrony narażasz się na:

• Wycieki danych klientów i danych płatniczych
• Kradzież zawartości katalogu produktów przez konkurencję
• Spowolnienie sklepu przez masowe żądania botów
• Ataki SQL injection na bazę danych zamówień
• Próby przejęcia konta administratora

Co wdrażamy — 5 reguł Cloudflare Firewall

Reguła 1: Automatyczna blokada IP + boty Meta i Baidu

Łączy dynamiczną listę blokowanych adresów IP z blokadą agresywnych crawlerów: Meta External Agent oraz Baiduspider-render. Lista jest aktualizowana automatycznie przez skrypt PHP na podstawie analizy logów bezpieczeństwa Cloudflare.

Reguła 2: SQL Injection — wykrywanie 17 wzorców ataku

Blokuje próby SQL injection w parametrach wyszukiwarki. Chroni przed: UNION SELECT, information_schema, sleep(), benchmark(), load_file(), INTO OUTFILE, xp_cmdshell i innymi technikami enumeracji bazy danych.

Reguła 3: Blokada skanerów podatności i wrażliwych ścieżek

Uniemożliwia dostęp do ponad 20 wrażliwych ścieżek: .env, .htaccess, /xmlrpc.php, /vendor/phpunit, pliki .sql, .bak oraz specyficzne luki w modułach PrestaShop (iqitelementor, iqitemailsubscriptionconf). Blokuje też enumerację katalogu /img/p/.

Reguła 4: Managed Challenge dla podejrzanych zapytań wyszukiwarki

Zapytania zawierające znaki specjalne (cudzysłowy, podwójne myślniki, średniki, komentarze SQL) trafiają do weryfikacji Cloudflare Managed Challenge. Legalni użytkownicy przechodzą ją niezauważalnie, boty są blokowane.

Reguła 5: Rate Limiting — ograniczenie częstotliwości żądań

Limit 20 żądań/10s dla wyszukiwarek AJAX i 10 żądań/10s dla standardowych. Powstrzymuje masowe scrapowanie i ataki brute-force. Zasoby statyczne (obrazy, CSS, JS, fonty, pliki XML) są wyłączone z limitu.

Automatyczny skrypt PHP (cron co 5 minut)

Oprócz reguł statycznych wdrażamy skrypt PHP działający autonomicznie:

• Analiza logów Cloudflare — pobiera zdarzenia przez Cloudflare Analytics API (GraphQL)
• Automatyczna blokada IP — adresy wielokrotnie wyzwalające reguły 2 i 3 trafiają na listę blokowanych
• Deduplikacja — każdy IP dodawany raz (hash SHA1), stare wpisy usuwane po 120 dniach
• Whitelista — konfigurowalna lista zaufanych IP: BaseLinker, kurierzy, systemy płatności, systemy wewnętrzne
• Logi JSON i tekstowe — pełna historia zablokowanych adresów z czasem i przyczyną blokady
• Tryb dry-run — testowanie bez faktycznego blokowania, idealne do weryfikacji konfiguracji

Co zawiera usługa za 599 zł netto

• Konfiguracja listy blokowanych IP i whitelisty w Cloudflare
• Wdrożenie 5 reguł Cloudflare Firewall dopasowanych do Twojego sklepu
• Instalacja i konfiguracja skryptu CF-AutoBan na serwerze
• Ustawienie zadania cron co 5 minut
• Konfiguracja uprawnień tokenu Cloudflare API (Account Filter Lists Edit, Firewall Access Rules)
• Test i weryfikacja działania wszystkich reguł w trybie dry-run i produkcyjnym
• Instrukcja obsługi: zarządzanie whitelistą, odczytywanie logów, dostosowanie progów rate limiting

Dla kogo jest ta usługa?

Dla właścicieli sklepów PrestaShop, którzy:

• Zauważyli podejrzany ruch w logach serwera lub panelu Cloudflare
• Doświadczyli spowolnienia sklepu przez masowe żądania botów lub scraperów
• Chcą proaktywnie zabezpieczyć sklep przed atakami SQL injection i skanerami podatności
• Korzystają z Cloudflare lub są gotowi go wdrożyć (pomagamy w migracji DNS)
• Mają dostęp SSH lub cPanel do serwera (wymagane do instalacji crona)

Najczęściej zadawane pytania

Czy potrzebuję płatnego planu Cloudflare?

Nie — wszystkie 5 reguł działa na darmowym planie Cloudflare Free. Płatny plan nie jest wymagany.

Czy wymagany jest dostęp SSH lub cPanel?

Tak — do instalacji skryptu PHP i ustawienia zadania cron na serwerze hostingowym.

Ile trwa wdrożenie?

1–2 godziny robocze po zebraniu dostępów (Cloudflare API + dostęp do serwera).

Co z fałszywymi blokadami (false positive)?

Każde wdrożenie obejmuje konfigurację whitelisty dla Twoich dostawców: BaseLinker, kurierzy (InPost, DPD, DHL), systemy płatności. Możesz samodzielnie dodawać nowe IP w dowolnym momencie.

Czy można skonfigurować to samodzielnie?

Technicznie tak — dostarczamy gotowe wyrażenia Cloudflare i skrypt PHP. Jednak prawidłowe dopasowanie reguł do konkretnego sklepu wymaga doświadczenia, by nie zablokować legalnych użytkowników.

Czy usługa obejmuje stały monitoring?

Nie — jest to jednorazowe wdrożenie. Skrypt działa autonomicznie po instalacji. Dla stałego monitoringu zapytaj o pakiety Administracji PrestaShop.

Co jeśli mój sklep nie korzysta z Cloudflare?

Możemy pomóc w migracji DNS do Cloudflare (bezpłatna CDN i WAF). Migracja zajmuje 1–2 godziny i jest bezpieczna dla ciągłości działania sklepu.