Cloudflare + WordPress REST API + n8n integracija

Ta dokument opisuje:

• kako varno omogočiti WordPress REST API za n8n
• kako blokirati javni REST API dostop
• kako uporabiti Cloudflare WAF + IP allowlist
• kako se izogniti Cloudflare Access / Zero Trust
• preverjeno delujočo konfiguracijo iz produkcije

• WordPress
• n8n
• Cloudflare (Free plan zadostuje)
• REST API integracije brez browserja
• machine-to-machine dostop

Če uporabljaš:

• Cloudflare
• WordPress REST API
• n8n ali drugo avtomatizacijo

potem Cloudflare privzeto:

• blokira REST API z JS Challenge
• sproža Bot Fight Mode
• vrača 403 Forbidden
• zahteva Access token, ki za REST API NI primeren

⚠️ REST API ni browser in ne zna reševati Cloudflare izzivov.

Rešitev je:

• IP allowlist
• Cloudflare Custom Rules (Allow + Block)
• WordPress Application Password
• Basic Auth
• brez Zero Trust

n8n (statičen IP)

1. > Cloudflare WAF (Custom Rules)
2. > WordPress REST API (/wp-json/)

V WordPress Admin panelu:

1. Users
2. izberi uporabnika (npr. automation_n8n)
3. Application Passwords
4. Create new password

Shrani:

• WordPress username
• Application Password

Opomba:

• uporablja se Basic Auth
• ne JWT
• ne OAuth

V n8n ustvari HTTP Request node:

Method: GET
URL: https://api.ipify.org?format=json
Authentication: None

Rezultat:

{
  "ip": "49.12.184.65"
}

Ta IP bo uporabljen v Cloudflare pravilih.

Cloudflare Dashboard:

• Security
• Settings

Nastavi:

Security Level = Low

Razlog:

• Medium / High sprožata JS Challenge
• REST API tega ne zna obdelati

Cloudflare:

• Security
• Security rules
• Custom rules
• Create rule

Ime pravila:

Allow WordPress REST API

Expression:

starts_with(http.request.uri.path, "/wp-json/")
and (ip.src eq 49.12.184.65 or ip.src eq 86.61.31.249)

Action:

Skip

WAF components to skip:

• All managed rules
• All rate limiting rules
• Super Bot Fight Mode rules

Rule order:

First

To pravilo:

• dovoli REST API
• izključi vse Cloudflare zaščite za dovoljene IP-je

Ustvari drugo pravilo.

Ime:

Block public WordPress REST

Expression:

starts_with(http.request.uri.path, "/wp-json/")
and not (ip.src eq 49.12.184.65 or ip.src eq 86.61.31.249)

Action:

Block

Rule order:

• After: Allow WordPress REST API

To pravilo:

• blokira javni REST API
• prepreči brute-force in scan napade

Cloudflare:

• Zero Trust
• Access
• Applications

Stanje:

NO APPLICATIONS

Ne uporabljamo:

• Access Applications
• Service Tokens
• Access Policies
• Identity Providers

Razlog:

• REST API = machine-to-machine
• IP allowlist + Basic Auth je stabilnejši

Iz dovoljenega IP-ja:

https://example.com/wp-json/

Pričakovano:

• JSON z WordPress podatki

Iz nedovoljenega IP-ja:

• Cloudflare block page
• “Sorry, you have been blocked”

HTTP Request node:

Method: GET
URL: https://example.com/wp-json/wp/v2/users/me
Authentication: Basic Auth
Username: WP user
Password: Application Password

Pričakovano:

• HTTP 200
• JSON odgovor
• brez Cloudflare challenge

• Security Level = High
• uporaba Cloudflare Access za REST API
• manjkajoč “Skip”
• napačen vrstni red pravil
• JS / Managed Challenge na /wp-json/
• testiranje iz napačnega IP-ja

• Produkcijsko preverjeno: DA
• Stabilno: DA
• Primerno za wiki dokumentacijo: DA

Če se IP n8n spremeni:

• posodobi Cloudflare Custom Rules
• ni potrebe po spremembi WordPress konfiguracije