如何通过Cloudflare保护WordPress

1. 首先你得把域名DNS解析切到Cloudflare那边，不然啥都白搭。在注册商那里改掉NS记录，等它生效——这玩意有时候得耗几小时，泡杯咖啡等着吧。

2. 接着打开Cloudflare的SSL/TLS设置，选“Full”模式。这样你WordPress和访客之间的流量就全程加密了，就算你服务器没装证书也能凑合跑（但最好还是装一个）。顺便到WordPress后台→设置→常规里，把网站地址的http改成https，不然会循环重定向。

3. 防火墙规则是重头戏。在Cloudflare控制台找到WAF，创建一条规则：
   (http.request.uri.path contains "/wp-login.php" or http.request.uri.path contains "/wp-admin") and ip.src ne 你的办公室公网IP
   然后动作选“Block”——这样除了你自家IP，别人根本碰不到登录页。记得定期更新IP啊，不然自己被锁门外可别哭。

4. 速率限制也得搞起来。比如一分钟内同一个IP访问/wp-login.php超过5次，直接掐断连接。Cloudflare有现成的速率限制面板，填数字就行不用写代码。这东西防暴力破解好用得一塌糊涂。

5. 最后整段缓存配置扔进wp-config.php里（放在<?php下面）：

   if ($_SERVER['HTTP_CF_VISITOR'] ?? false) {
   define('WP_HOME', 'https://你的域名.com');
   define('WP_SITEURL', 'https://你的域名.com');
   }

   这代码让WordPress识别Cloudflare的代理流量，避免跳转死循环。顺手再装个“Cloudflare”插件同步IP范围更稳妥。

6. 哦对，别忘了定期看防火墙事件日志。哪天发现有个IP从早到晚疯狂试探/wp-admin，直接手动封禁整个段——安全这事宁可错杀一百别放过一个。

Cloudflare说白了就是个中间商赚差价（免费版不收费），把你网站包层铠甲。但记住它不能替代服务器安全，该更新WordPress核心和插件还得更，别偷懒。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。