WordPress如何配置DDoS保护

1. 首先得明白，DDoS就是一群人同时疯狂访问你网站，直到服务器撑不住趴下。WordPress本身没自带防这种攻击的功能，所以得靠自己加防护。简单说，就像给店铺门口加个保安，检查每个进来的人是不是真顾客。

2. 基础防护可以从Web服务器层面入手。如果你用Apache，可以修改.htaccess文件来限制请求频率。下面是个示例代码，加到.htaccess里，能限制单个IP的访问速度：

   <IfModule mod_rewrite.c>
   RewriteEngine on
   RewriteCond %{REQUEST_URI} ^(wp-admin|wp-login\.php) [NC]
   RewriteCond %{HTTP_USER_AGENT} (bot|spider|curl) [NC,OR]
   RewriteCond %{QUERY_STRING} (eval|base64) [NC]
   RewriteRule .* - [F,L]
   </IfModule>

   这代码会阻止一些常见恶意请求，比如针对wp-admin目录的暴力访问。但注意，它可能误杀正常用户，所以得测试。

3. 用Cloudflare之类的CDN服务是更聪明的办法。它就像个中间人，先帮你的网站挡子弹。去Cloudflare官网注册，把域名解析改到他们的服务器，然后开启“Under Attack”模式。这样，所有流量先经过Cloudflare的过滤，再转到你的WordPress站点。免费版就够用了，而且设置简单——基本上点几下鼠标就行。

4. 在WordPress内部，可以装插件像Wordfence或Sucuri。这些插件能监控异常流量，自动封锁可疑IP。例如，在Wordfence设置里，你可以调整“Rate Limiting”选项，限制每分钟最多请求数。代码层面，你也可以在functions.php里加个小片段，来拒绝某些User-Agent：

   add_action('init', 'block_bad_agents');
   function block_bad_agents() {
   if (isset($_SERVER['HTTP_USER_AGENT']) && preg_match('/bot|curl|scan/i', $_SERVER['HTTP_USER_AGENT'])) {
       wp_die('Access denied');
   }
   }

   这能挡掉一些简单爬虫，但别指望它防大规模攻击。

5. 最后，别忘了服务器本身的安全。确保你的主机提供商有DDoS缓解措施，比如VPS或云服务商通常自带防护。如果是共享主机，可能得升级计划。平时保持WordPress和插件更新，因为旧版本容易有漏洞被利用。总之，多层防护比单靠一招更靠谱——就像穿多件衣服御寒，总有一件能挡风。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。