您现在的位置是：首页 > WordPress教程WordPress教程

WordPress如何设置Web应用防火墙

WP集市 2025-08-30 【WordPress教程】 431人已围观

首先得明白，WordPress本身就像个开放集市，谁都能进，所以需要个看门的——Web应用防火墙（WAF）。WAF能过滤恶意流量，比如SQL注入或XSS攻击。简单说，它检查所有进出你网站的数据，把可疑的挡在外面。设置WAF不用动代码，主要靠插件或外部服务。
推荐用插件方式，比如"Wordfence"或"Sucuri"。安装Wordfence：进WordPress后台，点“插件” > “安装插件”，搜索“Wordfence”，安装并激活。激活后，它会提示你配置。关键步骤是启用防火墙：在Wordfence设置里，找“防火墙”选项，点击“启用”。它会自动配置.htaccess或nginx规则，省心。
如果想手动加代码，比如在.htaccess文件里插入基本规则，但小心别搞坏网站。例如，加一段防SQL注入的：
```
<IfModule mod_security.c>
SecFilterEngine On
SecFilter "union" "deny,log,status:403"
SecFilter "<script" "deny,log,status:403"
</IfModule>
```
这代码告诉服务器，如果请求里有"union"或"<script"，就拒绝访问。但mod_security模块得先安装——很多主机自带，没自带就联系主机商。
外部服务像Cloudflare也不错，它提供WAF功能。注册Cloudflare，把域名DNS指向它，然后在防火墙规则里设置条件。比如，阻止特定国家IP：在Cloudflare面板，选“防火墙” > “规则”，创建新规则，表达式写“ip.geoip.country eq 'CN'”，然后选择“阻止”。这能减少不必要的流量，但可能误伤，所以测试下。
最后，WAF不是一劳永逸。定期更新规则，检查日志。Wordfence会发邮件报告威胁。记住，防火墙是门卫，但门卫也得培训——保持WordPress和插件更新，否则漏洞还是能溜进来。简单总结：安装插件，配置规则，监控效果，持续维护。这样，你的WordPress站就更安全了，能挡掉大部分常见攻击。