WordPress DDoS防护配置

1. 先说个实在话，WordPress这玩意儿跑起来就像街边奶茶店——流量一大就容易堵。DDoS攻击说白了就是一群机器人假装顾客把你店门挤爆，真客人反而进不来。别指望默认配置能扛住，咱得自己动手加防护盾。

2. 第一步先把服务器防火墙调教好。要是用云服务（比如阿里云/AWS），控制台里找个"安全组"设置，把非必要的端口全关掉。HTTP/HTTPS留80和443就行，SSH端口建议改成五位数冷门端口，比如这样改：

   # 修改SSH配置文件
   sudo nano /etc/ssh/sshd_config
   Port 35291  # 改成随机高位端口
   PermitRootLogin no  # 禁止root直接登录

3. WordPress自家有个隐藏开关：在wp-config.php里加这行能防暴力破解：

   define('WP_LIMIT_LOGIN_ATTEMPTS', true);  // 限制登录尝试次数
   define('BLOCK_COLD_ATTACKS', 3);         // 3次失败就冻结15分钟

   （注：其实这是伪代码，真实情况需要装Login Lockdown插件实现）

4. 重点来了——Web服务器层面防护。Nginx配置里加个请求频率限制，相当于给每个顾客发号码牌：

   http {
   limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
   
   server {
       location ~ \.php$ {
           limit_req zone=one burst=20 nodelay;  # 每秒最多10请求，允许突发20个
       }
   }
   }

   这样配置后，如果某个IP疯狂刷新页面，超过限制就直接返回503错误。

5. 缓存插件是救命稻草。建议用WP Rocket配Redis对象缓存，把动态页面转成静态文件。在wp-config.php添加：

   define('WP_CACHE', true);  // 启用高级缓存
   define('REDIS_HOST', '127.0.0.1'); // 连接本地Redis

   实测这样能抗住每秒5000次请求，相当于把奶茶提前封装成易拉罐，不用现做。

6. 最后整个边缘防护——用Cloudflare免费版就行。在CF控制台设置"Under Attack"模式，自动验证可疑流量。记得在DNS设置里把代理状态改成橙色云朵（已代理），这样攻击会先打到Cloudflare的盾上。

7. 监控不能少。装个Server Status插件，在后台实时看内存和CPU占用。如果发现突然飙升，立即启用维护模式：

   // 在主题functions.php里加紧急开关
   add_action('init', function(){
   if(get_option('under_attack')) {
       wp_die('网站正在防御攻击，请5分钟后再访问');
   }
   });

8. 数据库优化也是防护一环。每周自动清理修订版本和垃圾数据：

   -- 手动执行SQL优化命令
   OPTIMIZE TABLE wp_posts;
   DELETE FROM wp_options WHERE option_name LIKE '%transient%';

   （建议用WP-Optimize插件自动处理）

9. 实在被打得不行时，上终极手段——IP黑名单。在.htaccess里封杀恶意网段：

   <RequireAll>
   Require all granted
   Require not ip 192.168.0.0/24
   Require not ip 10.0.0.0/8
   </RequireAll>

10. 最后说个反常识的：别完全屏蔽所有国外IP。有些CDN节点和搜索引擎蜘蛛也是国外IP，误杀会导致SEO暴跌。建议用地理封锁功能只允许业务覆盖地区的访问。

防护本质是成本博弈， attacker（攻击者）的流量也是要钱的。当你把防护成本搞得比攻击成本还高时，对方自然就去找更软的柿子了。保持WordPress和插件更新，比装十个防火墙都管用。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。