文章目录
WordPress 本身虽功能强大,但在默认状态下,对恶意请求、防火墙拦截等方面防护较弱。如果你在 RAKsmart 服务器 上部署 WordPress 网站,想要实现安全、稳定、高性能运行,仅靠插件远远不够。
本篇教程将系统讲解如何配置 Nginx 防火墙规则(WAF) 与 Cloudflare WAF 策略,双重防御网站遭受 SQL 注入、XSS、扫描器、CC 攻击等风险,构建“应用层 + 网络层”的安全防护体系。
一、WAF(Web Application Firewall)是什么?
WAF 是针对 Web 应用层(第七层)的防火墙,用于识别并拦截以下类型攻击:
- SQL 注入
- 跨站脚本攻击(XSS)
- 文件上传漏洞
- 暴力破解登录
- 扫描器探测路径
- CC 攻击、异常请求频率
通过 Nginx 与 Cloudflare 的防护能力结合,可最大程度拦截潜在威胁。
二、RAKsmart 服务器部署建议
- 可配置完整 Nginx / Apache 防火墙规则;
- 支持接入 Cloudflare 免费/专业版,启用 WAF;
- 香港、美国节点响应快速,便于搭配全球防护;
- 可安装 fail2ban、modsecurity 等强化本地规则拦截。
三、Nginx 自定义 WAF 规则(适用于宝塔或LNMP环境)
1. 拦截常见恶意请求
在 Nginx 配置文件中加入:
if ($request_uri ~* "(wp-config\.php|xmlrpc\.php|\.env|\.git|\.sql|\.bak|\.zip)") {
return 403;
}
可拦截后台敏感文件暴露、备份泄露等风险路径。
2. 限制频繁请求,防止暴力破解和 CC 攻击
limit_req_zone $binary_remote_addr zone=cc_zone:10m rate=1r/s;
server {
location / {
limit_req zone=cc_zone burst=5 nodelay;
}
}
说明:
- 每个 IP 每秒最多1次请求;
- 超过后触发限速或封禁。
3. 拒绝非法 User-Agent / 空 UA
if ($http_user_agent ~* "(curl|python|scrapy|crawler|bot|spider|winhttp|wget|libwww)") {
return 403;
}
if ($http_user_agent = "") {
return 403;
}
防止爬虫、采集器、扫描器恶意访问。
4. 屏蔽 POST 频繁访问后台登录
location = /wp-login.php {
limit_req zone=cc_zone burst=1 nodelay;
}
四、Cloudflare WAF 策略配置(建议搭配使用)
1. 启用 Cloudflare 的安全防护功能
- 登录 Cloudflare;
- 进入网站管理后台;
- 启用以下功能:
- Bot Fight Mode
- DDoS Protection
- WAF Rules(专业版以上)
2. 设置基础 WAF 防火墙规则(免费用户可用)
前往:Security > WAF > Firewall Rules
创建自定义规则,例如:
拦截频繁访问后台登录
URI Path contains "/wp-login.php"
AND
Request Method equals "POST"
→ 操作:Challenge(JavaScript 验证)或 Block
拒绝危险请求头
(http.request.uri contains "/.env")
OR
(http.request.uri contains "/.git")
OR
(http.user_agent contains "curl")
→ 操作:Block
限制国家/地区访问
适合中文站点、内贸/外贸站使用:
Country not in {"CN", "HK", "TW"}
→ 操作:Challenge 或 Block
3. 设置速率限制(Rate Limiting)
Cloudflare 专业版可配置精确请求频率限制:
- 例:每 IP 每 10 秒最多访问
/wp-login.php3 次; - 频率异常即触发挑战页或封禁。
五、实战部署建议:本地 WAF + 云端防火墙组合最佳
| 级别 | 工具 | 功能 |
|---|---|---|
| 云端 | Cloudflare WAF | 全球加速、防爬虫、智能识别 |
| 应用 | Nginx WAF 规则 | 限速、路径控制、UA 过滤 |
| 系统 | fail2ban / iptables | 封禁恶意 IP,系统级拦截 |
三层联动防护 可有效抵御绝大多数攻击威胁。
六、防护效果实测
测试网站部署于 RAKsmart 香港 VPS:
- 配置 Nginx 限速、规则拦截;
- 接入 Cloudflare 免费版并启用 WAF;
- 一周内拦截恶意请求超 1800 次;
- 后台登录暴力破解次数下降 95%;
- 网站响应速度无明显影响,SEO 正常收录。
七、结语
WAF 防火墙是 WordPress 网站最重要的“安全盾牌”之一,结合 RAKsmart 的灵活服务器架构,你可以轻松部署 Nginx 和 Cloudflare 的双重防护
