WordPress 本身雖功能強大，但在默認狀態下，對惡意請求、防火墻攔截等方面防護較弱。如果你在 RAKsmart 服務器 上部署 WordPress 網站，想要實現安全、穩定、高性能運行，僅靠插件遠遠不夠。

本篇教程將系統講解如何配置 Nginx 防火墻規則（WAF） 與 Cloudflare WAF 策略，雙重防御網站遭受 SQL 注入、XSS、掃描器、CC 攻擊等風險，構建“應用層 + 網絡層”的安全防護體系。

---

一、WAF（Web Application Firewall）是什么？

WAF 是針對 Web 應用層（第七層）的防火墻，用于識別并攔截以下類型攻擊：

• SQL 注入
• 跨站腳本攻擊（XSS）
• 文件上傳漏洞
• 暴力破解登錄
• 掃描器探測路徑
• CC 攻擊、異常請求頻率

通過 Nginx 與 Cloudflare 的防護能力結合，可最大程度攔截潛在威脅。

---

二、RAKsmart 服務器部署建議

RAKsmart 提供的 VPS、獨立服務器具備以下優勢：

• 可配置完整 Nginx / Apache 防火墻規則；
• 支持接入 Cloudflare 免費/專業版，啟用 WAF；
• 香港、美國節點響應快速，便于搭配全球防護；
• 可安裝 fail2ban、modsecurity 等強化本地規則攔截。

---

三、Nginx 自定義 WAF 規則（適用于寶塔或LNMP環境）

1. 攔截常見惡意請求

在 Nginx 配置文件中加入：

if ($request_uri ~* "(wp-config\.php|xmlrpc\.php|\.env|\.git|\.sql|\.bak|\.zip)") {
    return 403;
}

可攔截后臺敏感文件暴露、備份泄露等風險路徑。

---

2. 限制頻繁請求，防止暴力破解和 CC 攻擊

limit_req_zone $binary_remote_addr zone=cc_zone:10m rate=1r/s;

server {
    location / {
        limit_req zone=cc_zone burst=5 nodelay;
    }
}

說明：

• 每個 IP 每秒最多1次請求；
• 超過后觸發限速或封禁。

---

3. 拒絕非法 User-Agent / 空 UA

if ($http_user_agent ~* "(curl|python|scrapy|crawler|bot|spider|winhttp|wget|libwww)") {
    return 403;
}

if ($http_user_agent = "") {
    return 403;
}

防止爬蟲、采集器、掃描器惡意訪問。

---

4. 屏蔽 POST 頻繁訪問后臺登錄

location = /wp-login.php {
    limit_req zone=cc_zone burst=1 nodelay;
}

---

四、Cloudflare WAF 策略配置（建議搭配使用）

1. 啟用 Cloudflare 的安全防護功能

• 登錄 Cloudflare；
• 進入網站管理后臺；
• 啟用以下功能：
  • Bot Fight Mode
  • DDoS Protection
  • WAF Rules（專業版以上）

---

2. 設置基礎 WAF 防火墻規則（免費用戶可用）

前往：Security > WAF > Firewall Rules

創建自定義規則，例如：

? 攔截頻繁訪問后臺登錄

URI Path contains "/wp-login.php"
AND
Request Method equals "POST"

→ 操作：Challenge（JavaScript 驗證）或 Block

---

? 拒絕危險請求頭

(http.request.uri contains "/.env")
OR
(http.request.uri contains "/.git")
OR
(http.user_agent contains "curl")

→ 操作：Block

---

? 限制國家/地區訪問

適合中文站點、內貿/外貿站使用：

Country not in {"CN", "HK", "TW"}

→ 操作：Challenge 或 Block

---

3. 設置速率限制（Rate Limiting）

Cloudflare 專業版可配置精確請求頻率限制：

• 例：每 IP 每 10 秒最多訪問 /wp-login.php 3 次；
• 頻率異常即觸發挑戰頁或封禁。

---

五、實戰部署建議：本地 WAF + 云端防火墻組合最佳

級別	工具	功能
云端	Cloudflare WAF	全球加速、防爬蟲、智能識別
應用	Nginx WAF 規則	限速、路徑控制、UA 過濾
系統	fail2ban / iptables	封禁惡意 IP，系統級攔截

三層聯動防護 可有效抵御絕大多數攻擊威脅。

---

六、防護效果實測

測試網站部署于 RAKsmart 香港 VPS：

• 配置 Nginx 限速、規則攔截；
• 接入 Cloudflare 免費版并啟用 WAF；
• 一周內攔截惡意請求超 1800 次；
• 后臺登錄暴力破解次數下降 95%；
• 網站響應速度無明顯影響，SEO 正常收錄。

---

七、結語

WAF 防火墻是 WordPress 網站最重要的“安全盾牌”之一，結合 RAKsmart 的靈活服務器架構，你可以輕松部署 Nginx 和 Cloudflare 的雙重防護