分享使用WordPress的几个 CloudFlare 缓存规则和 WAF 规则。

 CloudFlare 缓存规则和 WAF 规则，对于提升网站速度、安全防御还是有些帮助的，用 CloudFlare+奇安信网站卫士这样的组合下来，用了不到一个月的时间，每天的 Web 攻击、CC 攻击等等的数量下降了至少 90%以上。

上图是没有CloudFlare 的缓存规则，可以说算是 WordPress 菜单标准 CloudFlare 缓存配置了，因为考虑到的 CloudFlare  CDN 主要是为了防御的，所以这个规则也开启了几乎所有有关安全的规则，安全级别都是最高的选择。

具体设置位置：域名——规则——页面规则，免费套餐只能设置三条规则哦！

这里主要是为了应对针对 WordPress 的 xmlrpc.php、wp-login.php、wp-cron.php 和 wp-admin 目录恶意请求的。针对 wp-cron.php 仅仅排除了自己服务器 IP，其他的一律禁止访问请求，毕竟定时任务还是需要正常运行的，特别是使用了缓存插件的，这点儿尤为重要。

可以看到针对 wp-admin 限定了仅限国内 IP 访问请求，因为明月发现不少恶意请求都是海外 IP，这样拦截基本可以阻止 90%以上的恶意请求，毕竟能用的国内 IP 是有限的。

具体设置位置：域名——安全性——WAF，免费套餐只能有 5 个自定义的 WAF 规则。

CloudFlare 其实并不需要太多的人为干预的，其自带的 WAF 规则就非常的丰富，上述的规则只是根据日志分析总结出来的个别对待，经常分析自己网站的日志是很好的习惯。

本文转自明月登楼的博客