WordPress网站如何免费抵御 DDos/CC 攻击？

目前WordPress网站要想抵御住 DDos/CC 攻击其实就一个非常简单的原理那就是把来自境外的流量分给 CloudFlare，境内流量随便一个免费的带有 WAF 防火墙的 CDN 即可。说白了就是借助境内、境外 CDN 实现的。目前境外 CDN 只选择 CloudFlare，因为 CloudFlare 在 DDos/CC 攻击防御上是世界翘楚的范畴，最重要的是免费账户就可以了。很多人对 CloudFlare 的理解仅仅停留在 CDN 加速上，这实在是太片面狭隘了，CloudFlare 真正强大的并不仅仅是 CDN，还有安全防御！很多小白喜欢叫嚣 DDos/CC 攻击无敌，殊不知 DDoS 攻击技术 CDN 是完全可以化解的，原理类似于中国太极的“四两拨千斤”。CloudFlare 能做到抵御成千上万 TB 流量的攻击可不是广告用语，理论技术上是确实可行的，就看 CDN 服务商愿不愿意这么做了而已，说白了都是生意！

境外只用 CloudFlare，境内并没有严格的要求，一般只需要带有 WAF 防火墙的 CDN 就可以，无论你是免费还是付费的，目前免费的时间性较久的就是奇安信网站卫士和上海云盾这两家，选任一家即可（不建议多家共用因为会适得其反影响域名解析速度）。这两家目前唯一发现的差异就是上海云盾的解析速度比网站卫士快了不少，这在给网站域名 301 跳转和加速上效果还是非常明显的，如何选择大家自己决定就是了！

部署实施步骤：

DNS 解析设置

本方案最重要的就是 DNS 解析的多线路解析支持了，目前国内阿里云 DNS 和 DNSPod 是支持多线路解析的（也叫解析请求来源，如下图），这个是目前国内 DNS 解析服务特有的，境外 DNS 解析是没有这个的，所以本方案理论是仅支持国内已备案的域名使用。

阿里云 DNS 解析里的多线路解析截图

很多粗心大意的站长们都会容易忽略这一点儿，甚至小白站长们对 DNS 解析完全没有概念，这个看似简单的 DNS 解析设置可以让我们把大部分 DDos/CC 攻击给阻挡在外并交给 CloudFlare 来对待，让对方的攻击打在“棉花”上。

修改域名 DNS 解析服务商其实就是修改域名的 NS，这叫变更"DNS 服务器”，理论上修改 NS 全球生效至少需要 4-72 个小时，所以一般都不建议频繁修改 NS。如果你是国内备案，但 DNS 解析服务商不支持多线路解析那么就需要修改 NS 到阿里云 DNS 或者 DNSPod 的 DNS 解析服务器。

CloudFlare 的设置

CloudFlare 的注册和登录就不多说了，很简单，完成注册后默认就是 CloudFlare 免费版套餐了，这就够我们用了，当然土豪来个 CloudFlare 付费版也是可以的，都一样用！CloudFlare 不像国内 CDN 服务商，不同价位的套餐区别主要是功能上的差异多一些，防御能力和流量、节点都是一样的，几乎没有多大区别，付费版唯一的好处是拥有国内 IP 节点（京东云提供，但好像也是需要国内备案的）。CloudFlare 的不少设置跟国内 CDN 还是有很大差异的，所以很有必要给大家详细的阐述一下。

一、CNAME 解析

CloudFlare 早期是支持 CNAME 解析接入域名的，但现在就限制不开放了，但在 CloudFlare For Saas 里可以申请到免费 100 个域名的 CNAME 解析接入，期间会需要绑定银行卡或者 PayPal 账号，放心绑定就是了，不会扣钱的。这个方法唯一的瑕疵就是需要域名用来进行跳转解析，仅仅是跳转解析而已，所以可以任意域名不受限的，具体文章里都有详细说明，基本照着文章做可以很快完成的。

二、CloudFlare 设置

CloudFlare 的设置是本方案能有效防御 DDos/CC 的关键，下面讲述的都是明月自己实践总结出来的，希望大家不明白其原理的话就尽量采用，否则会严重影响防御效果的哦！

1、Under Attack 模式（五秒盾）

当我们域名通过 CNAME 解析境外线路到 CloudFlare 上以后，我们登录 CloudFlare 后台在“主页”里就可以看到当且接入 CloudFlare 的域名了，如下图：

点击对应的域名即可进入这个域名的 CloudFlare 设置了。

点击对应的域名后，我们会在右侧搬到“快速操作”里有个 Under Attack 模式，这就是传说中 CloudFlare 的五秒盾，一般建议在被 DDos/CC 攻击的时候开启，否则可以关闭的，上图所示是开启状态。所谓的五秒盾其实就是指在开启后每个访问者首先都会看到一个 CloudFlare 的五秒进入网页提示，类似于国内 CDN 的访问者要输入验证码才能继续访问功能，如下图：

开启了 CloudFlare 的五秒盾后每个来网站访问的都会看到这个自动倒数 5 秒的跳转提示页面

很明显，这会影响用户体验，相对于输入验证来说这个跳转是自动倒数 5 秒的，访客几乎不需要做任何操作，所以影响相对会很小，这对 CC 攻击非常有效果。用来缓解被攻击的时候服务器负载飙升压力很有帮助的，一般明月建议国内博客网站都尽量保持开启这个 Under Attack 模式，因为国内中文博客人家“高贵的盎格鲁撒克逊人是不屑浏览查看的”，他们也真心看不懂！剩下的访问请求几乎大部分是扫描爬虫、采集爬虫、恶意登录、漏洞扫描爬虫等等这些了，能碰到真人的概率几乎就相当于中彩票了，所以别做梦了，直接开着 Under Attack 模式就是了，因为境外网络真的是太脏了，时刻防备着攻击（因为 DDos/CC 攻击需要大量的 IP 地址，而这些大量的 IP 地址在境外是可以免费获得的，基本上阻挡住这类 IP 也就阻挡了几乎 80%以上的 DDos/CC 攻击了，剩下的 20%基本也就是使用国内代理 IP 的 CC 攻击了，基本上交给上海云盾、网站卫士就可以轻松解决掉）就是了。

当然大家也可以利用 CloudFlare 的 API 在服务器终端借助脚本实现一旦被攻击自动开启 Under Attack 模式。

2、规则——页面规则

CloudFlare 的 CDN 主要就是表现在规则——页面规则这个功能里，位置如上图所示！CloudFlare 免费版支持三条自定义缓存规则，这对于我们这个方案是绰绰有余了，对于 WordPress 、 Typecho 这样的系统来说甚至都用不完。

这个页面规则其实就是告诉 CloudFlare 我们的站点哪些需要缓存，哪些不需要缓存，如上图就是明月自己博客的 CloudFlare 页面缓存规则，大家可以参考一下，具体可以根据自己站点情况做些调整。需要注意的是，如果您是【Cloudflare 免费版不支持 cname 解析解决办法】接入的国内域名，这里的域名是国内目标域名，可不是用来跳转解析的域名，记住那就是个跳转解析的作用，其他没有任何作用！

这里设置缓存的作用主要是为了减小境外请求回源到服务器的频率，所以缓存时间可以稍微设定长一些，1 个月或者半年最佳，另外在服务器上最好也要通过 iptables 防火墙来限制仅仅来自 CloudFlare 的 IP 节点才可以回源请求服务器指定的端口（如：80、443），这样就彻底的堵死了境外 DDos/CC 攻击触及到服务器的可能，也保证了服务器真实 IP 不会被泄露。

3、安全性——WAF

这里主要设置 CloudFlare 的 WAF 的，是要根据自己站点的实际访问情况来设定的，比如某些 CC 攻击会针对某个链接发送大量请求，就可以在这个 WAF 里创建一个规则拦截、过滤、屏蔽的。

选择操作里可以选择“阻止”、“JS 质询”、“允许”、“绕过”，都很好理解，就不一一赘述了！

WordPress 博客系统的 xmlrpc.php、wp-login.php 链接就是要严格控制请求的，其他链接可以通过分析 Nginx 的站点日志文件来收集，灵活设置就是了。

对 SEO 有需求的站长估计害怕 CloudFlare 会影响到搜索引擎爬虫，这个其实真的是杞人忧天了，无论是谷歌还是百度很多年前都宣称过 CDN 是不影响搜索引擎爬虫的正常抓取的，更不会影响收录和关键词排名，完全可以把担心放到肚子里去，并且 CloudFlare 对搜索引擎爬虫有一套非常智能的威胁分数机制，不考虑仿冒搜索引擎爬虫骚扰的话完全可以在 WAF 来使用的，如下图所示：

这样就创建了一个针对 Bot（爬虫）的 WAF 规则，只要威胁分数低于 50 分的一律放行允许抓取，但从安全防御上考虑，明月非常不建议使用这个 WAF 规则的，因为仿冒搜索引擎爬虫造就不是个啥复杂的事儿，利用仿冒搜索引擎爬虫的 CC 攻击可以非常常见的，这个规则的存在意思就是只要是仿冒搜索引擎爬虫的就一律绿灯任意请求。这简直就是一个漏洞要明月。

说白了，CloudFlare 的 WAF 就是针对 CC 攻击的利器，需要的就是对日志的仔细分析来筛选出频率高的恶意请求在 WAF 里有针对性的拦截、过滤、屏蔽而已，重要的是灵活运行，有关 WAF 拦截效果可以在安全性——事件来看到记录的。

安全性——自动程序

这个“自动程序”是体现 CloudFlare 强大的防御能力的地方，很多新手站长们在使用 CloudFlare 后都给忽略没有开启，所以要着重在这里提醒一下，一定要记得打开，这样就可以在安全性——事件里看到拦截记录了。

CloudFlare 自身的安全防御规则还是非常完善的，在这个“自动程序”里是最好的体现，几乎所有的恶意请求都可以很好的识别和自动拦截、过滤掉。

4、安全性—— DDoS

上面说的都是针对 CC 攻击的防御手段，CloudFlare 针对 DDoS 攻击防御就在“安全性—— DDoS ”里，免费 CloudFlare 账号提供的是个非常简单的自动 DDoS 防护，只需要手动的部署一下 DDoS 替代即可：

DDoS 替代规则如上图所示即可

然后保存生效就行了

本文转自明月登楼的博客