当前位置首页 技术 如何用Cloudflare防护WordPress网站抵御恶意流量攻击
亚马逊云科技

广告

 安信SSL证书

广告

如何用Cloudflare防护WordPress网站抵御恶意流量攻击

作者: sunny 分类: 技术 发布时间: 2025.11.14 17:14:02 更新于: 2025.11.14 17:14:02
美国云服务器推荐

如今有越来越多的自动化机器人、爬虫和人工智能工具不断扫描网站,搜寻内容和数据。但一些恶意流量,如机器人同一时间大量访问网站,会直接导致网站负载过重,导致网站速度较慢,甚至会增加托管费用。下文将主要介绍如何使用Cloudflare预防WordPress网站免受恶意流量攻击。

文章目录
收起
收起

一、用Cloudflare拦截恶意机器人

其实不用开通Cloudflare高级账户,也不用做复杂配置,免费套餐里的功能足以有效拦截不必要的机器人流量。

1、先把网站绑定到Cloudflare

从添加域名、配置DNS记录到设置名称服务器,都有详细的分步教程。具体操作可以参考这篇指南:《CloudFlare添加域名的步骤》、《CloudFlare账户批量添加域名教程》。

2、启用机器人防护模式

网站绑定Cloudflare后,最快最有效的恶意流量过滤方式,就是开启机器人防护模式,能检测并拦截已知的恶意机器人,防止它们爬取网站、窃取数据或造成流量过载。

启用步骤如下:

  • 登录Cloudflare后台,从左侧菜单进入“Security”>“Settings.”;
  • 在“Filter by”板块,选择“Bot traffic”;
  • 找到“Bot fight mode”,点击启用即可。

启用机器人防护模式

启用后可以在分析工具里查看效果,因为Cloudflare会在恶意请求到达网站服务器前就拦截掉,所以网站的访问量会明显下降。

如果用的是Cloudflare付费套餐,还能解锁超级机器人防御模式,虽然它核心技术和基础版一致,但允许你自定义处理不同类型的流量,还能开启JavaScript检测,专门捕捉无头浏览器、隐蔽爬虫这类更难识别的恶意流量。

比如你可以精准设置:只拦截确认是自动化的流量,放行已验证的机器人(像搜索引擎爬虫这类合法机器人),而不是一刀切地屏蔽所有爬虫。

启用机器人防护模式

3、设置JavaScript和托管挑战

就算开了机器人防护模式有些模仿正常浏览行为的自动化爬虫或AI工具还是可能绕过防御。这时候可以用Cloudflare的安全规则,添加挑战验证,在访客获得访问权限前,先验证对方是不是真人。

可以给整个网站都加上JS挑战,但对大多数WordPress网站来说,重点保护以下几个关键路径就够了:

  • /wp-login.php(WordPress登录页面)
  • /xmlrpc.php(机器人高频攻击目标)
  • /wp-admin/(网站管理后台)

添加挑战规则的步骤:

(1)进入Cloudflare后台“Security”>“Security Rules”;

(2)点击“Create rule”>“Custom rules”;

(3)输入规则名称(比如“wp-login页面JS挑战”);

(4)在“When incoming requests match”,设置条件:

  • Field:URI路径
  • Operator::包含
  • Value:/wp-login.php(可根据需要替换成其他关键路径)

设置JavaScript和托管挑战

如果想设置更精细的规则,可以点击“Edit expression”,添加类似这样的代码:

(http.host in {“example.com” “www.example.com”} and
starts_with(http.request.uri.path, “/wp-admin”) and
not cf.client.bot and
not http.request.uri.path contains “/wp-admin/admin-ajax.php”)

这个示例是针对/wp-admin后台的规则:放行已验证的机器人,同时排除WordPress插件会用到的AJAX端点。

在“Then take action”中,选择以下两种挑战之一:

  • JavaScript Challenge:让每位访客的浏览器运行一次测试,验证是否为真人;
  • Managed Challenge:由Cloudflare的AI根据访客行为和风险等级,自动判断是否发起挑战;
  • 最后点击“Deploy”激活规则;如果想先测试效果,可选择“Save as Draft”。

二、监控防护效果

登录Cloudflare后台,进入“Security ”>“Analytics”>“Bot Analysis”。

查看Cloudflare的安全分析

这里能清晰看到网站总流量中,真人用户和机器人各自的占比。Cloudflare会通过行为模式、机器学习等技术,给每个访问请求打一个机器人评分,还会按流量类型分类:

  • Automated:明确是机器人的请求;
  • Likely automated:行为可疑的请求(比如无头浏览器、AI爬虫);
  • Likely human:用真实浏览器访问的正常访客;
  • Verified bot:合法的机器人(比如Googlebot、PayPal的官方爬虫)。

机器人分析图表会实时展示这些类别的流量数据,另外还能通过国家/地区、IP地址、浏览器、操作系统等筛选条件,找到恶意流量的主要来源。

查看Cloudflare的安全分析

推荐阅读:

WordPress设置Cloudflare CDN详细图文教程

WordPress网站的十个关键Cloudflare配置

Cloudflare免费CDN配置全指南

(本文由美国主机侦探原创,转载请注明出处“美国主机侦探”和原文地址!)

主机侦探企业微信

微信扫码加好友进群

主机优惠码及时掌握

主机侦探QQ群

QQ群号:938255063

主机优惠发布与交流

0
标签:

温馨提示:

1、本站部分图片来源于互联网,如有侵权请联系删除。邮箱:2942802716#qq.com(#改为@)

2、本文评论没有专人回复,如果您有问题请到美国主机侦探论坛提问!

3、美国主机侦探免费为您提供美国主机购买咨询。

RAKsmart美国服务器
下一篇
启用机器人防护模式
已经没有了
相关推荐
返回顶部