摘要：# WordPress网站被CC攻击？别慌，这几点做好比啥都强 我前两天刚处理完一个客户的求助，他的WordPress站被CC攻击打瘫了，流量瞬间飙升，服务器CPU直接100%，页面打开慢得像回到了拨号上网时代。他急吼吼地问我：“我装了防火墙插件啊，怎么…

WordPress网站被CC攻击？别慌，这几点做好比啥都强

我前两天刚处理完一个客户的求助，他的WordPress站被CC攻击打瘫了，流量瞬间飙升，服务器CPU直接100%，页面打开慢得像回到了拨号上网时代。他急吼吼地问我：“我装了防火墙插件啊，怎么一点用都没有？”

说实话，这种场景你应该不陌生吧？很多站长觉得，装个安全插件就等于上了保险——真不是那么回事儿。很多所谓防护方案，配置界面花里胡哨，真被打的时候，可能第一个趴下的就是它自己。

防止WordPress被CC攻击，核心就两件事：一是别让恶意请求轻易消耗你服务器的真资源（CPU、数据库连接）；二是让攻击者觉得“打你成本太高，不划算”。下面我结合自己踩过的坑和有效的配置，跟你聊聊怎么落地。

---

一、插件不是“装了就完事”，你得会配

WordPress安全插件里，Wordfence和iThemes Security（以前叫Better WP Security）用的人最多。但很多人装了之后，除了改个登录地址，其他设置基本没动过——这跟裸奔区别不大。

以Wordfence为例，有几个关键设置你必须调：

1. 速率限制（Rate Limiting）：这是防CC的第一道门槛。别用默认值！我自己的经验是，对于内容站，把“普通访客”的页面浏览限制在每分钟60-120次，已经算比较宽松了。如果发现某个IP在短时间疯狂刷新标签页或API，直接把它扔进“节流”名单，延迟它的响应。
2. 防火墙的“立即阻止”规则：开启“阻止伪造的Googlebot”等选项。很多CC攻击会伪装成搜索引擎爬虫，这招能拦下一大批。
3. 实时流量监控：别光看仪表盘。点开“实时流量”，看看哪些IP的请求频率高得离谱，路径是不是集中在/wp-login.php或/xmlrpc.php这类高危文件？手动封禁几个，立竿见影。

但这里有个大实话： 单纯依赖插件在服务器层面拦截，遇到稍大点的流量攻击，你服务器可能先于插件崩溃。插件本身也在消耗资源。所以，它更像是个“精密门锁”，适合防小偷和蛮力试探，真遇上开挖掘机来撞门的（大规模分布式CC），你得靠更外围的防线。

---

二、代码层面：给WordPress穿上“软猬甲”

有些防护，不需要插件，改几行代码就有奇效。这相当于给你的网站加了一层“本能反应”。

1. 保护登录和注册页面 CC攻击最爱刷的就是wp-login.php。除了用插件改地址，可以在functions.php里加一段简单的登录尝试限制：

// 限制同一IP登录尝试次数
add_filter('authenticate', 'check_login_attempts', 30, 3);
function check_login_attempts($user, $username, $password) {
    $ip = $_SERVER['REMOTE_ADDR'];
    $attempts = get_transient('login_attempts_'.$ip);
    if ($attempts && $attempts > 5) {
        return new WP_Error('too_many_attempts', '<strong>错误</strong>：尝试次数过多，请15分钟后再试。');
    }
    // ... 验证逻辑后，失败则增加计数
}

说白了，就是让暴力破解的成本变高。

2. 禁用或限制XML-RPC WordPress的XML-RPC接口（xmlrpc.php）是很多爆破工具和CC攻击的“后门”。如果你不用手机APP或第三方工具发布文章，直接禁用它。用插件可以一键关，或者通过.htaccess（Apache）文件屏蔽：

# 在.htaccess中屏蔽xmlrpc访问
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

3. 给慢查询装上“刹车片” 很多CC攻击是通过搜索功能发起的，一个复杂的搜索词就能拖垮数据库。可以在functions.php里限制搜索频率，或者直接对非登录用户禁用搜索（如果这符合你站点特性的话）。对于评论提交、表单提交，也加上时间间隔限制。

---

三、真正扛压的防线，在服务器和更外层

如果你的网站有点规模，或者已经挨过打，下面这几条比插件和代码加固更管用。

1. 上高防CDN，把流量“洗一洗” 这是我认为性价比最高的升级。像Cloudflare（免费版就有基础防护）、国内的百度云加速或专业高防服务，原理是把你的网站源站IP隐藏起来，所有流量先经过他们的全球网络。

• 好处是：攻击流量在CDN节点就被拦截、稀释了，到不了你服务器。免费的Cloudflare开启“Under Attack Mode”（五秒盾），就能挡住很多自动化CC工具。
• 注意点：用了CDN，一定要确保源站IP不泄露（别在第三方服务里直接填源站IP），否则攻击者可能“绕盾打源”。

2. 配置Web服务器（Nginx/Apache）限制 这是服务器层面的“硬功夫”。比如在Nginx配置里，可以针对单个IP的并发连接数和请求速率做限制：

http {
    limit_conn_zone $binary_remote_addr zone=perip:10m;
    limit_req_zone $binary_remote_addr zone=ratelimit:10m rate=10r/s;

    server {
        location / {
            limit_conn perip 10; # 单个IP最多10个并发连接
            limit_req zone=ratelimit burst=20 nodelay; # 每秒最多10个请求，突发不超过20
        }
    }
}

这种配置，能直接把那些疯狂刷新的IP连接给掐了。

3. 监控与告警：别等瘫了才知道 装个简单的服务器监控（比如ServerPilot、宝塔面板自带的监控，或者独立的UptimeRobot），设置CPU持续超过80%就发邮件或短信告警。早发现，早处理。有条件的，可以设置日志分析，看看异常请求的模式。

---

四、几个容易踩的坑和“偏方”

• 过度防护影响体验：别把速率限制设得太死，否则可能误伤真实用户（比如正在看产品图集的买家）。先观察自己站点的正常流量基线，再设定略高于此的阈值。
• 缓存才是王道：一个全站静态化缓存的页面，服务器几乎不计算。用好WP Super Cache或W3 Total Cache，把文章页、首页都生成纯静态HTML。攻击者刷一个静态页面，和你自己看，服务器压力差不多——这能极大地提升抗CC能力。
• 别迷信“万能插件”：安全是个体系。插件+代码加固+服务器设置+外部CDN，层层设防，才是正道。单一依赖某个插件，往往是脆弱的。

最后说句实在的，防护没有一劳永逸。今天有效的规则，明天攻击者可能就找到了绕过方法。定期看看日志，了解最新的攻击趋势，保持插件和WordPress核心更新，这些“日常功课”比出事后再救火要管用得多。

如果你的站现在还没事，但心里总不踏实，我的建议是：先把缓存配好，然后上个靠谱的CDN。 这两步做完，大部分小打小闹的CC攻击，你甚至都感觉不到。

行了，方法就是这些，具体怎么组合，看你站点的实际情况。别让网站裸奔，但也别把自己搞得神经紧张——毕竟，咱们做网站是为了业务，不是为了天天和黑客斗智斗勇，对吧？