Wordpress 被 CC ,一直 post admin-ajax.php 这个文件, CPU 还算正常,但是站点会直接 502..使用的 CDN ,撤下 CDN 他 D 我...而且他每次就几分钟...没到需要强制开验证码的时候...但是他天天来,真的很烦...
大牛们有什么好的方法吗?
1
lslqtz 2016-11-27 22:26:13 +08:00 via iPhone
服务器装防护,要不就按频率开验证码
|
2
kungfuchicken 2016-11-27 22:29:20 +08:00
主域名上 CDN ,主域名下禁止访问 /wp-admin /wp-login.php 等容易被 CC 的目录和页面, 自己再到服务器上随便开个什么域名比如 aaaa.主域名.com ,配置和主域名一样(不禁止 wp-admin 等), 通过绑定服务器 host 来访问这个域名管理后台。
|
3
alect 2016-11-27 22:29:28 +08:00
查查 ip ?
|
4
Vogan 2016-11-27 22:29:46 +08:00 via iPhone
所以 cdn 服务商那不提供防 cc ?
|
5
d754903977 OP @alect 下午已经手动封了 100 多个了...
|
6
d754903977 OP @Vogan 百度 cdn 说是防。。但是没用。。
|
7
d754903977 OP @lslqtz 服务器上是限频了的...
|
8
d754903977 OP @kungfuchicken 试过设置访问 admin-ajax.php 403...但是前台和后台都会出错...
|
9
Kaiyuan 2016-11-27 22:39:48 +08:00
我用的是 CloudFlare ,防护墙禁止了 CloudFlare 以外的 IP 访问 80 和 443 端口,并且安装 Jetpace 插件。
|
10
d754903977 OP @Kaiyuan CF 国内访问速度怎么样?想用的,但是考虑访问速度..想用百度云加速,但是他们给我拉黑了...还不能解除...明明他家付费 CDN 都可以用...
|
11
Kaiyuan 2016-11-27 22:44:00 +08:00
@d754903977 200 多延迟,还很多地区会访问不了.
|
12
d754903977 OP @Kaiyuan ...那真不能用...这比间歇性 502 还严重...
|
13
falcon05 2016-11-27 22:51:47 +08:00 via iPhone
admin-ajax.php 是整站 ajax 请求的入口,不单是后台的,主题或者插件用到 ajax 请求,一般也是从这里访问。而且这种动态请求,除非设置过期时间,
否则 CDN 每次都要回源。对源站压力也不小。 |
14
falcon05 2016-11-27 22:53:32 +08:00 via iPhone
其实我遇到过,也只是封 IP 哈哈
|
15
Ed 2016-11-27 22:59:30 +08:00
返回 404 啊,只允许你自己登录后访问该页面
|
16
Technetiumer 2016-11-27 23:30:00 +08:00
CDN 缓存整站, CF 有页面规则,不知道百度有没有,不过用 POST 就会回源。全站静态化大法好。
另外 CF 免费版的防止 CC 只是 JS 浏览器验证和 Google 验证码,要开启受到攻击模式,不过可以用页面规则专门给 admin-ajax.php 开启受到攻击模式。 所以说 wordpress 真麻烦, typecho 所有目录都好改名,而且只有 index.php 一个入口。 |
17
d754903977 OP @falcon05 我封了好多 IP 了...无解..这人每天攻击的 IP 都不同...这年头 IP 不值钱嘛...
|
18
d754903977 OP @Technetiumer 全站静态化有什么好的方案吗?我只用了 WP Super Cache ,开了预缓存以后还是很多页面没有缓存,必须自己访问一次才有
|
19
d754903977 OP @Technetiumer CF 访问速度太慢了...不是很好用...Wordpress 确实麻烦...到谷歌找了半天看到蛮多关于 admin-ajax.php 的,但是一个一个试过去都没用...
|
20
jackton 2016-12-07 23:43:52 +08:00
源站用 nginx 做规则,admin-ajax.php 每分钟请求超过 N 次直接 ban ip
|