由 mcx 文章前言: 近期我的站点经历了一次惨痛的暗网扫描与 DDoS 攻击,前台瘫痪,收录被劫持。在利用 AI 底层抢修恢复数据后,我痛定思痛,整理了这套从服务器底层到边缘 CDN 的“四层绝对防御”方案。告别繁琐的日志分析,我们用最优雅的极客方式,把黑客挡在门外。
第一层防线:Nginx 底层权限锁死(防篡改)
很多站长使用 root 权限或 FTP 拖拽上传文件后,会导致文件权限混乱,给木马留下后门。必须将文件所有权移交给 Web 环境(如 Nginx),并严格限制读写权限。
【当然,也可以直接用hermus来干也不用自己手动输入哈(我就是这么干的)】
hermus agent部署教程
实操指令(在 SSH 终端执行):
Bash
# 1. 将网站目录的所有权移交给 Nginx (假设用户组 ID 为 82)
chown -R 82:82 /home/web/html/你的域名/wordpress/
# 2. 将所有文件夹的权限设置为 755 (主人可读写执行,访客只读)
find /home/web/html/你的域名/wordpress/ -type d -exec chmod 755 {} \;
# 3. 将所有文件的权限设置为 644 (主人可读写,访客只读,杜绝外部篡改)
find /home/web/html/你的域名/wordpress/ -type f -exec chmod 644 {} \;
💡 核心逻辑:这套连招打完,意味着外网访客(包括恶意爬虫)可以“看”你的网页,但绝对无法“改”你的底层代码。
第二层防线:Wordfence WAF 应用级防火墙(防内鬼)
底层锁死后,我们需要防范从正常表单(如漏洞插件)混入的恶意请求。Wordfence 是目前最成熟的 WordPress 贴身保镖。
核心设置步骤:
- 在插件市场搜索并安装
Wordfence Security。 - 进入 Wordfence -> Scan (扫描) -> Scan Options and Scheduling。
- 务必勾选 High Sensitivity (高灵敏度扫描) 模式。
- 运行一次全盘扫描,将任何报红的“未知文件 (Unknown file)”直接 Delete(删除)。
第三层防线:Cloudflare 隐藏真实 IP(抗 DDoS)
永远不要让你的服务器裸奔在公网上。利用 Cloudflare 的免费 CDN 网络作为代理,隐藏你的真实服务器 IP。
核心设置步骤:
- 将域名的 DNS 解析托管给 Cloudflare,并点亮橙色“小黄云”(Proxy status: Proxied)。
- 在 Cloudflare 的 SSL/TLS 设置中,将加密模式改为 Full (Strict) 严格模式。
- 在服务器面板上只放行 Cloudflare 的官方 IP 段,拦截一切绕过 CDN 的直连访问。
第四层防线:Cloudflare Turnstile 无感验证(降维打击爬虫)
传统的防爆破工具(如 Fail2ban)是被动封禁,极其消耗服务器 CPU。我们直接在边缘节点利用 Turnstile 进行主动拦截,将自动化脚本扼杀在摇篮里。
核心设置步骤:
- 登录 Cloudflare 控制台,进入 Turnstile 面板,添加你的站点,获取
Site Key和Secret Key。 - 在 WordPress 后台安装
Simple Cloudflare Turnstile插件。 - 填入密钥,并勾选以下四个表单护盾:
WordPress Login(保护后台防爆破)WordPress Register(防垃圾注册)WordPress Reset Password(防重置邮件轰炸)WordPress Comment(防垃圾评论)
- 重要体验优化:在插件底部,将
Logged In Users(已登录用户) 加入白名单,这样你自己管理网站时就不会被盾牌打扰。
博文结语: 做完这四步,你的服务器不仅 CPU 会回归平静,而且普通读者的访问体验依然丝滑。建站不易,防御先行。希望这套方案能帮到大家!
Chinese 
English