szepeviktor/waf4wordpress

# WordPress 的 WAF [][href-license-file] [][href-composer-file] [][href-packagist-stats] [][href-packagist] [][href-phpstan-org] 阻止对您的 WordPress 网站的实际攻击并 触发 [Fail2Ban](https://github.com/fail2ban/fail2ban)。 :bulb: 在使用此 WAF 之前，您必须清理您的网站，消除哪怕是微小的错误。 每天查看您的访问和错误日志，并在此 WAF 未启用 Fail2ban 的情况下运行一周。 此 WAF 不会对不寻常请求提供正确的 HTTP 响应。 它会立即阻止攻击 IP 地址，目的是如下。 1. 防止后续请求中的网站被攻破 2. 防止 DoS 攻击 共享主机没有全服务器级别的封禁（由于信任问题） 但您仍然可以在没有 Fail2Ban 的情况下安装此软件，以使用 Miniban 方法之一来阻止攻击。 ## 理论 您的 WordPress —— 真正的通用 HTTP —— 安全由以下内容组成。 1. 使用 HTTPS 2. 每日备份 3. 阻止[已知敌对网络](https://github.com/szepeviktor/debian-server-tools/tree/master/security/myattackers-ipsets) 4. 安装 Fail2Ban（控制防火墙） 5. 维护您的网站并使用 [严格的 Fail2Ban 过滤器](https://github.com/szepeviktor/debian-server-tools/tree/master/security/fail2ban-conf) 这些过滤器会在首次可疑请求时立即封禁 6. 禁止直接访问核心 WordPress 文件、主题和插件 7. 安装 WAF for WordPress（此项目） 8. 使用 [Leanmail](https://github.com/szepeviktor/debian-server-tools/tree/master/security/fail2ban-leanmail) 过滤 Fail2Ban 通知邮件 请参阅[阻止 WordPress 攻击向量](https://github.com/szepeviktor/wordpress-website-lifecycle/blob/master/WordPress-security.md) 注意在我的其他仓库中，以获取该主题的概述。 ## Composer 安装 从技术上讲，这不是一个 WordPress 插件也不是 MU 插件。 WAF for WordPress 以 Composer 包的形式分发和自动加载。 1. 执行 `composer require szepeviktor/waf4wordpress` 命令 2. 从您的 `wp-config` 加载 `vendor/autoload.php` 3. 实例化 `SzepeViktor\WordPress\Waf\HttpAnalyzer` 类（在 `wp-config` 中尽早执行） require dirname(__DIR__) . '/vendor/autoload.php'; new SzepeViktor\WordPress\Waf\HttpAnalyzer(); 4. 在 `wp-content/mu-plugins/waf4wordpress.php` 中创建一个 MU 插件