WordPress 安全:限制同 IP 对 admin-ajax、wp-login 等任意 URL 的访问频率

限制对 WordPress 特定网址的访问频率,比如一个 IP 地址每秒只能访问一次,每分钟一次,甚至每小时一次,可以有利避免对 wp-login.php 进行暴力破解登录、对 admin-ajax.php 恶意提交文章评论、刷手机短信验证码,以及 CC 攻击你的 API 接口等。

当限制请求次数在 1 分钟 1 次之内时,比如:1 分钟 1 次、 1秒 1 次、20 秒 1 次,推荐 使用 Nginx 限制访问频率。当限制频率超过了 1 分钟 1 次,比如 20 分钟 5 次、2 小时 3 次时,就要使用如下方法了。

准备工作

为了提高性能,代码使用了 memcached 缓存数据到服务器的内存,因此你的服务器必须安装 memcached 。宝塔面板—— PHP——扩展选项,找到 memcached 点击安装, 注意看最后一个字母是 dPHP 版安装就绪,再去软件商店搜一下,确认软件版的是否也已安装。

代码部署

代码分为两部分,第一部分是自定义一个控制访问频率的函数,第二部分是使用WordPress 动作钩子,将频率控制函数挂在到所需要控制页面 PHP 上。原理不懂没事,只要你明白步骤分两步走就行。

第一步:添加频率控制函数

你可以自行调整防刷新时间、次数、警告次数、解封时间等,在代码中用 // 对关键内容做了注释,一看就能明白在哪里修改。

/**
 * 使用教程:https://www.cccitu.com/5079.html
 * 限制URL访问频率的函数,对管理员登录状态以外的访问起效
 * 可以通过动作钩子引用此函数,限制特定的页面
 * 该函数主要参考了https://www.tjit.net/194.html
 */
function cccitu_waf() {
    if(!current_user_can( 'manage_options' )){ //对登录后的网站管理员访问不起作用。该函数是 WordPress 网站独有,非 WordPress 请不要使用此判断
        ini_set("display_errors", "Off");
            error_reporting(E_ALL ^ E_NOTICE ^ E_WARNING);
            extension_loaded('memcached') or die('memcached扩展未安装!');
            $logPath = $_SERVER['DOCUMENT_ROOT'] . '/cccitu-waf/cccitu-waf.log'; //日志记录文件保存路径,在网站根目录的 cccitu-waf 文件内内可以查看
            $fileht = $_SERVER['DOCUMENT_ROOT'] . '/cccitu-waf/cccitu-ban.log'; //被拉黑IP记录文件保存路径
            if (!file_exists($logPath)) {
                @mkdir($_SERVER['DOCUMENT_ROOT'] . '/cccitu-waf/', 0777, true);
                @file_put_contents($logPath, '');
                @file_put_contents($fileht, '');
            }
                $allowtime = 60; //防刷新时间,以秒为单位,具体数字可以根据需要自行调整
                $allownum = 3; //防刷新次数,比如上面设置的房刷新时间为60,这里设置为3,那么60秒访问次数超过3次就会引发警告
                $allowRefresh = 1; //在此警告次数之后拉黑IP,写 1 则是警告一次后,将会拉黑该访问IP地址
                $bantime = 3600; //封禁时间,超时自动解封,以秒为单位,3600 即为 1个小时后解封该IP地址,注意时间最长不能超过30天
                $ip = $_SERVER['HTTP_X_FORWARDED_FOR'] ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR'];
                $uri = $_SERVER['REQUEST_URI'];
                $cache = new Memcached();
                $cache->addServer('127.0.0.1', '11211') or die('memcached连接失败!');//如果你更改了memcached 默认的IP或端口,请根据实际情况修改
                $inban = $cache->get('cccitu-waf-ban-' . $ip);
            if ($inban) {
                header("HTTP/1.1 403 Forbidden"); //可以自行修改h1和p标签内的提示内容,当被封IP访问此页面时显示。
                exit('<h1>403 Forbidden 非法访问</h1>
                <p>非法访问</p>');
            }
                $wafarr = $cache->get('cccitu-waf-' . $ip);
            if (!$wafarr) {
                $wafarr = [
                    'path' => $uri,
                    'time' => time() + $allowtime,
                    'sum' => 1,
                ];
                $cache->set('cccitu-waf-' . $ip, $wafarr, time() + $allowtime);
            } else {
                if ($wafarr['sum'] > $allownum) {
                    $wafsum_arr = $cache->get('cccitu-waf-sum-' . $ip);
                    if (!$wafsum_arr) {
                        $wafsum_arr = [
                        'sum' => 1,
                        ];
                        $cache->set('cccitu-waf-sum-' . $ip, $wafsum_arr, time() + $bantime);
                    } else {
                        if ($wafsum_arr['sum'] > $allowRefresh) {
                            $cache->set('cccitu-waf-ban-' . $ip, 1, time() + $bantime);
                            file_put_contents($fileht, $ip . "\n", FILE_APPEND);
                        } else {
                            $wafsum_arr['sum']++;
                            $cache->set('cccitu-waf-sum-' . $ip, $wafsum_arr, time() + $bantime);
                        }
                    }
                    file_put_contents($logPath, $ip . '--' . date('Y-m-d H:i:s', time()) . '--' . $uri . "\n", FILE_APPEND);
                    header("HTTP/1.1 403 Forbidden");
                    exit("请求频率QPS超过限制,请酌情访问,多次提醒后会封禁IP!");//可以自行修改提示内容,当访问被警告时,此页面显示。
                } else {
                    $wafarr['sum']++;
                    $cache->set('cccitu-waf-' . $ip, $wafarr, $wafarr['time']);
                }
            }
    }
}

将以上代码,复制到主题 functions.php 最后一行,如果最后一行是 ?>,则要将代码放在 ?> 的上一行。functions.php 文件在哪里?在服务器 /wp-content/themes/ 目录的主题文件夹中。

如果你无法进入服务器,也可以进入:网站后台——外观——主题编辑器——模板函数(functions.php) 进行操作。

第二步:限制具体的网址

  • 专一:限制 wp-login.php 登录注册
  • /**
     * 使用教程:https://www.cccitu.com/5079.html
     * 限制 wp-login.php 的访问频率,可以防止恶意注册和登录暴力破解
     */
    add_action('login_enqueue_scripts', function(){
        cccitu_waf();
    });
    
  • 专一:限制 admin-ajax.php 数据提交
  • /**
     * 使用教程:https://www.cccitu.com/5079.html
     * 限制使用 admin-ajax.php 进行 ajax 异步加载的数据提交的频率,一般文章评论,短信发送等功能都使用了此功能
     * 注意,这里所限制的是通过 post 和 get 提交数据,测试效果时,要以 域名/admin-ajax.php?action=cccitu 的形式访问
     */
    add_action('admin_init', function(){
        if (wp_doing_ajax()){
            cccitu_waf();
        }
    }); 
    
  • 通用:限制 任意一个网址
  • /**
     * 使用教程:https://www.cccitu.com/5079.html
     * 限制任意一个网址
     */
    add_action('init', function(){
        $cccitu_get_url = $_SERVER['REQUEST_URI'];
        $cccitu_waf_check = false;
        //例如要限制 https://www.cccitu.com/5065.html ,就将主域名后面的 /5065.html 填写到代替换的单引号内
        if(strpos($cccitu_get_url, '待替换') !== false) {
            $cccitu_waf_check = true;
            break;
        } 
    
        if ($cccitu_waf_check){
            cccitu_waf();
        }
    }); 
    
  • 通用:限制 任意多个网址
  • /**
     * 使用教程:https://www.cccitu.com/5079.html
     * 限制任意多个网址
     */
    add_action('init', function(){
        //例如要限制 https://www.cccitu.com/5065.html ,就将主域名后面的 /5065.html 填写到代替换的单引号内
        //当三个网址以上时,自己在括号内以英文的逗号,单引号的形式添加即可,比如('/5065.html','admin-ajax.php','wp-login.php')
        $cccitu_waf_kay = array('/5065.html','admin-ajax.php');
        $cccitu_get_url = $_SERVER['REQUEST_URI'];
        $cccitu_waf_check = false;
    
        foreach($cccitu_waf_kay as $word) {
            if(strpos($cccitu_get_url, $word) !== false) {
                $cccitu_waf_check = true;
                break;
            } 
        }
    
        if ($cccitu_waf_check){
            cccitu_waf();
        }
    }); 
    

    为尽量减少影响 WordPress 的性能,虫子菌针对不同的限制需求,写了以上不同的代码,当多个代码都能满足你的需求时,建议优先选择专一的,其次才是通用的。将所选代码同样复制进 functions.php 的最后一行,也就是第一步代码的下面,当第一步和第二步代码都加入后,即可生效。

    暂无评论

    相关推荐

    WordPress 重定向登录页面 wp-login.php

    WordPress 重定向登录页面 wp-login.php

    用的 WordPress 主题重写了登录页,并将wp-login.php重定向到新的登录页,但它只对未登录状态做了重定向,于是改了一下,增加了登录状态的重定向。 /** *重定向默认登录页wp-login.php *教程:https://www.cccit ...

    Warning: Invalid argument supplied for foreach()

    Warning: Invalid argument supplied for foreach()

    安装了一个 WordPress 插件:wpjam-search。有警告信息抛出:Warning: Invalid argument supplied for foreach(),这是因为循环的数据不是有效数组,需要在 foreach 之前判断数据源,我们打开被警告的文件,做一 ...

    WordPress 生成 temp-write-test-619522e2834d02

    WordPress 生成 temp-write-test-619522e2834d02

    最近 WordPress 在 wp-content 生成了很多 类似 temp-write-test-619522e2834d02-78850127 的空文件,应该和宝塔开启网站防篡改插件有关。解决办法:在 wp-config.php 文件,添加 define('FS_METHOD', 'direct') ...

    微信扫一扫,分享到朋友圈

    WordPress 安全:限制同 IP 对 admin-ajax、wp-login 等任意 URL 的访问频率