使用Better WP Security保护自己的wordpress网站

最近又发生了流量被用完导致站点关停的问题。

原因与之前一样，都是因为国外恶意IP过来刷流量导致的。在《虚拟主机流量用完怎么办？流量杀手快速排查》一文中，我曾用修改htaccess文件的方式来封禁恶意IP。但从现在的效果来看，效果不行，恶意IP是你禁一个人家换一个，防不胜防。那该怎么办呢？

理想的情况是，能根据访问IP消耗的流量设定阈值，当超过这一阈值后就封禁IP。不过显然Zhe需要写程序与主机的流量监控管理进行绑定，并且我这个主机也是被定制过的wordpress专用主机，没有这么大的权限。所以这个办法看起来虽好但是没法实现。

第二种办法就是全面封禁国外IP。因为大多数恶意IP都是挂的国外代理。但是这种宁可错杀1000不可放过1个的办法也有点过度反应了。这个办法最好别用。

第三种办法是有针对性地封禁IP。最好是有一个实时更新的恶意IP集，每次都禁止它们的访问。幸运的是在夏威夷同学的帮助下我们很容易地实现了这一点。就是使用wordpress 的Better WP Security插件。

安装好Better WP Security，其控制面板如上图所示。你可以看到它功能很多很强大。

回到之前的问题，Better WP Security可以有针对性地屏蔽恶意IP。其一是启用默认黑名单。该默认黑名单发布在HackRepair.com，很好很强大。其二是手动添加封禁主机列表。这里我把之前发现的恶意IP全部写进去了。稍微扩大了一些打击面，封禁了恶意IP所在的整个网段。这些手动添加的IP将会被Better WP Security用正则式的形式添加到.htaccess文件中去。

通过以上Better WP Security的使用，网站确实减少了恶意IP疯狂刷流量的问题。但维护一个网站不是一劳永逸的事，需要经常操心，就像养娃一样。