如果你使用宝塔面板搭建了WordPress网站,明明网站没有什么流量还经常卡的打不开,那么十有八九是网站正在被机器人恶意扫描,本文将教会你如何通过添加Nginx规则来拦截这些恶意请求。
表现症状
新服务器,就安装了一个WordPress网站,还没有什么流量,经常网站卡的打不开,后台查看服务器监控,发现CPU使用率一下高一下低,如下图:
访问网站日志,可以看到同一时间有相同的IP或者相近的IP一下子访问多个网站上不存在的文件或者目录,如下图:
正常情况,只要你网站不包含这些漏洞,都会返回404错误提示,对服务器性能影响极小。
关键的是这些机器人不讲武德,通常都是一秒钟请求多次,一分钟请求几十上百次,对于我们普通网站的服务器来说,根本扛不住如次高频率的访问,所以就会CPU资源占用100%导致网站卡顿打不开。
处理办法
想要解决这些问题,我们可以通过使用CloudFlare的防火墙或者服务器的fail2ban来实现自动封禁,不过这些配置对于新手来说要复杂一点,所以我们采用更加简单的修改网站nginx配置文件来解决。
在宝塔面板后台,网站,点击网站设置,选择网站配置,在SSL安全证书配置结束后面插入下面的代码。
# ==================================================
# 自定义安全拦截:在进入 PHP 处理之前拦截恶意扫描
# ==================================================
# 拦截敏感文件和框架路径
location ~* ^/(\.env|\.git|actuator|telescope|_ignition|horizon) {
return 444;
}
# 禁止在 uploads 目录执行 PHP
location ~* /wp-content/uploads/.*\.php$ {
deny all;
}
# 拦截常见 WebShell
location ~* (alfa|wso|shell|gecko|leaf|cmd)\.php$ {
return 444;
}
# ==================================================
另外,xmlrpc.php文件也会经常被攻击,也可以考虑添加进去。
# 彻底禁用 xmlrpc.php
location = /xmlrpc.php {
deny all;
}保存配置,没有错误提示的话就代表配置生效了,接下来观察服务器资源使用情况,一切正常的话,CPU很少会飙升到100%去了。
提示:如果服务器没有被机器人扫描或者攻击的情况下,CPU使用率也很高,通常是你网站本身的问题,例如插件或者主题的兼容问题引起的资源占用高,这种情况最好是停用插件和更换主题来排查是哪个地方的问题。
规则定制
每个人网站碰到的扫描情况不一样,我们上面的配置并不一定就是你网站正好碰到的机器人扫描的目录和文件(我们配置里面没有添加php文件拦截规则)
而如何定制自己的专属规则呢?
很简单,将你网站访问日志发给AI,让他帮你分析,然后设计规则后添加到宝塔网站配置文件里面就可以了。
如果你实在搞不定,可以联系奶爸付费帮你排查和定制拦截规则。
WordPress安全插件可以拦截这些扫描吗?
很遗憾,WordPress的安全插件并不能完全拦截这些扫描,正常网站请求流程都是:
用户请求
↓
Nginx
↓
PHP
↓
WordPress像GET /.env这些请求,直接就在Nginx层被404提示了,不会进入到WordPress。
而像请求的不存在的php文件,虽然进入了WordPress,安全插件可以识别和拦截,但是因为一个请求会占用一定php资源,多次请求就会将资源耗尽,导致服务器卡顿。
所以使用Nginx层面拦截效果比WordPress安全插件拦截的效果要好很多。
而如果Nginx拦截了还挡不住,那么你就需要考虑添加防火墙来自动封禁了,一般情况来说绝大多数网站通过Nginx规则都可以让服务器资源降下来。
以上就是奶爸给大家分享的宝塔面板Nginx拦截恶意请求的内容了,有不明白的地方可以加奶爸微信讨论。
评论已关闭
本文的评论功能已关闭,如有问题欢迎通过其他方式联系我们。