wordpress - 不使用 Web 应用程序防火墙有哪些潜在风险？

您绝对应该使用 WAF - 它可以保护您的网站免受许多恶意机器人和攻击。

Wordpress 网站是攻击者特别多汁的目标，原因有很多：

1. 默认 Wordpress 安装的安全性不是很好。

2. 每个 Wordpress 站点都共享通用的默认功能，例如管理员登录页面的位置、管理员用户名和其他利用资源。

3. Wordpress 非常流行，目前估计有三分之一的互联网网站都在使用它。

4. 许多不知道如何正确保护其网站的小型企业和业余爱好者都在使用 Wordpress。

因此，攻击者可以很容易地在网络上搜索容易被黑客入侵的 Wordpress 网站。其他恶意活动通常在大多数 Wordpress 网站上轻松执行，例如垃圾评论或拒绝服务攻击。

---

WAF 提供什么保护？

Cloudflare 和大多数其他高质量 WAF 可以配置为通过自动执行以下操作来保护您的站点：

• 阻止已知的错误 IP 地址。
• 阻止自动向您的网站发出请求的恶意机器人。
• 在短时间内限制来自一个来源的大量请求（通常是 DoS 攻击或抓取的迹象）。
• 阻止来自特定国家或地区的请求。

如果您可以使用此保护，您没有理由不想启用它，Cloudflare 是该领域的行业领导者。

此外，我建议您研究如何通过 WAF 以外的方式更好地保护您的 Wordpress 网站 - 例如终极 WordPress 安全指南

---

如何解决IP地址问题

Cloudflare 不会更改用户（客户端）的 IP 地址，而是充当代理。正如您所注意到的，您看到的 IP 地址不是客户端自己的，而是 Cloudflare 的一个。这对于 Cloudflare 如何保护您的站点至关重要，但这是使用任何类型的代理时的常见问题。

要在使用代理时获得正确的 IP 地址，您需要检查X-FORWARDED-FOR标头。您可能会将其视为一串以逗号分隔的 IP 地址，具体取决于用户在到达站点之前经过了多少代理。列表中的第一个是原始客户端 IP。

例如，这203.0.113.1是客户端的原始 IP 地址：

X-Forwarded-For: 203.0.113.1,198.51.100.101,198.51.100.102

文档：Cloudflare 如何处理 HTTP 请求标头？

无论如何，最好使用一个可以全面检查标头并为您提供原始客户端 IP 的最佳匹配的功能，无论用户是否在代理后面，这样您就可以保证它始终有效。

这是一个非常流行的 StackOverflow 问题：

在 PHP 中检索用户正确 IP 地址的最准确方法是什么？