Wordpress 面对 CC 攻击应该怎么防护？（ 1 秒 20 万动态请求）

1. 看 CDN 是否支持参数白名单，限制只有部分白名单的参数才能回源
2. 在服务器 Nginx 上做同样的事情，给 php 开启 fastcgi_cache ，防止缓存穿透

换 IP ，然后上 CloudFlare

话说你惹到谁了？像这种持之以恒不常见哎

先看看是不是 pingback 攻击，是的话直接 ban ua

http://www.uptownboy.cn/ddos-deflate-protection/ 上这个有没有用？

@Zohar 谢谢啊..CF 不能用..我 IP 他应该不知道
@dzxx36gyy 不知道 pingback ， pingback 我从一开始就关掉了的

@des 我也不知道...攻击了我两三个月了...

@kungfuchicken 这个好像比较高级了...百度直接没有白名单...阿里和腾讯只有 IP 白名单...

@ethanlu 这个好像很厉害...我试试看去

@d754903977 我也是连续被 cc 三天了，目前无解，安全狗开了没用

block ip

看看日志有没有 pingback ，如果有再看看这些发起 pingback 是不是都是国外网站或者国外 ip ，然后直接将国外请求指向 127.0.0.1 。注:和你博客是否关闭 pingback 无关，而是所有 wp 网站没关 pingback 都有可能沦为肉鸡。

@d754903977 看日志吧，如果是打 xmlrpc 的那直接把 wp 的 xmlrpc.php 干了也行

直接静态化，然后屏蔽 php 文件访问

@xiaoz 国外 ip 指向 127.0.0.1 用什么工具哪？

@dzxx36gyy 无用的，对方是用肉鸡发起攻击，你把 xmlrpc.php 删了请求依然过来，顶多返回 404 状态。照样打死

@daolin998 大多数智能解析都能办到。比如 cloudxns 、 dnspod ，之前我网站被 wp 的 pingback 攻击了，然后把所有国外 IP 解析到 127.0.0.1 ，瞬间安静许多。

1 秒 20 万？我敢说世界上 95%以上的网站都扛不住这么大的并发

@xiaoz 删了是 xmlrpc.php 最差的方案
应该在 nginx 里为 xmlrpc.php 建一个高优先级的 location
返回空白内容的 200 ， Cache-Control 设为 public; max-age=3600
这样请求都在 CDN 上了，带宽也用不了多少，想节省资源可以顺便把能去掉的头部都去掉

全静态化，丢 CDN 中间源，完事…记得看紧钱包

开 cf 的 5 秒盾 应该就解决了
我最近研究了一下 kangle 商业版本的防 CC 效果也非常好

@lhbc 请教一下为何要返回 200 ，返回 404 不好吗？谢谢。