部署这个网站的服务器基本没有做过防御，今天测试发现像hulk这种简单http洪水攻击都能轻而易举搞崩服务器。。。尝试配置雷池waf

官网一键部署指令：

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

不过服务器可用内存小于1g不能执行，可换用setup指令

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

执行完毕即可通过ip:9443进入管理页面，登录页面点击‘忘记密码’复制命令可随机重置密码，后续可在-通用设置-控制台管理的用户管理里自定义密码

防护应用选项里，上游服务器为原应用所在端口，监听端口为供外部访问的waf代理端口，配置好防御逻辑后再把原端口防火墙拦截或者重定向到代理端口即可

再次用hulk测试可见已被拦截

刚部署没多久就成这样了，不知道这些外国ip哪冒出来的

（ps：这waf甚至连这文章中的bash什么的指令也会拦截，导致我文章一直发不出去折腾半天才意识到。。得暂时切换观察模式才能发）

【2025-7-31更新】

配置https后可能出现页面排版错乱，因为HTTPS页面中混入了HTTP 资源被浏览器拒绝了，需在网站目录的wp-config.php中加上以下代码强制使用https协议

$_SERVER['HTTPS'] = 'on';
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);