站点提高安全与性能的实战指南

1、背景

我想对于个人站长来说用的比较多的就是WordPress系统，那么这篇文章会围绕这个系统进行详细解析。不管是商城还是论坛再到我们的个人博客或者展示页，WordPress都是我们的最佳选择。作为一个CMS系统他的功能以及拓展性更不用我多说，可以将你的想法完美的在这上面诠释出来。但是光有CMS还不够，我们的站点上线之后会难免都会遭受到攻击，攻击会让你的服务器变慢甚至直接黑洞。这个时候你就需要一款产品来对我们的站点进行保护。那我们如何满足高性能的同时又满足高安全的需求。那就可以来看看我们的EdgeOne边缘加速产品。他的前身是腾讯的ECDN，但在今年上半年已经将ECDN所有业务迁移至边缘加速平台。

边缘加速产品介绍页

2、WordPress的常见疑问

那么有人到这就会问了，明明cdn的价格便宜那么多我为什么不去用cdn而要去用ecdn呢？

cdn主要用于加速静态内容，然后静态内容只包括图片、视频、CSS、JavaScript、HTML等静态文件。如果只加速这些文件那么站点依防护很低，我们通过站长之家查询站点，发现站点IP还是会有源站IP地址。那么攻击者就可以攻击IP地址来让你的服务器瘫痪，这样省去了攻击域名的步骤。那么边缘加速则相反，他是动态加速。通过边缘计算的方式来对站点访问、服务响应及动态内容进行加速。这样就能保证你的网站能够受到全面的保护，动态加速能够加速数据库及响应头来实现负载均衡。

内容分发网络产品介绍页

cdn价格确实很便宜，但是无法做到全方面保护以及加速。

3、前置条件

确保你在服务器上的项目及产品能够正常访问。运行环境为Linux及Windows都可以。但是一定不可缺失项目运行的必要条件。例如你是WordPress那么就一定不可缺失Apache或Nginx、PHP、MySQL或MariaDB等必要条件。但是我们还是推荐使用Linux系统来进行服务部署。至于版本的话能新就新，如果出现问题向下降一个版本基本都可以解决。

4、添加EdgeOne

1、选购EdgeOne套餐，并进入控制台（选择适合自己站点的就行）

EdgeOne控制台

2、点击站点列表并新增站点

点击此处输入域名

然后点击下一步

选择自己需要的套餐

选择自己需要的套餐，如果已经购买请点击右边的绑定至已购套餐进行绑定。

如果没有套餐则为空

选择之后购买即可

成功之后配置下发

我们点击下一步，选择加速区域与接入模式

选择适合自己站点的

那么这里各位自行配对，就不做演示了。

3、进行域名添加，并进行配置

点击添加域名进行域名添加

这里进行添加

加速域名前面就写你需要的，主域名就写@，例如www.xxx.com前面就写www

然而源站/IP域名就是你的服务器IP或者项目IP

这里的ipv6访问看你们需不需要支持，这里还是推荐支持一下

回源协议很好理解 80是HTTP，443是HTTPS。源站支持哪个就选哪个

选择WordPress建站

加速规则

我们看到这个加速规则覆盖的很全面，可以自行进行更改，来适配自己的站点。

我们进行配置之后就完成了

这样域名添加的步骤就完成了。整体来说还是很好理解的。

配置生效需要15分钟左右，请耐心等待

如果选择443的，配置下发成功后请申请或上传ssl证书，避免站点无法访问等情况。

请自行选择

这个时候我们就可以正常的访问站点了。现在就能做到站点加速以及网站防护。

我们这个时候还需要验证一下我们的域名，是不是成功的套上eo了。其实最简单的方式就是ping

使用ping功能

ping最简单的理解方式就是通过与主机的响应来测试网络延迟及丢包率。

Windows系统可以使用Win+R 之后输入CMD之后打开命令行工具

在命令行中使用ping命令：ping example.com

这里的examp.com替换成自己的域名，回车即可

输出示例如下：

Pinging example.eo.dnse1.com [61.160.209.214] with 32 bytes of data:
Reply from 61.160.209.214: bytes=32 time=21ms TTL=48

这里其实很简单，非常容易看懂，看看这个IP地址是不是源站地址即可。

如上的IP地址为61.160.209.214属于腾讯eo的IP，经过实测这样就更测试完成了。

如果不放心，可以去站长工具进行IP测试。那个还是比较的全面的。

5、防护站点配置

我们看到左侧的工具栏，我们最主要的还是安全防护和站点加速这两个模块。

这里就用个人版eo套餐做演示，大部分涉及个人版内容，不过其他版本也适用。

安全防护

我们点开安全防护里的Web防护，这里可以参考下图

Web防护界面

1、防护例外规则：其实就是将某IP添加到白名单

2、CC防护规则可以自行更改，我这里是紧急。cc攻击就是向服务器发送https或者http请求最终导致站点瘫痪。这个防护还是有必要的，这里说明一点cc属于ddos攻击。

CC防护规则设置

3、自定义规则：IP黑名单，或者让某个文件目录下的文件访问之后403等等，这些都可以自行配置。但是还是比较推荐用来封禁IP等操作。

4、限速策略：简单理解为在几秒内的请求次数是多少，超过某个特定的请求次数就进行拦截等操作。例如10秒内能请求30次，超过30次你的IP就会被封禁。这里的限速策略其实还挺有用，进一步保护你的站点。

5、托管规则：这个默认打开就行了，要是没防护到位自己更改防护规则即可。上面说了这个的功能提供包含 OWASP top10 在内的托管规则。能够有效防御如 SQL 注入、XSS 攻击、webshell 上传、命令注入等攻击。

站点加速

这里由于可用的太多了，我就挑几个进行讲解。

智能加速

智能加速

如果只加速国内的用户那么智能加速就完全没有必要打开，其次他是需要收费的1 VAU/万次请求，0.1元/VAU。价格其实还算可以，这个智能加速最明显的就是全球加速。我能说境外加速的速度比友商快，你对比同产品你就能有明显感受了。

缓存配置

缓存配置

这里主要说一下下面的三项，上面的几项我们默认遵循源站即可。

第一个加速忽略大小写，这里举个例子/ADMIN的url访问我们依然可以跳转到/admin。

这个就很好理解，各位可以开启这项功能之后自己去尝试一下，是啥大小写会不会有问题。

这里我们需要手动进行配置，我们点击右下角的差异化设置。

忽略大小写配置界面

完成之后我们点击右上角的保存并发布就可以了。

缓存预刷新

这个相当于在你已有的缓存中，预刷新占到百分之多少。

详细的可以看下面的配置图

缓存预刷新配置图

很好理解，百分比越小，缓存资源占比就越大。

也就是说缓存想要占比大一点，那就填写小一点。

离线缓存

相当于你站点的图片失效了或者被你不小心删了，那这个功能就比较有用，会从你的缓存文件中来显示失去的图片等。

HTTPS

HTTPS配置

这里我全开了，这个等于说你全开了安全性也基本没什么问题了。

网络优化

网络优化配置

这里说一下就是IPV6属于一种很少用的协议，不过还是建议打开，如果你只支持IPV4也是可以的。

客户端IP地理位置头部只适合IPv4。通过ipv6访问站点的就不行了。

其实到这里配置基本上就完成了，其他的需要各位自行的去摸索去探索了。

6、防御能力如何

我们首先用最简单的，我们模拟黑客进行SQL注入获取数据库权限的操作。

攻击测试方式为http://网站域名/?id=/etc/passwd进行测试即可。

不合法请求

我们这个时候会发现我们触发了不合法请求。这里会对我们进行拦截。

那么我们再试试批量向服务端发送请求会发生什么，我们设置的是40 次 / 10秒，那看看会发生什么？

403

经过多次请求我们的站点显示403了，稍等一会即可恢复。这样就避免了大量访问造成的通信拥堵。

测试结果

我们上面是对数据库进行攻击，也就是sql那一栏，我们看到效果还是很明显的，总共拦截了100次。

接下来我用站点攻击的方式来测试一下，用大量GRE请求来访问，这里为了方便，就简单的试了一下

还有很多方式这里就图个方便，你们看看测试效果就可以了，没有必要去尝试。

访问效果

我们看到总流量是33.43MB，eo的防护值是32.57MB还是很直观的，只命中了8KB。当然这个测试仅供参考，这种也算是一种攻击方式。请不要用在其他场合。就是攻击的太少并没有发现什么异常，这里看看就好

总结

我们在配置过程中肯定会有很多问题，甚至有的是第一次接触这个产品，还没能够完全理解他能给你带来什么。我想这个问题你可以在使用一段时间后你必然就会知道了。我相信这个产品会符合你的预期。这里需要注意的是我写这篇文章的时候控制台还没有进行升级，可能与现在的新操作界面会有一些区别，但是不会相差太大。

那么eo这款产品能带给我们的好处就太多了，需要我们去在这其中不断探索。

最后放几张新界面截图，那么本篇文章也就该结束了。这篇文章适用于绝大多数场景，不仅仅用于WordPress。

web防护新界面

站点加速新界面