最近给客户部署WordPress，AppNode里开了WAF防火墙，但发现默认规则老把正常评论拦掉… 后来手动加了白名单，把/wp-comments-post.php放行，又调低了SQL注入检测的灵敏度，终于不误杀了！还顺手关掉了XML-RPC接口，省得被爆破。对了，后台登录页直接用AppNode的IP黑名单功能，封掉反复扫后台的几个IP段，现在日志清爽多了…你说这年头，光靠插件防CC真不太靠谱啊？