前两天 Kevin's Space 遭遇了大规模的 SYN Flood 攻击,于是我写了几个脚本,自动化封禁匹配的 IP 地址,这一操作导致很多 IP 被封禁,其中有搜索引擎蜘蛛、普通浏览器访客以及 WordPress 后台服务通信地址。
截止当前,我已经通过 iptables + ipset 封禁了超过 7000 个 IP,有效降低了恶意流量,前台访问已经恢复正常(且还降低了服务器宽带)。不过打开后台非常慢,通常要等两秒,然后刷的一下就弹开了,明显是有连接阻塞了通信。
经我一点小小排查,发现是 api.wordpress.org 不可访问了,因为它的 IP 地址198.143.164.251被我封掉了……迅速加白后,问题解决了,WordPress 整站都轻快了不少。那么自建的 WordPress 网站,为什么需要和 api.wordpress.org 通信?
1. api.wordpress.org 承担的角色
首先,我们来了解一下 api.wordpress.org 究竟扮演着什么样的角色。它是 WordPress 官方 API 服务器的一部分,它主要承担着以下几项关键任务,这些任务对于 WordPress 网站的正常运行和安全至关重要:
- 核心更新通知: 当 WordPress 有新的版本发布时,你的网站会定期向
api.wordpress.org查询是否有可用的更新。这包括 WordPress 核心程序、主题和插件的更新。如果没有这个通信,你将无法及时获得更新通知,也无法通过后台直接更新,这会给网站带来潜在的安全风险和功能缺失。 - 主题/插件的搜索与安装: 在 WordPress 后台,当你搜索新的主题或插件时,实际上是在向
该 API发送请求,获取主题和插件库的信息。如果无法通信,你将无法在后台浏览、搜索和安装新的主题和插件。 - 插件/主题的兼容性检查: 某些插件或主题可能会依赖
API来检查其自身的兼容性或获取最新的元数据。 - WordPress.com 统计数据:如果使用了类似于 Jetpack 这样的官方关联的插件,它们也可能需要与该 API 进行通信以传输统计数据或其他服务。
- Gravatar 头像服务: 虽然 Gravatar 的服务域名是
www.gravatar.com,但其底层的某些功能也可能与 WordPress 生态系统共享资源或信息,api.wordpress.org在某种程度上是这个生态系统的心脏。
所以,当我把 api.wordpress.org 的 IP 地址封禁后,我的 WordPress 网站无法获取到这些重要的信息,导致后台更新检查失败、主题插件搜索卡死,自然就出现了严重的卡顿现象。除此之外,受到 GFW 的影响,wordpress.org 访问速度非常不稳定,这就导致我在标题中说的:可能导致你的网站后台卡顿……这就很无奈。
2. 有没有折中方案?
明白了 api.wordpress.org(198.143.164.251)的重要性,那么问题来了:有没有折中方案,既能保证网站正常运行,又能尽量减少由于 GFW 影响而造成的通信延迟呢?——当然话说回来,其实后台卡点儿也无所谓 ?
我能想到的是:1)彻底停掉和 WordPress 官方的访问,断掉 API,这就需要禁止一些功能和插件;2)使用国内镜像替代服务。比较知名的有 WP China Yes 插件,它自动将 WordPress 的 API 请求重定向到国内镜像地址。
除了 api.wordpress.org,还有很多插件可能会和官方服务器通信,比如 Wordfence,它需要定期同步威胁情报库到我们的服务器,如果误封,可能导致服务受限和病毒发现不及时。它的 IP 地址有:35.83.41.128、52.25.185.95、54.148.171.133、44.239.130.172、44.238.191.15、35.155.126.231 等。
我这边还没遇到过