DDoS攻击导致wp_options表暴涨及服务器资源耗尽的防护方案咨询

阿华AIGC实验室

2026-4-17

看起来你已经顺利处理了这次紧急故障，能快速定位到日志和wp_options表的问题真的很赞！接下来咱们从CDN、WordPress、服务器三个核心层面入手，把防护措施拉满，避免再出现磁盘耗尽、无法登录的情况。

一、强化Cloudflare CDN的DDoS防护能力

既然已经在用Cloudflare，咱们把它的防护潜力挖透：

开启Under Attack Mode：如果攻击频繁，直接打开这个模式，它会给所有访客先做人机验证，过滤掉绝大多数恶意爬虫和DDoS流量。
上调安全级别：把Cloudflare的安全级别设为「高」或者「本质上是攻击」，自动拦截可疑请求。
配置WAF规则：
- 直接拦截对xmlrpc.php的请求（如果不需要远程发布文章、Jetpack等功能），这是WordPress被DDoS的重灾区；
- 添加针对wp-admin的访问限制，比如只允许特定IP段访问后台，或者要求人机验证；
- 启用Cloudflare自带的「WordPress核心规则集」，自动拦截SQL注入、XSS等常见攻击。
设置速率限制：给单个IP设置请求速率上限（比如每分钟100次），超过就临时拦截，防止批量请求压垮服务器。
优化缓存策略：确保所有静态资源（图片、CSS、JS）都被Cloudflare缓存，减少回源到你的VPS的请求量。

wp_options表暴涨通常是恶意请求触发了大量临时垃圾数据，咱们从根源解决：

禁用xmlrpc.php：如果不用相关功能，直接在站点的.htaccess里加规则拦截：
```
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
```
安装安全插件：比如Wordfence或者iThemes Security，它们能：
- 限制wp-admin的登录（两步验证、IP白名单）；
- 自动清理wp_options里的过期临时数据（比如_transient_开头的记录）；
- 实时拦截恶意请求。
定期优化数据库：用WP-Optimize这类插件，设置每周自动优化wp_options表，清理冗余数据；也可以手动执行SQL命令清理：
```
DELETE FROM wp_options WHERE option_name LIKE '_transient_%' AND option_value < UNIX_TIMESTAMP();
```
启用站点缓存：给每个WordPress安装缓存插件（比如WP Rocket、LiteSpeed Cache），减少数据库查询次数，降低服务器负载。

解决磁盘和CPU耗尽的深层问题：

配置日志轮转：在Plesk的「工具与设置」→「日志」里，设置日志自动归档和删除规则（比如保留7天日志，超过1GB就轮转），防止错误日志占满磁盘。
修复MySQL的ibdata1文件：这个文件一旦膨胀就不会自动缩小，操作步骤（务必先备份数据库）：
1. 在Plesk里停止MySQL服务；
2. 修改my.cnf（或my.ini）添加innodb_file_per_table=1；
3. 导出所有数据库；
4. 删除ibdata1、ib_logfile0、ib_logfile1文件；
5. 重启MySQL，重新导入数据库，此时ibdata1会重新生成并恢复正常大小。
限制MySQL资源：在Plesk里设置MySQL的最大连接数（比如50），避免恶意请求导致连接数爆满；调整innodb_buffer_pool_size为服务器内存的50%左右（比如2GB内存就设1GB），提升数据库性能。
加固服务器防火墙：在Plesk防火墙里只开放必要端口（80、443、22），并把Cloudflare的官方IP段加入白名单，确保只有Cloudflare的流量能到达你的VPS。