AWAFAWAF

WordPress

Для WordPress предпочтительно подключать AWAF через .htaccess auto_prepend_file, если сервер это поддерживает. Это покрывает не только публичный index.php, но и прямые PHP endpoint-ы.

Предпочтительный способ

На Apache с mod_php и разрешённым php_value добавьте директиву в .htaccess корня WordPress. Используйте абсолютный путь к каталогу AWAF.

php_value auto_prepend_file "<путь_до_каталога>/antibot/index.php"

Что это покрывает

AWAF будет подключён перед каждым PHP-файлом в зоне действия .htaccess: основным index.php, wp-login.php, wp-admin/admin-ajax.php, wp-cron.php, REST/API-обработчиками через PHP, а также прямыми legacy-скриптами, если они находятся под той же настройкой.

Это надёжнее, чем вставка только в index.php темы или фронт-контроллер, потому что часть запросов WordPress и плагинов может обходить обычный публичный маршрут.

Если php_value недоступен

На PHP-FPM/CGI/Nginx используйте .user.ini с auto_prepend_file, настройку vhost/pool или раннюю точку входа проекта, обычно index.php. Такой fallback менее универсален, поэтому проверьте wp-admin, AJAX, REST, callback-и и прямые PHP endpoint-ы. Не редактируйте ядро WordPress.

Проверка

  • Откройте главную, запись, категорию, поиск и страницу 404.
  • Проверьте wp-login.php, wp-admin/, admin-ajax.php, REST API /wp-json/ и wp-cron.php, если он используется через web.
  • Проверьте формы, оплату, callback-и плагинов и sitemap/XML.
  • Для endpoint-ов, где капча ломает обмен или оплату, добавьте точные whitelist_url правила после анализа RayID.