WordPress
Для WordPress предпочтительно подключать AWAF через .htaccess auto_prepend_file, если сервер это поддерживает. Это покрывает не только публичный index.php, но и прямые PHP endpoint-ы.
Предпочтительный способ
На Apache с mod_php и разрешённым php_value добавьте директиву в .htaccess корня WordPress. Используйте абсолютный путь к каталогу AWAF.
php_value auto_prepend_file "<путь_до_каталога>/antibot/index.php"Что это покрывает
AWAF будет подключён перед каждым PHP-файлом в зоне действия .htaccess: основным index.php, wp-login.php, wp-admin/admin-ajax.php, wp-cron.php, REST/API-обработчиками через PHP, а также прямыми legacy-скриптами, если они находятся под той же настройкой.
Это надёжнее, чем вставка только в index.php темы или фронт-контроллер, потому что часть запросов WordPress и плагинов может обходить обычный публичный маршрут.
Если php_value недоступен
На PHP-FPM/CGI/Nginx используйте .user.ini с auto_prepend_file, настройку vhost/pool или раннюю точку входа проекта, обычно index.php. Такой fallback менее универсален, поэтому проверьте wp-admin, AJAX, REST, callback-и и прямые PHP endpoint-ы. Не редактируйте ядро WordPress.
Проверка
- Откройте главную, запись, категорию, поиск и страницу 404.
- Проверьте wp-login.php, wp-admin/, admin-ajax.php, REST API /wp-json/ и wp-cron.php, если он используется через web.
- Проверьте формы, оплату, callback-и плагинов и sitemap/XML.
- Для endpoint-ов, где капча ломает обмен или оплату, добавьте точные whitelist_url правила после анализа RayID.