WordPress
服务器支持时优先使用 .htaccess auto_prepend_file;不支持 php_value 时使用早期入口点,通常是 index.php,并验证覆盖范围。
推荐方式
Apache mod_php 且允许 php_value 时,在 WordPress 根目录 .htaccess 中添加该指令,并使用 AWAF 的绝对路径。
php_value auto_prepend_file "<目录路径>/antibot/index.php"覆盖
AWAF 会在范围内每个 PHP 文件前加载,包括 index.php、wp-login.php、admin-ajax.php、wp-cron.php、插件 callback 和直接访问的旧脚本。
回退
PHP-FPM、CGI、纯 Nginx 或禁止 php_value 时,使用 .user.ini、vhost/pool 配置或项目早期入口点,通常是 index.php。这个回退方案不如 auto_prepend_file 通用,因此需要检查 wp-admin、AJAX、REST、callback 和直接 PHP endpoint。不要修改 WordPress 核心文件。
验证
- 测试首页、文章、分类、搜索和 404。
- 测试 wp-login.php、wp-admin/、admin-ajax.php、/wp-json/ 和 wp-cron.php。
- 检查表单、支付、插件 callback 和 sitemap/XML。
- 对不适合验证码的 endpoint 添加精确 whitelist_url。