做外贸网站这几年,被爬虫刷过、被CC攻击过、甚至还碰上过SQL注入直接改掉产品页面。后来老老实实配了WAF,才算是睡上了安稳觉。今天这篇就专门聊聊外贸网站 WAF 配置里那些实操细节,不走弯路。
如果你对整体安全框架还不熟,可以先翻翻《WordPress 外贸网站安全与维护指南》,那里把基础防护逻辑讲得很透。外贸网站 WAF 配置不是买个服务就完事,规则调不好,正常客户都可能被拦在门外。
为什么外贸网站必须上WAF
外贸站面向海外用户,IP来源杂、攻击面大。而且很多外贸站跑在WordPress上,插件漏洞频出。没WAF的话,一个小漏洞就能让整个站被挂马、跳转诈骗页面。
我之前有个客户,做家具出口的,没配WAF结果被爬虫把产品图片全盗了,还伪装成他家网站去骗询盘。后来配了外贸网站 WAF 配置,才把恶意请求全挡掉。
选云WAF还是自建WAF
先说结论:外贸站点,除非你有专门的运维团队,否则直接上云WAF。AWS WAF、Cloudflare、阿里云WAF、腾讯云WAF都是常见选择。自建比如用ModSecurity,维护成本太高,而且对海外用户延迟影响大。
我实践下来,外贸网站 WAF 配置首推Cloudflare。因为它的全球节点多,自带DDoS清洗,还免费提供基础WAF规则。对于预算有限的外贸团队,性价比最高。
外贸网站 WAF 配置实操步骤(以Cloudflare为例)
先别急着开全部防护,否则你的海外客户可能因为“安全检查”被要求输验证码,转化率直接掉一半。正确的外贸网站 WAF 配置一定是从“观察模式”开始。
第一步:添加域名并解析
注册Cloudflare后,添加你的外贸域名。系统会自动扫描DNS记录,确认后把Cloudflare提供的两个NS服务器地址替换掉你原来的。等解析生效,大概几分钟到24小时不等。
第二步:开启SSL改为Full (Strict)
外贸站一定要全站HTTPS。Cloudflare里选SSL/TLS -> Overview,改成Full (Strict)。这样浏览器到Cloudflare、Cloudflare到源站都是加密的,防止中间人劫持。
第三步:配置WAF规则组
进入Security -> WAF -> Managed Rules。默认开启了Old、New、OWASP等规则集。不过外贸网站比较特殊,很多海外客户用的IP信誉并不好(比如某些经济不发达地区的拨号IP),一开严格规则就会被误杀。
我的做法:先设为Log模式,跑一两天看日志里哪些请求被拦截。然后根据日志,把“违反访问控制”、“SQL注入”、“XSS”等核心规则设为Block,其他如“异常IP”等留Log观察。
第四步:写自定义规则保护后台和API
外贸站后台(比如/wp-admin/)是重点,限制仅允许公司办公IP访问。在WAF -> Custom Rules里写一条:
(http.host eq "你的域名.com" and starts_with(uri.path, "/wp-admin")) 且 ip.src ne 你公司的公网IP -> Block。
同样,如果有API接口供海外客户查价格、下订单,也要单独配置外贸网站 WAF 配置规则,限制请求频率、Body大小,防止接口被滥用。
优化WAF规则避免误伤真实客户
国外用户喜欢用VPN、Tor上网,尤其是来做采购询盘的。这些IP经常被WAF列入黑名单。怎么办?
- 开启Cloudflare的Bot Fight Mode(只对明显爬虫有效,不太误伤)
- 在WAF规则里排除“已知好爬虫”如Googlebot、Bingbot,同时允许被标记为“合法机器人”的请求
- 如果客户反馈打不开网站,去安全事件日志里查看,被拦截的请求加入白名单(但要小心白名单别开太大)
我遇到过最典型的问题:一个德国客户访问产品页,因为Cloudflare的“Browser Integrity Check”检查他的Chrome版本,结果弹了验证码,他直接关页面走人。后来我把这项关闭,只保留对可疑UA的检查。
WAF与CDN加速如何配合
外贸网站 WAF 配置不是孤立的。因为WAF通常在CDN节点上执行,所以CDN缓存策略会影响攻击防护。
比如,你把所有动态页面(如购物车、结算页)都设为不缓存,那么WAF会对每次请求都检查,性能会下降。建议策略:静态资源(图片、CSS、JS)设置长缓存,且WAF对这些资源的规则可以放宽(因为静态文件被利用攻击的点少)。动态页面保持较短缓存或者不缓存,WAF规则严一些。
在Cloudflare的Caching -> Cache Rules里配置,根据URL路径或文件后缀区分。对于PHP页面(.php)通常直接Pass,让源站处理。WAF只会检查通过CDN的请求。
监控WAF日志并持续迭代规则
很多外贸站长配完WAF就再也不管了。这是大忌。攻击手法在变,你的客户来源、访问模式也在变。建议每周花15分钟看WAF的Analytics或日志:
- 哪些规则触发了最多拦截?是恶意攻击还是误杀?
- 有没有新的扫描器在试探你的网站?
- 源站流量和WAF通过流量是否匹配(如果有异常,可能被绕过)
对于Cloudflare,可以在Security -> Events里按时间、规则ID、IP等维度筛选。遇到大量来自同一国家的恶意IP,可以在自定义规则里写一条:ip.geoip.country in {"XX"} 且请求频率>100/分钟 -> Challenge, 让它们过验证码关。
FAQ
问:外贸网站WAF配置后,为什么谷歌搜索控制台显示抓取失败?
答:WAF可能拦截了Googlebot的请求。在WAF规则里添加白名单:基于用户代理(User-Agent)放行“Googlebot”、“Bingbot”等官方爬虫,不要用IP段放行(IP段经常变)。
问:可以同时用两个WAF吗?比如CF后面再加个AWS WAF?
答:可以,但不建议。两层WAF会增加延迟,且规则复杂难调试。一般用一层足够,如果源站是AWS且需要更细粒度的规则,可以在CF WAF之后,源站前再加一层AWS WAF,但需要保证两者逻辑不冲突。
总结与行动建议
外贸网站 WAF 配置的核心就三条:先观察再封禁、针对后台和API做窄规则、持续监控调整。不要指望一套规则走到黑。
最后再提一句,WAF只是外贸网站安全的一环。密码策略、插件更新、定期备份同样重要。更多完整的安全体系,请直接阅读《WordPress 外贸网站安全与维护指南》,里面有从服务器配置到数据防护的全链路方案。