如何拒绝直接访问wp-cron.php以避免攻击？

Question

我注意到我的一个网站上最近有一些活动 - 似乎有人直接调用 wp-cron.php 文件：

我认为有人这样做的唯一原因是试图使服务器超载，对吗？我的问题是 - 有什么办法可以防止它被直接调用吗？

我知道你可以禁用 wp-cron.php 在每次页面加载时被调用，如下所示：

define('DISABLE_WP_CRON', true);

但是有没有办法防止被直接调用呢？这是我应该担心的事情吗？

Answer 1

只要你的 cron 中没有任何大任务，就没有什么可担心的。

如果您禁用它，那么“攻击者”可以做的就是简单地尝试访问其他文件。我可以打赌，直接访问您的网站会给您的服务器带来比单独运行 wp-cron.php 更大的负载;)

特别是，当页面以常规方式加载时，wp-cron 也会运行（因此来自它的加载无论如何都会“包含”在常规流量中）。

Answer 2

如果您使用 Nginx，您可以像这样拒绝访问：

## deny access because wp-cron.php is triggered via crontab ##
    location /wp-cron.php {
        deny all;
    }

这假设您以另一种方式调用 wp-cron.php，例如通过服务器 crontab，或定期通过 WP-CLI。除非你已经这样做了，否则不要使用上面的代码！

我们默认在 SlickStack 中执行此操作：