電感中的「磁珠」是什麼?核心用途與原理

在電子電路中,磁珠(Ferrite Bead)和電感(Inductor)雖然外觀常常長得很像(都是貼片小方塊),也都是利用鐵氧體材料製成,但它們的核心工作原理和用途截然不同

簡單用一句話來區分它們的本質:

電感是「儲能元件」(把電能轉換成磁場存起來,希望損耗越小越好); 磁珠是「耗能元件」(把高頻雜訊轉換成熱能消耗掉,故意做成高損耗)。

1. 磁珠的核心用途:高頻雜訊的「消音器」

磁珠最主要的用途就是 EMI(電磁干擾)抑制訊號濾波。它專門用來對付電路中不需要的高頻雜訊、尖峰脈衝(Spike)或射頻干擾(RFI)。

常用的場景包括:

  • 電源線濾波:在電源輸入端(如 USB 接口、DC 插座後面)串聯一個磁珠,防止外部高頻雜訊進入主板,也防止主板的雜訊串出干擾其他設備。
  • 敏感晶片供電保護:在模擬晶片(如 ADC、音訊解碼晶片)或射頻晶片的 V_{CC} 供電腳前加磁珠,確保供電「乾淨」。
  • 時鐘訊號線去耦:高速時鐘訊號容易產生高頻諧波干擾,串接磁珠可以「磨平」那些毛刺。

2. 磁珠的工作原理:阻抗隨頻率而變

為什麼磁珠能精準打擊高頻雜訊,卻放過正常的直流或低頻訊號?這要看它的等效電路與阻抗曲線

磁珠的等效電路可以看作是一個電感(L)、一個電阻(R)和一個寄生電容(C)的串並聯組合。

它的阻抗(Z)隨著頻率變化的特性如下:

  • 低頻段(直流 \sim 幾 MHz):此時磁珠主要由電感量決定。因為頻率低,感抗非常小,而電阻 R 幾乎為零。這時它就像一根導線,直流電和低頻有用訊號可以暢通無阻
  • 高頻段(幾十 MHz \sim 幾百 MHz):隨著頻率升高,磁芯的磁滯損耗和渦流損耗劇烈增加,這時候電阻抗(R)開始佔據主導地位
  • 高頻下的表現:當高頻雜訊通過磁珠時,磁珠不會像電感那樣把它們「反射」回去,而是利用高電阻把這些雜訊直接轉化為微小的熱能消耗掉

📊 電感 vs 磁珠:選型規格書的差異

這也是為什麼你在看規格書時,兩者的參數標示完全不同:

普通電感(Inductor)

  • 核心參數:電感量 L(如 2.2\mu H)、額定電流 I_{rms}、飽和電流 I_{sat}。
  • 設計目的:希望 Q 值(品質因數)越高越好,損耗越低越好。

磁珠(Ferrite Bead)

  • 核心參數特定頻率下的阻抗值 Z。例如常見的標示為 100Ω @ 100MHz(代表在 100MHz 頻率下,它會產生 100\Omega 的阻抗)。
  • 設計目的:故意拉高高頻時的電阻分量(R),追求高損耗。

💡 實戰選型心法:

在 WordPress 紀錄筆記時,可以記下這三個磁珠選型步驟:

  1. 確認雜訊頻率:先找出電路中干擾雜訊的頻率(例如開關電源的紋波雜訊是 100MHz)。
  2. 對齊阻抗峰值:挑選磁珠時,要確保該磁珠的阻抗最大值(峰值)正好落在這個雜訊頻率附近
  3. 注意額定電流:磁珠也有 DCR 和額定電流限制。如果用在電源線上,實際通過的電流絕不能超過磁珠的額定電流,否則磁珠會因為磁飽和而導致阻抗大幅下降,失去濾波效果。

電感磁芯材料的特性差異與對比

在挑選電感時,除了看 I_{rms}、I_{sat}、DCR 和 SRF 這些參數外,決定這些參數表現的核心靈魂就是「磁芯材料」(Core Material)。不同的材料,其磁特性、耐流能力和頻率響應有著巨大的差異。

電感常用的磁芯材料主要可以分為四大類:陶瓷芯(空心)鐵氧體(Ferrite)鐵粉芯(Iron Powder) 以及 合金粉末芯(Metal Alloy)。它們各自在不同的應用場景中發揮優勢。

1. 陶瓷芯 / 空心(Ceramic / Air Core)

陶瓷本身沒有磁性,所以它的作用純粹是作為繞線的物理支撐結構,其磁特性等同於「空心電感」。

  • 特點
    • 完全不會磁飽和:因為沒有磁芯,所以無論通過多大的電流,電感量都不會下降(沒有 I_{sat} 的限制)。
    • 極高的 SRF:寄生電容極小,適合極高頻率工作。
    • 電感值很小:缺乏磁介質導磁,只能做到 nH(奈亨)級別。
  • 主要應用:射頻(RF)電路、Wi-Fi/藍牙高頻濾波、天線匹配電路。

2. 鐵氧體(Ferrite Core)

這是目前開關電源和電子設備中最常見的材料,通常外表看起來是黑色的陶瓷質感。

  • 特點
    • 高導磁率(High Permeability):可以用很少的線圈繞製出很大的電感值(\mu H 到 mH 級別),因此 DCR 可以做到很小。
    • 高電阻率:材料本身不易導電,因此在高頻下的渦流損耗(Core Loss)極低,效率很高。
    • 硬飽和(Hard Saturation)特性:這是它最大的缺點。當電流超過 I_{sat} 的臨界點時,電感量會像掉下懸崖一樣瞬間暴跌,容易導致元件燒毀。
  • 主要應用:訊號線濾波(如常見的抗干擾磁環)、EMI 濾波器、低功率的開關電源(Buck/Boost)電感。

3. 鐵粉芯(Iron Powder Core)

傳統的鐵粉芯是由純鐵粉末與絕緣介質混合壓製而成。

  • 特點
    • 軟飽和(Soft Saturation)特性:與鐵氧體相反,當電流增大時,它的電感量是緩慢、平滑地下降,電路設計上安全裕量較高。
    • 飽和電流大:磁飽和點比鐵氧體高很多,耐流能力強。
    • 鐵損高:在高頻下材料內部的磁損耗很大,容易發熱,因此工作頻率通常限制在幾百 kHz 以下。
  • 主要應用:大電流的儲能電感、DC-DC 轉換器、低頻濾波。

4. 一體成型合金粉末芯(Metal Alloy / Molded Power Core)

這是近年來智慧型手機、筆電和高階顯示卡電源電路(多相供電)的絕對主流,通常外觀是灰色一體成型的方塊(Molded Inductor)。它使用鐵矽鋁(Sendust)、鐵鎳鉬(MPP)等新型合金粉末製成。

  • 特點
    • 集合兩者優點:它同時擁有鐵氧體的低損耗,以及鐵粉芯的超強耐流與軟飽和特性
    • 結構極其堅固:一體成型封裝,抗震動、完全沒有傳統電感的「磁嘯」噪音(Acoustic Noise)。
    • 體積小:可以在極小的體積內承受很大的 I_{rms} 和 I_{sat}。
  • 主要應用:CPU/GPU 核心供電電路(Vcore)、顯示卡、智慧型手機等對空間和效率要求極高的大電流電源模組。

📊 磁芯材料大對決(總結圖表)

為了方便直觀對比,我們可以用這張表來總結它們的物理特性差異:

特性項目陶瓷芯 (Air)鐵氧體 (Ferrite)鐵粉芯 (Iron Powder)合金粉末芯 (Alloy)
可做電感量極低 (nH)高 (\mu H \sim mH)中 (\mu H)中 (\mu H)
飽和特性永不飽和硬飽和(危險)軟飽和(安全)軟飽和(安全)
高頻損耗極低高(不耐高頻)
耐電流能力取決於導線較低極高
常見外觀繞線外露/貼片黑色磁芯可見環形或外表塗色灰色金屬一體方塊

選型實戰結論:

  • 高頻射頻/天線 \rightarrow 選陶瓷芯
  • 小電流濾波/訊號抗干擾 \rightarrow 選鐵氧體
  • 高階電腦/手機 CPU 供電 \rightarrow 首選一體成型合金電感

電感中的寄生電容與 SRF 是什麼?

在低頻或直流(DC)電路中,我們通常把電感看作一個純粹的儲能元件。但在高頻(AC)環境下,電感內部的隱藏寄生參數就會跑出來搗亂,其中最重要的兩個概念就是寄生電容(EPC)與自我諧振頻率(SRF)

1. 什麼是寄生電容(Parallel Capacitance, EPC)?

寄生電容並不是製造商故意放進去的電容器,而是因為物理結構與生俱來的副作用

  • 成因:電感是由銅線一圈一圈繞製而成的。當電流通過時,相鄰的導線圈與圈之間、導線與磁芯之間,都會存在微小的電位差(電壓差)
  • 物理本質:兩個帶有電位差的導體(銅線),中間隔著絕緣層(漆包線的外皮或空氣),這在物理上正好符合了「電容器」的定義。
  • 結果:這些無數個微小的電容效應累積起來,就等效成一個與電感並聯的巨大隱形電容,我們稱為等效並聯電容(EPC, Equivalent Parallel Capacitance)

2. 什麼是 SRF(自我諧振頻率)?

SRF 的全稱是 Self-Resonant Frequency,中文叫做自我諧振頻率自諧振頻率

因為電感內部同時存在了「電感(L)」與「寄生電容(C)」,且兩者是並聯關係,這在電路學上就構成了一個典型的 LC 並聯諧振電路

當工作頻率不斷提高時,會發生以下物理演變:

  1. 低頻時:電感的感抗(X_L)隨頻率上升而增大,寄生電容的容抗(X_C)很大,此時元件表現得像一個正常的電感。
  2. 到達某個特定頻率時(即 SRF):電感的感抗與寄生電容的容抗正好完全相等(X_L = X_C),兩者相互抵消,發生並聯諧振。此時,電感的等效阻抗會達到極大值,元件不再儲存磁場能量。
  3. 超過 SRF 後:頻率繼續飆高,電容的容抗變得比電感還要小,絕大多數的電流都直接從寄生電容「偷溜」過去了。這時候,這個電感在物理特性上已經變成了一個電容器

3. 在電路設計中,為什麼 SRF 非常重要?

SRF 是電感能夠正常工作的「頻率天花板」。

  • 電感失效線:如果你的電路工作頻率接近或超過 SRF,這個電感就徹底失去了電感的作用(甚至變成電容)。例如,在開關電源中,如果雜訊頻率高於 SRF,電感就無法起到濾波和儲能的效果。
  • 實戰挑選原則: 為了確保電感在整個工作範圍內都能保持穩定的電感量,電路的最高工作頻率(或是需要濾除的噪聲頻率),通常必須遠低於電感的 SRF(一般建議至少保留 10 倍的安全裕量)

總結:看懂電感規格書的四大天王

現在,你已經把電感最核心的四個參數串聯起來了:

  • DCR:導線的直流電阻,決定基本發熱量(越小越好)。
  • I_{rms}:持續電流的耐熱極限(看平均電流)。
  • I_{sat}:瞬間電流的磁飽和極限(看峰值電流)。
  • SRF:元件工作的高頻極限(工作頻率絕不能超過它)。

電感中的飽和電流 Isat 是什麼?

既然已經了解了額定電流 I_{rms}(受發熱限制),那接下來這個飽和電流 I_{sat}(Saturation Current) 就是電感的另一個關鍵生死線。

如果說 I_{rms} 考驗的是電感的耐熱極限,那麼 I_{sat} 考驗的就是電感的磁吸極限

1. 什麼是「飽和電流」?

簡單來說:當通過電感的電流大到一個程度時,電感裡面的磁芯(鐵心)再也容納不下更多的磁力線了,這時候的電流值就叫做飽和電流。

規格書上的定義通常更具體:當電感量(L)因為電流增大而下降了 20% 或 30% 時的電流值。

我們可以拿**「海綿吸水」**來做比喻:

  • 正常狀態:乾海綿剛開始吸水時,你倒多少水,它就吸多少(電流增加,磁場成比例增加,電感量維持正常)。
  • 飽和狀態:當海綿吸飽了水,你再繼續倒水,水就會直接流出來,海綿再也無法多吸一滴水(電流再增加,磁場也不會再增加,電感失去儲能能力)。

2. 當電流超過 Isat 飽和了,會發生什麼事?

這也是電路設計中最危險的地方。一旦實際電流超過了 I_{sat},電感會瞬間發生物理特性的崩塌

  1. 電感量驟降,變成一根導線: 電感之所以能限制電流的變化率,全靠磁芯的儲能。一旦磁芯飽和,電感量(L)會瞬間暴跌(可能只剩下原本的幾十分之一)。這時候,這個電感在電路中就只剩下一根「有微小電阻的銅線」。
  2. 電流瞬間暴增(Spike): 在開關電源(如 Buck 電路)中,如果電感飽和,原本應該平緩上升的電流波形會突然像坐雲霄飛車一樣直線飆升
  3. 燒毀週邊元件: 這個瞬間暴增的巨大電流,通常會遠遠超過後端晶片、MOSFET(開關管)或二極體的承受極限,進而導致整個電源電路瞬間燒毀

3. 一張圖看懂:Irms 與 Isat 的本質區別

為了讓你在做紀錄時更清晰,我們可以這樣歸納兩者的差別:

額定電流 I_{rms} (Heating Current)

  • 物理限制熱效應(銅線發熱)。
  • 對應指標:元件溫度上升(通常以升溫 40°C 為限)。
  • 電流類型:通常看持續的平均電流 / 有效值
  • 超過的後果:慢慢變熱、絕緣熔化、長期壽命縮短。

飽和電流 I_{sat} (Saturation Current)

  • 物理限制磁效應(磁芯飽和)。
  • 對應指標:電感值下降(通常以下降 20%~30% 為限)。
  • 電流類型:通常看瞬間的峰值電流(Peak Current)
  • 超過的後果瞬間失效、電流暴增、晶片當場燒毀。

實戰挑選心法: 在設計或挑選電感時,電路中的最大持續工作電流必須小於 I_{rms};而電路在開關切換瞬間可能達到的最大峰值電流,必須小於 I_{sat}。這兩個及格線都要守住,電路才會穩定。

規格書中的 DCR 是什麼?

在電子元件(尤其是電感變壓器)的規格書中,DCR 是一個非常關鍵的直流參數。

什麼是 DCR?

DCR 的全稱是 DC Resistance,中文叫做 直流電阻

簡單來說,它指的是當元件通過直流電(DC)時,元件自身導線所呈現的電阻值

  • 物理本質:電感通常是由銅線繞製而成的。雖然我們希望電感在理想狀態下只有「電感量」而沒有「電阻」,但現實中導線本身一定有長度和截面積,因此必然存在微小的電阻。這個繞線整體的電阻值就是 DCR。
  • 測量單位:通常非常小,規格書上多以 毫歐姆(mΩ)歐姆(Ω) 為單位。

DCR 與 額定 Irms 有什麼關係?

這兩個參數在物理上是**直接綁定(因果關係)**的:

  1. DCR 決定了發熱量: 當電流(Irms)通過電感時,DCR 會導致能量消耗並轉化為熱能。這個損耗稱為導線損耗(Copper Loss),計算公式為:P = Irms² × DCR
  2. DCR 越小,額定 Irms 越高
    • 如果一個電感的 DCR 很大,通過電流時就會劇烈發熱,元件溫度很容易飆升,因此它的額定 Irms(安全電流上限)就會迫變低。
    • 反之,DCR 越小,代表導線材質或架構越好(例如用了更粗的銅線),發熱量低,元件就能承受更大的額定 Irms。

在電路設計中,為什麼 DCR 很重要?

  1. 影響電源轉換效率: 在開關電源(如 Buck、Boost 電路)中,電感的 DCR 會直接吃掉一部分功率。DCR 越低,電源的轉換效率就越高,設備(如手機、筆電)就越省電、越不發熱。
  2. 影響電壓降(Voltage Drop): 當大電流通過電感時,DCR 會產生電壓降(V = I × DCR)。如果 DCR 太大,會導致後端電路收到的電壓被拉低,影響電路穩定性。

總結來說: DCR(直流電阻)是元件與生俱來的寄生缺點。在挑選元件時,通常在相同電感量下,DCR 越小越好,因為它意味著更低的發熱量與更高的電流承受能力(Irms)。

電感中的額定電流 Irms 是什麼?

額定電流,決定了電感是否會熱爆

在電子和電機工程中,I_{rms} 代表均方根電流(Root Mean Square Current)。當它被標示為「額定電流 I_{rms}」時,指的是:

該元件或設備在正常工作環境下,長期連續安全運行的最大交流電流有效值。

為了更容易理解,我們可以把它拆解為兩個核心概念:

1. 什麼是 Rms(均方根 / 有效值)?

交流電(AC)的電流大小和方向是隨時間不斷變化的(例如正弦波)。因為它一直在變,很難用一個單一數值來代表它的做功能力。

因此,科學家引入了 Rms(有效值) 的概念:

  • 定義:讓交流電和某個直流電(DC)通過相同的電阻,如果在相同的時間內產生的熱量(功耗)完全相等,那麼這個直流電的電流數值,就是該交流電的 Rms 值。
  • 數學關係:對於標準的正弦波交流電,它的峰值電流(I_peak)與有效值(I_rms)的關係為:I_rms = I_peak / √2 ≈ 0.707 × I_peak

2. 什麼是「額定」?

「額定」(Rated)是製造商給出的安全邊界線

當一個元件(如電感、變壓器、電線或保險絲)標示了額定 I_{rms},代表:

  • 熱平衡限制:電流通過元件時會因為內阻而發熱(功耗 P = I_rms² × R)。額定 I_{rms} 是在考慮了元件散熱能力後,允許長期通過的最大電流
  • 超過的後果:如果實際工作的 I_{rms} 超過這個額定值,元件的溫度會持續上升,可能導致絕緣層熔化、燒毀或壽命急劇縮短。

關鍵區分:額定 I_{rms} vs 額定 I_{sat}(飽和電流)

在挑選電子元件(特別是電感)時,通常會同時看到這兩個參數,它們代表完全不同的物理限制:

額定 I_{rms}

  • 定義:導線發熱所限制的電流有效值。
  • 限制核心熱效應(溫度上升,通常以令元件升溫 40°C 為標準)。
  • 超過後果:元件過熱、燒毀。

額定 I_{sat}

  • 定義:磁芯飽和所限制的峰值電流值。
  • 限制核心磁效應(磁芯飽和,導致電感量驟降)。
  • 超過後果:電感失去作用,電路電壓或電流失控。

總結來說: 額定 I_{rms} 就是該元件的交流電流發熱安全線。只要實際電路中的交流電流有效值控制在額定 I_{rms} 以內,元件就能穩定、低風險地持續運作。

🔄 完整重置 Fail2ban(快速清空封鎖與規則)

當出現大量誤封、測試結束、或規則混亂時,
可以將 Fail2ban 重置回乾淨狀態。

以下是最直接的完整重置方法。


⚠️ 注意

此操作會:

  • 清空所有被封鎖 IP
  • 刪除封鎖歷史資料
  • 清空所有 f2b-* 防火牆規則
  • 重新建立 jail 規則

請確保你仍有伺服器存取權限。


✅ 重置步驟

1️⃣ 停止 Fail2ban

systemctl stop fail2ban

2️⃣ 刪除封鎖資料庫(關鍵)

rm -f /var/lib/fail2ban/fail2ban.sqlite3

這一步會清除所有封鎖歷史與 recidive 記錄。


3️⃣ 清空防火牆規則

iptables -F
iptables -X

清除所有自訂 chain(包括 f2b-*)。


4️⃣ 重新啟動 Fail2ban

systemctl start fail2ban

系統會:

  • 自動建立新的資料庫
  • 重新載入 jail
  • 重建 f2b-* chain

✅ 可選:清空 fail2ban log(僅為閱讀乾淨)

truncate -s 0 /var/log/fail2ban.log

注意:
這不影響封鎖狀態,只是清空顯示紀錄。


✅ 完整指令總結

systemctl stop fail2ban
rm -f /var/lib/fail2ban/fail2ban.sqlite3
iptables -F
iptables -X
systemctl start fail2ban

✅ 結語

當規則混亂或測試過程造成大量封鎖時,
回到乾淨狀態,往往比逐條排錯更有效率。

清楚、可控、可驗證,
才是穩定運行的基礎。

🔐 如何檢查及解除 Fail2ban 封鎖的 IP(實戰步驟)

在管理伺服器時,偶爾會遇到某個 IP 被 Fail2ban 封鎖的情況。
這篇文章介紹如何:

  • ✅ 查出是否被封
  • ✅ 找出是哪個 jail 封鎖
  • ✅ 正確解除封鎖
  • ✅ 驗證是否完全清除

以下示例 IP 使用:

X.X.X.X

請替換為實際需要查詢的 IP。


✅ 第一步:查看 Fail2ban log

先從日誌確認是否曾被封鎖:

grep X.X.X.X /var/log/fail2ban.log

如果看到類似:

[sshd] Ban X.X.X.X

代表該 IP 曾被某個 jail 封鎖。


✅ 第二步:確認目前是否仍被封鎖

使用 fail2ban 內建查詢指令:

fail2ban-client banned X.X.X.X

如果該 IP 仍在封鎖名單中,會顯示對應 jail 名稱。

如果沒有任何輸出,代表目前沒有被 Fail2ban 封鎖。


✅ 第三步:解除封鎖(Unban)

若確認需要解除封鎖:

fail2ban-client unban X.X.X.X

這條指令會:

  • 從所有 jail 中移除該 IP
  • 同時更新防火牆規則

✅ 第四步:確認 firewall 是否已清除

Fail2ban 會透過 iptables 或 nftables 進行封鎖。

如果系統使用 iptables,可檢查:

iptables -L -n | grep X.X.X.X

若沒有任何輸出,表示防火牆規則已移除。


✅ 建議完整排查流程

grep X.X.X.X /var/log/fail2ban.log
fail2ban-client banned X.X.X.X
fail2ban-client unban X.X.X.X
fail2ban-client banned X.X.X.X
iptables -L -n | grep X.X.X.X

✅ 補充說明

  • Fail2ban 只負責管理封鎖名單
  • 真正丟棄封包的是防火牆規則
  • 若 unban 後仍無法連線,應檢查是否有其他防火牆或 CDN 層封鎖

✅ 結語

正確的排查順序應為:

  1. 查 log
  2. 查 jail 狀態
  3. 執行 unban
  4. 驗證防火牆

避免直接重啟服務或修改設定,
精準排錯才是穩定運行的關鍵。

WordPress 檔案權限標準設定整理

以下是 WordPress 建議的標準檔案權限設定方式,適合大多數主機環境使用。


一、整個網站權限

# 設定資料夾
find /你的wordpress路徑/ -type d -exec chmod 755 {} \;

# 設定檔案
find /你的wordpress路徑/ -type f -exec chmod 644 {} \;

二、uploads 資料夾

find wp-content/uploads -type d -exec chmod 755 {} \;
find wp-content/uploads -type f -exec chmod 644 {} \;

三、wp-config.php

chmod 600 wp-config.php

或:

chmod 640 wp-config.php

四、檔案擁有者

確認網站檔案擁有者正確,例如:

chown -R www-data:www-data /你的wordpress路徑/

(依主機環境調整使用者名稱)


五、建議安全設定

wp-content/uploads 新增 .htaccess

<Files *.php>
deny from all
</Files>

以上為 WordPress 常見且建議的標準權限設定方式。

使用 Cloudflare WAF 保護 WordPress:阻止 wp-login 攻擊與封鎖 XMLRPC(完整教學)

當你的 WordPress 網站開啟 Cloudflare 橙色雲(Proxy)後,其實 HTTP 攻擊應該在 Cloudflare Edge 層解決,而不是在伺服器層解決

很多人仍然使用 Fail2ban 嘗試封鎖 wp-login 攻擊,但在橙雲模式下:

  • 真正連線來源是 Cloudflare IP
  • iptables 無法阻擋真實攻擊者
  • 即使封鎖 IP 仍然會有流量進來

✅ 正確做法是使用 Cloudflare WAF Custom Rules。

本教學會示範兩條最重要的規則:

  1. 保護 wp-login.php
  2. 封鎖 xmlrpc.php

✅ 第一條規則:保護 wp-login.php

為什麼需要?

WordPress 的登入頁面:

/wp-login.php

是全球機器人暴力破解的主要目標。

即使你沒有公開登入頁,掃描機器仍然會嘗試。


🔧 建立規則步驟

Step 1:進入 Cloudflare

  1. 登入 Cloudflare
  2. 選擇你的網站
  3. 點擊:
Security → WAF → Custom Rules
  1. 點擊:
Create rule

Step 2:設定 Rule Name

請填寫:

WP-Login Protection

Step 3:點擊「Edit expression」

不要使用上方 Select 下拉選單。

請點擊右側:

Edit expression

Step 4:貼上以下 Expression

(http.request.uri.path contains "/wp-login.php")

如果你希望自己的固定 IP 不被影響,可以使用:

(http.request.uri.path contains "/wp-login.php")
and not ip.src in {你的IP地址}

例如:

(http.request.uri.path contains "/wp-login.php")
and not ip.src in {1.2.3.4}

Step 5:選擇 Action

在「Then take action」中選擇:

Managed Challenge

不要使用 Block,除非你 100% 不需要外部登入。


Step 6:點擊 Deploy

完成 ✅


✅ 效果說明

設定後:

  • 大部分 bot 會被 Challenge 阻擋
  • 真人用戶幾乎無感
  • 攻擊流量不再直接打到伺服器
  • CPU 使用率會下降

✅ 第二條規則:封鎖 XMLRPC


為什麼需要?

WordPress 的:

/xmlrpc.php

經常被利用作:

  • 暴力破解
  • Pingback 攻擊
  • DDoS 放大攻擊

如果你沒有使用:

  • Jetpack
  • WordPress App
  • 遠端發佈功能

✅ 建議直接封鎖。


🔧 建立規則步驟

Step 1:Create rule

同樣進入:

Security → WAF → Custom Rules

點擊:

Create rule

Step 2:Rule Name

填寫:

Block XMLRPC

Step 3:Edit expression

貼上:

(http.request.uri.path contains "/xmlrpc.php")

Step 4:Action

選擇:

Block


Step 5:Deploy

完成 ✅


✅ 建議規則順序

在 Custom Rules 頁面,請確保順序如下:

  1. Block XMLRPC
  2. WP-Login Protection

Cloudflare 會由上而下執行規則。


✅ 設定完成後的架構

啟用後流量流程變成:

攻擊者 → Cloudflare WAF → 被挑戰/封鎖 → 無法到達伺服器

而不是:

攻擊者 → 伺服器 → Fail2ban 分析 → 再封鎖

✅ 安全性更高
✅ 伺服器負載更低
✅ 不再需要 Fail2ban API 同步


✅ 常見問題

Q1:會不會影響 Google?

不會。

Cloudflare 會識別合法 bot,Managed Challenge 不會影響正常搜尋引擎。


Q2:是否還需要 Fail2ban?

建議:

  • 保留 Fail2ban 用於 SSH
  • 保護未使用 Cloudflare 的網站
  • 保護 API 服務

但對 HTTP WordPress 攻擊,可以完全交給 Cloudflare。


✅ 總結

只需兩條規則,你就可以:

  • 阻止 90% WordPress 掃描攻擊
  • 減少伺服器負載
  • 不再依賴 API 封鎖
  • 架構更清晰

Cloudflare WAF 應該成為橙雲網站的第一層防線,而不是伺服器。