由于几个小时，我有来自不同IP的来到我们的网站存在的每一秒（每秒也许4路或5个请求）的多个请求。 该网站的流量通常为3至每分钟5个请求。 这些要求是很随意的，例如：

/gtalczp/197zbcylgxpoaj-26228e-dtmlnaibx/
/109/jxwhezsivr/10445_xwvpfdyzhea.cgi
/nouyaku.html
/index.php/43e3133-pmuwbfgoedakvxs/
/keyword_list/s_index=L

该网站的在谷歌索引现在都在日文字符和搞砸了。

我曾尝试阻止IP的（通过的.htaccess），使所有这些随机请求，但每一次新的IP正在一个新的请求。 我怎样才能阻止所有这些请求？ 我可以用一个.htaccess规则，只允许在该网站中提供的链接？

编辑：我们的网站运行WordPress的最新版本，定制的内置功能。 如果这是某种形式的黑客，我怎么能找到被感染的文件/数据库表？

编辑2：这看起来像是合法的谷歌机器人，但他们为什么试图访问不存在这些随机链接...

这个流量是来自自动的安全扫描仪的到来。 他们通过扫描AWS，数字海洋等使用的IP范围的块寻找Web服务器上的已知安全漏洞。

你能阻止它？ 有点。

一个快速的方法来捕捉低挂水果是把一个/password.txt在Web服务器上的根目录。 在这个星球上的每个扫描仪将扫描查找。 阻止访问任何IP。 您可以使用的fail2ban这一点。

您也可以速率限制访问到Web服务器。 如果客户端很快扫描的页面很可能一台扫描仪和在这种情况下禁止IP。 但也可能是一个搜索引擎蜘蛛等。在这种情况下，这可能会损害你的SEO。

随着请求包含日语关键字，例如nouyaku和日本的网页很可能表明日本的关键字黑掉谷歌索引蛞蝓。 此谷歌本文提供了一个解释，一些通用的一般性修复和preventitive措施： https://developers.google.com/web/fundamentals/security/hacked/fixing_the_japanese_keyword_hack

固定别处已经覆盖WordPress的黑客 ：你会发现这个＃2或通过谷歌众多的问题和答案。

谷歌的.htaccess的文章建议更换您的htaccess。 一种有用的启动会是添加和调整任一杰夫Starr的6G“防火墙”或者7G（测试版）的代码。

请求的速率是DDOS等 ; 因此它是有道理的，以应付这个在同一时间（例如mod_evasive，的fail2ban和ModSecurity的）谷歌保护的Apache从DDOS攻击 。

DDOS，蛮力和WordPress - PHP / WordPress的代码/ SQL运行会大量降低服务器负载之前停止狡猾的请求。 如果没有必要的公共登录到WordPress的，然后使用htaccess的密码保护WP-登录，也可能WP-admin文件夹（可能导致某些网站的问题）。