你的客户抱怨网站卡得要死。你打开Google Analytics——流量曲线平稳得像心电图。PageSpeed分数勉强及格,服务器负载也没爆表。一切看起来都没问题。

这种场景是不是很熟悉?

打开网易新闻 查看精彩图片

我们刚在一个真实生产环境上诊断了完全一样的案例。罪魁祸首不是臃肿的插件、垃圾主机套餐,也不是没压缩的图片。而是一种标准分析工具完全捕捉不到的隐形流量——它已经持续轰炸服务器好几个月了。

以下是发现过程、排查方法,以及对每个WordPress站点的警示。

客户的投诉

客户反映加载缓慢已经持续数月。间歇性发作,难以复现。"有时候很快,有时候慢得像蜗牛。"

这是典型的资源竞争症状——某种东西周期性吞噬服务器容量,让正常用户干等。但所有常规诊断都指向"没问题"。

问题在于:他们试过的每个诊断工具只看基于浏览器的流量。Google Analytics、Plausible、Fathom——它们都依赖在访客浏览器中运行JavaScript代码片段。没有浏览器,就没有数据。而事实证明,大量请求根本没有浏览器参与。

服务器级分析揭示的真相

当我们用SysWP Radar分析原始服务器流量时——它在JavaScript运行前就捕获每个请求——画面完全变了。

仅"未知"流量桶就包含约68,000个请求。这些对现有分析工具完全隐形。拆解后发现:

头号元凶:Go-http-client/1.1

— 67,323次命中

这个单一用户代理占了所有未知流量的99%。Go-http-client/1.1是Go编程语言的默认HTTP客户端。它不是浏览器,不是正规爬虫——只是一个代码库。67,000多次请求绝非偶然。有人用Go写了一个自动化爬虫,正在系统性大规模抓取站点。

性能影响:这67,000个请求每个都消耗一个PHP工作进程,查询数据库,生成完整的WordPress页面渲染。该站点的主机套餐有固定数量的并发PHP工作进程。当爬虫活跃时,它与真实访客直接争夺这些资源——导致客户经历的间歇性卡顿。

风险等级:高。这种系统性抓取可能:

• 耗尽PHP工作进程池,导致真实用户遇到503错误
• 若套餐按资源计费,推高主机成本
• 窃取内容用于AI训练、竞品分析或直接转载
• 拉低基于真实用户数据测量的Core Web Vitals分数

同桶发现的其他攻击者

剩余约750个请求揭示了一个完整的恶意与可疑活动生态:

axios/1.15.0 — 308次命中

Axios是一个Node.js HTTP库。这里被用作爬虫。不是浏览器,不是搜索引擎——只是一个发起自动化请求的脚本。

Spoofe