WordPress,使用Cloudflare代理
网站还没上线,但一直被攻击

攻击情况
每天数千次扫描尝试
目标:.env、password.php、shell.php等敏感文件
攻击IP来自:英国、美国、澳大利亚等
Cloudflare Under Attack模式全部拦截

我的操作
配置了防火墙(只允许Cloudflare IP访问)
没开放22
目前WAF+Fail2ban

求大神指点