Wordfence是Wordpress性价比最好的安全防火墙插件,功能强大容易设置,防护效果明显。主要功能有屏蔽/限制恶意爬虫和机器人,强力防火墙,拦截特定地区/设备/IP访问,2FA安装登录,定期自动扫描,访问流量监控等。还能扫描对比主题和插件代码,监控代码运行情况,及时发现异常代码。
为什么要用防火墙?
这是测试文本,单击 “编辑” 按钮更改此文本。WordPress 是全球非常知名的开源建站程序,约有40%的网站使用 WordPress 搭建。正因如此,WordPress 成为了许多不法分子的目标,他们试图通过黑客手段或其他恶意行为对网站造成破坏。有些程序是为了发送垃圾邮件,有些程序会植入木马,有些爬虫或抓取优质的内容文章。所以建议在你的站点上安装一些防火墙插件,来规避掉恶意程序或木马。从而降低你的服务器负担提升网站访问速度和保护你的重要项目文件和内容资源。
WordPress防火墙插件有哪些?
提供恶意软件检测、黑客攻击预防、站点审计和高效的DNS级别网站防火墙,提高网站速度和安全性。
拥有全面的恶意软件扫描和实时流量监控,双重身份验证和强大的安全防护机制。
直观的用户界面,分级安全规则设置,适合没有安全技术背景的用户,提供基础到高级的安全防护。
双重身份验证、强化登录安全、文件更改监控等功能,针对密码和用户登录行为提供多层保护。
轻量化,提供自动化安全管理和防护,减少用户手动操作,适合希望简化安全管理的网站管理员。
这些插件都有各自的重点特色,主要帮助WordPress站点应对网络攻击和提升整体安全性。个人更偏向些Wordfence,主要原因是可以支持无限站点使用,功能全面且防护效果出色,是性价比也是最高的。通过 Wordfence可以限制登录尝试次数、拦截恶意机器人爬虫、屏蔽特定 IP 或地区的访问、拦截恶意流量,并启用双重身份验证(2FA)功能,全面提升网站的安全性。
Wordfence Premium的设置教程
Wordfence Premium功能设置介绍
如图1是提示你设置防火墙,白色84%是还没有设置防火墙。图2是提示有安全提示,需要你进行扫描。图3是可以对Wordfence进行辅助功能设置。
防火墙设置
点击上上图的“点击这里配置”,会弹出提示框。图1Nginx是你当前的操作系统环境,不需要更改。图2点击后会自动下载一个txt文件。再点击图3关闭弹框页。
打开下载文件,需要对文件内容进行修改。椭圆的框内是要替换成你的项目名称(不是域名哦,别搞错),矩形框内是新增的内容。
如何去更新.user.ini文件?
.user.ini是存放在服务端的只读文件,更新的方法有2两种:宝塔面板在线编辑和修改.user.ini的权限后更新。
第1种方法:宝塔面板在线更新
进入宝塔面板系统找到文件 – 找到项目文件 – 根目录下的.user.ini文件,然后鼠标邮件点击编辑。
将之前文本里面的内容复制过来,记得把你的项目名称修改掉。然后点击保存。
回到wordpress后台刷新页面,看到防火墙已经启用,分值达到100%。
第2种方法:修改.user.ini文件权限
需要用到SSH解除.user.ini只读权限。如果不懂技术不建议你修改,还是联系网站制作管理员协助,这里就不再展开说明了。另外如果你使用的是虚拟主机应该也无法修改。
扫描文件查找漏洞
我们点击图2按钮开始扫描,工具会自动扫描项目中存在的插件更新、漏洞、高危文件。
我们来看下扫描后给出的提示。扫描结果会分成:高、中和低。 低级的基本可以忽略。中级我们看到其实是插件版本的问题,这个只需要你升级插件后再扫描就会消失。我们主要关注高级,第1个高危是这个插件的程序高危?其实是这个插件需要更新升级,重新更新后扫描能解决这个问题。第2个高危是之前没遇到过的,我们查看右侧详情,可以了解到这个应该是历史版本更新的遗留文件,Wordfence对于不认识的文件会给出提示,这个时候就需要你运用专业的技术知识去处理了。
双重身份认证
Wordfence还提供了登录的双重身份认证,大大的提高了网站的安全性。
点击左侧安全登录 – 选择设置 – 对于3个权限角色设置登录验证。这3种角色都会进入系统后台进行操作,所以加上双重认证。勾选30天有效期。
我们需要用手机去下载Google 身份认证app,打开扫一扫功能,对着后台的二维码进行扫描并进行绑定。绑定成功之后登录app上都会每隔一段时间出现随机码,类似U盾。
图4点击下载恢复密匙,文件请妥善保管你可以帮您找回密码。你可以推出后台尝试一下双重认证的效果了。
重新登录查看二次登录效果。