WordPress作为全球最受欢迎的开源内容管理系统(CMS)。它是全球使用最广泛的CMS软件,为全球前1000万个网站中的38%以上站点提供了强大的动力,据估计,它占所有使用CMS的网站的62%的市场份额。备受建站用户欢迎的同时,也成为了很多黑客攻击的目标。
WordPress本身是一个非常安全的平台。WordPress官方安全团队由大约50名专家组成,其中包括首席开发人员和安全研究人员,大约一半是Automattic的员工(WordPress.com的制造商,这是网络上最早,最大的WordPress托管平台),并且在网络上开展了大量工作安全领域。该团队会与著名且值得信赖的安全研究人员和托管公司进行协商。
WordPress是一个定期维护和更新的开源软件。默认情况下,WordPress自动安装次要更新。对于主要版本,您需要手动启动更新。WordPress还带有成千上万的插件和主题,您可以在网站上安装它们。这些插件和主题由第三方开发人员维护,它们也定期发布更新。这些WordPress更新对于WordPress网站的安全性和稳定性至关重要。您需要确保WordPress核心,插件和主题是最新的。
对于WordPress外贸建站来说,安全性也是运行WordPress网站的重要因素之一。在本文中,WPPOP将向推荐并介绍一款全方位WordPress安全防护插件 – All In One WP Security & Firewall。
您的WordPress网站安全吗?如果在WordPress网站运营维护过程中,经常遭遇黑客攻击、木马植入等网站安全性问题,那么,使用WordPress安全防护插件 – All In One WP Security & Firewall可以帮您快速解决绝大部分问题了。
WordPress安全防护插件 – All In One WP Security & Firewall是由WordPress安全专家设计和编写,易于操作使用。它通过检查漏洞以及实施和实施最新推荐的WordPress安全实践和技术来降低安全风险。将把您的网站安全提升到一个全新的水平。
All In One WP Security & Firewall 还使用前所未有的安全分级系统,根据激活的安全功能来衡量您对网站的保护程度。我们的安全和防火墙规则分为“基本”,“中级”和“高级”。这样,您可以逐步应用防火墙规则,而不会破坏站点的功能。而且,插件不会降低您网站的速度,而且它是100%免费的。
插件功能
- .htaccess 和 wp-config.php文件备份和还原
- 用户帐号安全
- 用户登录安全
- 用户注册安全
- 数据库安全
- 文件系统安全
- 黑名单功能
- 防火墙功能
- 暴力登录攻击防范
- 安全扫描
- 评论垃圾邮件安全
- 禁止右键复制保护
- 定期更新和添加新的安全功能
- 附加功能
设置
在All In One WP Security & Firewall插件的功能菜单中的第一项就是 设置 项,主要包括:常规设置、.htaccess 文件、wp-config.php 文件、WP 版本信息、导入/导出、高级设置。
常规设置:在浏览每个菜单项并启用安全选项, 为您的网站添加更多安全性。在激活安全功能之前, 备份好您网站的 .htaccess 文件, 数据库和 wp-config.php 文件是一种很好的做法。在 常规设置 里,我们可以轻松备份这些资源。
用户帐号安全
- 检测是否存在具有默认“ admin”用户名的用户帐户,然后轻松地将用户名更改为您选择的值。
- 该插件还将检测您是否有具有相同登录名和显示名的WordPress用户帐户。拥有显示名称与登录名相同的帐户是一种不安全的做法,因为
您已经使黑客更容易使用该帐户,因为他们已经知道登录名了,从而使他们容易50%。 - 密码强度工具,可让您创建非常牢固的密码。
- 停止用户枚举。因此,用户/机器人无法通过作者永久链接发现用户信息。
如果您使用的是WordPress默认安装时的 admin 管理员帐号,可以在 用户帐号安全 设置里,修改为更加复杂的不容易被黑客猜测到的用户名作为管理员帐号,此外,还建议修改更加复杂的字符串密码。
用户登录安全
- 使用登录锁定功能防御“蛮力登录攻击”。具有特定IP地址或范围的用户将根据配置设置在系统中锁定预定的时间,并且您还可以选择
在有人由于登录尝试过多而被锁定时通过电子邮件通知。 - 作为管理员,您可以查看所有锁定用户的列表,这些列表显示在易于阅读和可浏览的表格中,该表格还允许您单击按钮即可解锁单个或批量IP地址。
- 在可配置的时间段后强制注销所有用户
- 监视/查看失败的登录尝试,显示失败的登录用户的IP地址,用户ID /用户名和日期/时间
- 通过跟踪用户名,IP地址,登录日期/时间和注销日期/时间,监视/查看系统上所有用户帐户的帐户活动。
- 能够自动锁定尝试使用无效用户名登录的IP地址范围。
- 能够查看当前登录到您站点的所有用户的列表。
- 允许您在特殊的白名单中指定一个或多个IP地址。列入白名单的IP地址将可以访问您的WP登录页面。
- 将Google reCaptcha或纯数学验证码添加到WordPress登录表单。
- 将Google reCaptcha或普通数学验证码添加到WP Login系统的忘记密码形式。
黑客尝试破坏网站的方式之一是通过 暴力登录攻击. 这就是攻击者使用重复的登录尝试直到他们猜到密码的地方。
除了选择强密码之外, 在短时间内监控和阻止重复登录失败所涉及的 IP 地址是阻止这些类型攻击的一种非常有效的方法。
您可能还想要查看 Cookie-Based Brute Force Login Prevention 功能, 以获取另一种安全的方式来防范这些类型的攻击.
用户注册安全
- 启用WordPress用户帐户的手动批准。如果您的网站允许人们通过WordPress注册表单创建自己的帐户,那么您可以通过手动批准每个注册来最大程度地减少垃圾邮件或虚假注册。
- 能够将Google reCaptcha或普通数学验证码添加到WordPress的用户注册页面,以保护您免受垃圾邮件用户注册的侵害。
- 能够将Honeypot添加到WordPress的用户注册表单中,以减少机器人的注册尝试。
如果您的网站允许用户通过WordPress注册表单创建自己的账号,那么您可以通过人工审核批准每个注册来最大限度地减少垃圾评论或伪造注册。
此功能会自动将新注册的账号设置为“待处理”,直到管理员将其激活为止。因此,如果没有您的明确批准,不受欢迎的注册人将无法登录。
您可以通过下面的便捷列表查看所有新注册的账号,也可以在每个账号上执行批量激活/停用/删除任务。
数据库安全
网站数据库是网站最重要的资产, 因为其包含了大量网站的数据信息。所以,网站数据库也是黑客的目标, 例如通过 SQL 注入和针对特定数据表的恶意和自动代码等方法。
为数据库添加一层保护的一种方法是将默认的 WordPress 数据表前缀从 “wp_” 更改为黑客难以猜测的其他内容。
此功能可让您轻松地将前缀更改为您选择的值或由此插件设置的随机值。
- 只需单击一个按钮,即可轻松将默认WP前缀设置为您选择的值。
- 安排一次自动备份和电子邮件通知,或在需要时随时单击一下即可进行即时数据库备份。
文件系统安全
WordPress 文件和文件夹权限设置控制组成 WordPress 安装的文件和文件夹的可访问性和读/写权限。
您的 WP 安装已经为文件系统提供了合理安全的文件权限设置。
但是, 有时人们或其他插件会修改某些核心 WP 文件夹或文件的各种权限设置, 从而导致其网站安全性降低, 因为他们选择了错误的权限值。
此功能将扫描关键的 WP 核心文件夹和文件, 并将突出显示任何不安全的权限设置。
注意:此功能对Windows系统服务器无效!
- 识别具有不安全的权限设置的文件或文件夹,然后单击按钮将权限设置为建议的安全值。
- 通过从WordPress管理区域禁用文件编辑来保护您的PHP代码。
- 从一个菜单页面轻松查看和监视所有主机系统日志,并随时了解服务器上发生的任何问题,以便您快速解决它们。
- 防止人们访问您的WordPress网站的readme.html,license.txt和wp-config-sample.php文件。
黑名单功能
一站式 WP 安全黑名单功能为您提供禁止某些主机 IP 地址或范围以及用户代理的选项。
此功能将拒绝具有与您在下面的设置中配置的 IP 地址或用户代理相匹配的用户的全部站点访问权限。
此插件通过对 .htaccess 文件进行适当修改来实现此目的。
通过在 .htaccess 文件中拦截用户, 您使用的是最安全的第一道防线, 当他们攻击您的主机服务器时, 其会拒绝所有访问黑名单的访问者。
- 通过指定IP地址禁止用户,或使用通配符指定IP范围。
- 通过指定用户代理来禁止用户。
防火墙功能
此选项卡中的功能允许您为您的网站启用一些基本的防火墙安全保护规则.
防火墙功能是通过将指定代码插入到当前活动的 .htaccess 文件中来实现的。
这应该不会对您网站的一般功能产生任何影响, 但是如果您希望在继续操作之前获取 backup 的 .htaccess 文件。
所以,这些防火墙规则会在更改您站点上的 WordPress 代码之前停止恶意脚本。
- 访问控制工具。
- 立即激活从基本,中级和高级的一系列防火墙设置。
- 启用著名的“ 6G黑名单”防火墙规则(由Perishable Press提供)
- 禁止发布代理评论。
- 阻止访问调试日志文件。
- 禁用跟踪。
- 拒绝坏的或恶意的查询字符串。
- 通过激活全面的高级字符串过滤器来防止跨站点脚本(XSS)。
或浏览器中没有特殊Cookie的恶意漫游器。您(站点管理员)将知道如何设置此特殊cookie并能够登录到您的站点。 - WordPress PingBack漏洞保护功能。此防火墙功能允许用户禁止访问xmlrpc.php文件,以防止pingback功能中的某些漏洞。这也有助于阻止bot不断访问xmlrpc.php文件并浪费服务器资源。
- 能够阻止伪造的Googlebot抓取您的网站。
- 防止图像热链接的能力。使用此功能可以防止其他人热链接您的图像。
- 能够在您的站点上记录所有 404 事件。您还可以选择自动阻止过多攻击 404 的IP地址。
- 能够添加自定义规则以阻止访问站点的各种资源。
暴力登录攻击防范
有效的暴力预防技术是更改默认的 WordPress 登录页面网址。通常情况下, 如果你想登录 WordPress, 你可以输入你网站的首页网址, 然后输入 wp-login.php。
此功能允许您通过设置您自己的 slug 并将包含 wp-login.php 的登录网址的最后部分重命名为您喜欢的任何字符串来更改登录网址。通过这样做, 恶意机器人和黑客将无法访问您的登录页面, 因为他们不知道正确的登录页面网址。
- 通过我们特殊的基于Cookie的蛮力登录阻止功能,立即阻止蛮力登录攻击。此防火墙功能将阻止人员和机器人的所有登录尝试。
- 能够向WordPress登录表单添加简单的数学验证码,以对抗暴力登录攻击。
- 能够隐藏管理员登录页面。重命名您的WordPress登录页面URL,以便漫游器和黑客无法访问您的真实WordPress登录URL。此功能使您可以将默认登录页面(wp-login.php)更改为您配置的内容。
- 能够使用登录蜜罐,这将有助于减少机器人的暴力登录尝试。
安全扫描
- 如果您的 WordPress 系统中有任何文件已更改,文件更改检测扫描程序可以提醒您.然后,您可以调查,看看是否合法更改或一些错误的代码被注入。
评论垃圾邮件安全
- 监控最活跃的IP地址,这些地址持续产生最多的SPAM注释,并通过单击按钮立即阻止它们。
- 如果评论不是来自您的域,则阻止其提交(这样可以减少您网站上发布的某些SPAM bot评论)。
- 在您的wordpress评论表单中添加一个验证码,以增加针对评论垃圾邮件的安全性。
- 自动并永久阻止超过一定数量垃圾评论的 IP 地址。
禁止右键复制保护
- 能够为您的前端禁用右键单击,文本选择和复制选项。
定期更新和添加新的安全功能
- WordPress安全是随着时间而发展的。我们将定期更新具有新安全功能(并根据需要进行修复)的All In One WP安全插件,以便您可以放心,您的网站将处于安全保护技术的最前沿。
附加功能
- 能够从您网站的HTML源中删除WordPress生成器元信息。
- 使您能够从您站点中包含的 JS 和 CSS 文件中删除 WordPress 版本信息。
- 能够防止人们访问readme.html,license.txt和wp-config-sample.php文件
- 在执行各种后端任务(调查安全攻击,执行站点升级,进行维护工作等)时,能够将一般访问者的站点前端暂时锁定为锁定状态
- 能够导出/导入安全设置。
- 阻止其他网站通过框架或iframe显示您的内容。
插件下载
WordPress安全防护插件 – All In One WP Security & Firewall 下载地址:https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/