关注VPS服务器
相关知识分享

Wordfence Security插件安装使用教程_WordPress安全插件设置

WordPress网站的安全问题一直都是广大站长比较重视的,如果你安装了 wordpress安全插件就会看到每隔几分钟就有 robots扫描机尝试登陆 wordpress的后台 wp-login.php文件,防不胜防。今天老魏介绍一款Wordfence Security插件(全名 Wordfence Security – Firewall & Malware Scan),也是 wordpress安全插件中安装量较多的,我们一起来安装设置。

Wordfence插件安装

在 wordpress后台的插件中搜索 wordfence 如下图所示,这款插件安装量巨大,更新也很及时。

Wordfence插件安装

Wordfence插件安装

安装并启用后第一步提示输入信息如下:

  • 提示输入邮箱以接收报警信息,如果后面嫌烦就去 options设置 中关闭掉;
  • 是否加入 wordfence邮件列表这个一般会选择no;
  • 同意安装条款才能继续下一步。
wordfence插件安装输入信息

wordfence插件安装输入信息

第二步要输入高级许可证key,显然我们没有,点击下面的小字 no thanks 继续下一步。

借此简单说下免费版和高级版的区别,Wordfence premium的优势如下:

  • 实时保护:Wordfence防火墙利用实时更新规则来识别和阻止对网站的恶意流量;
  • 国家封锁:让你wordpress登录页面或整个网站的访问限制为特定国家/地区;
  • 实时IP黑名单:免费版Wordfence用户在被攻击后才能看到Wordfence阻止,而高级用户通过实时IP黑名单功能获得额外阻止;
  • 高级支持:24小时内获得官方回复,免费版用户把问题发到论坛中会在几天内得到回复。

对大部分网站来说免费版够用了,不差钱且对网站要求高可以付费支持。

wordfence中太多英文专业词语,老魏建议大家用谷歌浏览器翻译模式(教程:谷歌浏览器如何在线翻译中文)来设置会比较容易理解。
首先进入 wordfence仪表板,上面有提示:您是否希望Wordfence自动保持最新状态? 选择是的启用自动更新。

防火墙waf处于学习模式,点击管理防火墙进入改成“启用和保护”。同时在右上角配置防火墙,wordfence插件会自动检测并优化,我们只要点击“继续”完成优化过程就行了。

wordfence插件防火墙优化

wordfence插件防火墙优化

老魏安装 wordfence插件后提示发现一个重要问题是 wordpress版本不是最新版,并提供了升级按钮,按照提示去操作升级就行了。

Wordfence插件防火墙选项

看到防火墙状态,防火墙规则,实时IP黑名单,蛮力保护这四个评分项。如下图所示已经是免费版本的高分了,如果想要100分满分付费用Wordfence premium版本。

下图中的防护等级是把 Wordfence 规则写入php.ini文件的(Nginx),写入后防护能力更强。按照提示如果网站搬家就要暂时删除扩展保护,等安置妥当后再重新加入。

Wordfence插件防火墙选项

Wordfence插件防火墙选项

下面有 4个选项:进阶防火墙选项、蛮力保护、限速、列入白名单网址,根据你个人实际情况设置。实际上默认就是很好用了。

Wordfence插件扫描选项

点击“scan扫描”由Wordfence插件开始扫描恶意文件。过程中有进度提示,如果已发布内容较多会花费更久时间。

老魏选择的扫描类型:标准,恶意软件签名:社区,声誉检查默认规则。高级版会与官方云端数据库规则比对,检测效果更佳。

这个测试网站的扫描结果是0,没有恶意文件。评分分别是60%和70%,要分数更高就升级到 premium版本。

Wordfence插件扫描选项

Wordfence插件扫描选项

Wordfence插件工具类

看到“实时访问”情况,这个测试网站如下图所示看到有 IP在尝试xmlrpc.php和 wp-login.php页面,点击最右侧“视图”下面的“眼睛”图标可以看到详细情况,查看是否是恶意登陆。

Wordfence插件实时访问情况

Wordfence插件实时访问情况

导入/导出选项可以把一个站点的 wordfence配置克隆到另一个站点,或者使用令牌从另一个站点导入 wordfence选项。

诊断程序可以查看到当前服务器环境软件情况,网站情况等等。

Wordfence插件登陆安全

两要素认证,使用 Google Authenticator reCAPTCHA来多步骤登陆 wordpress后台,加强防御功能,防止被人恶意登陆网站后台。这个功能在大陆以外服务器才能正常使用。

所有选项就是把上面这些功能汇总到一个页面中去了,默认就行,无需改动。

Wordfence插件及wordpress安全总结

Wordfence Security插件核心功能就是防火墙和扫描功能,对于免费版用户来说足够了。除了这两项功能外还可以阻止恶意插件、恶意代码文件,阻止暴力破解密码、漏洞检查等。

缺点在于写入数据库很多内容,并且加重服务器负担。如果网站卡顿了可以用的时候开启扫描,平时关闭掉。

wordpress安全插件都是辅助用的,真正的是我们自己要有安全意识,做好服务器安全防护,主题和插件都购买正版,避免使用盗版插件和主题,来路不明的文件和代码别用,网站后台账号密码设置的复杂一些。

WordPress并不是不堪一击的,很多时候被黑了是因为我们自己的防范意识不够。比如老魏搭建了一个测试网站,为了用着方便 wordpress程序的登陆账号密码都是 admin,登陆地址也默认,明知道这样不安全可还是因为嫌麻烦就偷懒了。过了几天果然发现网站有错误提示且无法正常打开,进入网站 /themes目录查看发现多了几个不明目录和未知文件,是被黑之后对方上传的用于控制网站的恶意文件。后来删除了主题目录也不行会跳转到恶意网站,就只好重新安装网站并且修改了账号密码,安装 Wordfence Security插件进行防御。

实际老魏接触很多建站用户中发现很多人的服务器账号密码、网站账号密码都过于简单,不够复杂,很容易被扫描和破解出来。如果你也存在这类问题,不妨试试 Wordfence Security 这一类的 wordperss安全插件,对站长来说比较省心。

赞(0) 打赏
允许转载,保留出处:魏艾斯笔记 » Wordfence Security插件安装使用教程_WordPress安全插件设置

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏