安全性是執行WordPress網站的重要因素之一。幸運的是,有許多免費和付費服務可用於保護您的網站並防止黑客和惡意攻擊。
在本文中,我們將討論如何使用All in One WP Security & Firewall外掛保護您的WordPress網站。
為什麼All in One WP Security & Firewall外掛?
有許多流行的安全外掛可用,但“All in One WP Security & Firewall”是唯一一個完全免費提供大部分所需功能的外掛。
- 該外掛有超過400k的活動安裝。
- 定期更新並與最新的WordPress版本相容。
- 來自450多名使用者的近5星評級。
- 論壇上體面的線上支援。
安裝和啟用外掛
導航到WordPress管理儀表盤上的“外掛 > 安裝外掛”部分,然後搜尋“All in one WP Security”以找到外掛。
查詢All in One WP Security & Firewall外掛
安裝並啟用外掛後,它將建立一個名為“WP Security”的選單項。它在不同類別下提供詳盡的選項來保護您的WordPress網站。
- 儀表盤
- 設定
- 使用者帳戶
- 使用者登入
- 使用者註冊
- 資料庫安全
- 檔案系統安全
- WHOIS查詢
- 黑名單管理器
- 防火牆
- 蠻力
- 垃圾郵件預防
- 掃描器
- 維護
- 各種各樣
這個怎麼運作?
該外掛適用於積分系統,併為每個安全設定提供積分。它總共增加了470分,並且更多的分增加了您的WordPress網站的安全性。通過啟用覈取方塊,只需單擊滑鼠即可啟用大多數選項。您可以單擊“更多資訊”框以檢視該選項的更多詳細資訊和示例。
啟用任何選項之前的注意事項
儘管安全性很重要,並且該外掛會試圖增加強度計上的分數,但每個設定都可能對您網站的可讀性產生不利影響。如果錯誤啟用該選項,也有可能與其他外掛發生衝突並鎖定您自己的IP。強烈建議在啟用任何安全設定之前準備以下內容:
- 備份整個站點和資料庫。
- 由於外掛在.htaccess檔案中建立條目,備份.htaccess檔案將有助於恢復原始設定。
- 備份wp-config.php檔案。
- 確保您可以通過FTP訪問您的託管伺服器。這將有助於在緊急情況下替換檔案。
總之,備份您的所有站點內容並僅啟用您需要的安全選項。也建議在啟用防火牆、使用者註冊審批等功能後驗證網站的可訪問性。
儀表盤
儀表盤顯示指示站點安全點的強度計。這些點也顯示在明細表中,指示選項之間的權重和分佈。
All in One WP Security & Firewall外掛儀表盤
您可以直接從儀表盤啟用一些選項,例如維護模式、禁用“管理員”使用者名稱、啟用基本防火牆等。我們建議不要直接在儀表盤上啟用任何設定。轉到個人設定頁面並僅在需要時啟用。
以下是儀表盤選項卡上可用的其他詳細資訊:
- 系統資訊——顯示您的WordPress安裝、PHP版本和活動外掛詳細資訊的完整詳細資訊。
- 鎖定的IP地址– 如果在“User Login”選項卡下啟用該選項,則顯示鎖定的 IP 地址列表。
- 永久阻止列表– 顯示因垃圾評論而永久攔截的IP地址列表。該選項可以在“SPAM Prevention > Comment SPAM IP Monitoring”下啟用。
- AIOWPS日誌– 您可以在此處檢視外掛的安全日誌檔案。
設定選項卡
“設定”選項卡提供備份和高階選項,例如匯入/匯出外掛的所有設定。
AIOWPS設定選項卡
- 常規設定 – 在這裡您可以一鍵禁用外掛的所有安全功能和防火牆設定。當您的網站因外掛設定而損壞時,這將是必需的。您還可以啟用/禁用外掛的除錯選項。
- .htaccess檔案– 如上面的預防措施部分所述,強烈建議在啟用任何安全和防火牆設定之前備份.htaccess檔案。您還可以從備份中恢復.htacess檔案。
- wp-config.php檔案– 類似於.htaccess檔案,在此選項卡下您可以備份和恢復 wp-config.php 檔案。
- WP版本資訊– WordPress自動生成版本號並使用元標記在每個頁面上顯示。當您使用最新的WordPress版本時,顯示版本號不是問題。但是,如果您沒有更新到最新版本並使用任何舊版本,那麼黑客可以通過查詢版本號輕鬆定位您的網站。您可以在此選項卡下隱藏版本。
- 匯入/匯出– 匯入或匯出整個外掛設定。
使用者帳戶
您在使用者帳戶部分有三個選項。
- WP使用者名稱 – 在這裡您可以將名稱為“admin”的使用者更改為所需的名稱。
- 顯示名稱– 檢查具有相同登入名和顯示名稱的使用者列表。一般不建議使用相同的顯示名和登入名,以免黑客猜測登入名。這不是一個重要的設定,因為只需檢查文章作者就很容易找到登入名。
- 密碼– 檢查您的密碼強度,儀表將顯示黑客猜出您的密碼需要多長時間。
使用者登入
使用者登入部分允許使用以下設定控制使用者登入到您的站點:
AIOWPS外掛使用者登入設定
- 登入鎖定– 在一定次數的不成功嘗試後啟用鎖定使用者。此功能有助於停止所有機器人並在某些使用者 ID 被鎖定時傳送電子郵件通知。
- 登入失敗記錄– 檢視失敗的登入嘗試以及IP地址和使用者名稱。
- 強制登出– 啟用此選項可在一定時間後強制登出所有使用者。
- 帳戶活動日誌– 檢視登入到您網站的最後50個使用者ID的列表。
- 登入使用者– 檢視當前登入您網站的使用者。
使用者註冊
在此部分下,您可以手動批准嘗試在您的網站上註冊的使用者,並在預設的WordPress登錄檔單上新增驗證碼。當您有電子商務外掛用於在您的網站上銷售商品並進行使用者註冊時,啟用此功能將阻止實際客戶,因為他們將無法自動註冊。因此,當您出於任何其他目的需要具有自動註冊功能時,請勿啟用此功能。
資料庫安全
預設情況下,WordPress為所有資料庫表新增字首“wp_”。在此部分下,您可以將預設值更改為隨機字首,這將提高您網站的安全性。您還可以定期安排資料庫備份和電子郵件備份。
據我們檢查,電子郵件功能似乎不適用於此外掛。因此,不要回復此外掛進行備份,還有許多其他可用於WordPress的專用備份解決方案。
檔案系統安全
您在檔案系統安全部分有以下四個選項。
- 檔案許可權– 檢查您的WordPress安裝的所有檔案和資料夾是否具有讀/寫訪問許可權並設定正確的許可權。
- PHP檔案編輯– 從儀表盤禁用檔案編輯。此選項將刪除“編輯器”選單以直接從儀表盤編輯主題和外掛檔案。
- WP檔案訪問——黑客可以使用readme.html、licence.txt和wp-config-sample.php檔案獲取有關WordPress安裝的更多資訊。啟用此選項將禁用對這些檔案的直接訪問。
- 主機系統日誌– 檢視您的託管伺服器的錯誤日誌檔案。
WHOIS查詢
雖然WHOIS查詢不是一項安全功能,但它可以在管理儀表盤中檢視IP地址或域名的詳細資訊。
黑名單管理器
攔截IP地址和使用者代理訪問您的站點。可以使用萬用字元輸入IP地址,例如 195.*.*.* 或 195.47.*.*。使用者代理部分只有在它有單詞的情況下才會起作用,如果使用者代理名稱有帶有 \ 的單詞,那麼外掛似乎不起作用。
防火牆
這是您需要仔細啟用的部分,並檢查它是否會影響您網站的可訪問性。檢視我們關於使用帶有AIOWPS外掛的防火牆選項的單獨詳細文章。
暴力破解
暴力破解是一種嘗試通過試錯法訪問受密碼保護的頁面的方法。AIOWPS外掛有多個選項可以阻止對您的WordPress網站的暴力攻擊。我們有一篇詳細的文章解釋了如何使用AIOWPS和Jetpack外掛來阻止暴力攻擊。
垃圾評論攔截
AIOWPS外掛有助於阻止機器人提交的垃圾評論,並允許在評論表單上新增驗證碼。瞭解有關使用AIOWPS外掛攔截評論垃圾郵件的更多資訊。
掃描器
在此部分下您有兩個選項——一個是免費使用的,另一個是付費的附加元件。
- 檔案更改檢測– 為您的站點啟用自動檔案更改檢測掃描,其中包含要檢查的副檔名列表和要排除的目錄。
- 惡意軟體掃描– 這是第三方網站的付費外掛,用於掃描您的網站以進行惡意軟體檢測。
維護
當您的站點因維護而停機且使用者無法訪問時,請啟用維護模式。理想情況下,維護模式和安全性之間沒有關係,除非您的站點已經受到影響並且您希望讓使用者遠離訪問內容。
其他雜項
AIOWPS外掛雜項設定
- 複製保護 – 禁用右鍵單擊您的網站,這樣使用者將無法複製內容。
- 框架 – 禁止其他網站在框架內顯示您的內容。
- 使用者列舉——禁止使用“yoursite.com/?author=name”之類的連結直接訪問作者詳細資訊。啟用後,如果有人試圖在瀏覽器位址列中獲取作者詳細資訊,外掛將丟擲如下錯誤:
通過連結禁止作者資訊
解除安裝AIOWPS外掛
這個外掛的安裝會新增備份目錄和多個MYSQL表。因此,僅解除安裝和刪除外掛不會完全從您的站點中刪除外掛檔案。最好的方法是按照以下分步流程進行操作:
- 禁用“WP Security > Settings > General Settings”下的所有安全和防火牆設定。
- 從儀表盤解除安裝外掛。
- 從儀表盤中刪除外掛檔案。
- 通過FTP連線到您的託管伺服器並刪除外掛儲存的備份檔案。
- 從“cPanel”開啟“phpMyAdmin”並從站點資料庫中刪除外掛表。
如果您在訪問站點時遇到任何問題,請在安裝外掛之前嘗試從備份中恢復“.htaccess”和“wp-config.php”檔案。
評論留言