WordPress本身是一个非常安全的平台,如果你在使用最新版本的wordpress,并遵循了良好的安全规范,比如使用高强度的密码、及时备份网站数据等,那么可以认为网站基本是安全的。至少在面对暴力破解时,网站不会马上沦陷。
问题是,这种安全措施的能力还是比较单一和薄弱的。如果我们想网站具备真正抵御不同网络攻击的能力,就需要面对不同的安全问题采取不同的安全措施。比如前面提到的《32步wordpress网站安全终极检查清单》。当然,我们也可以通过使用安全插件实现这些功能,为站点添加一些额外的安全策略和防火墙。从而把我们的网站安全带到一个全新的水平。
今天推荐这款插件叫All In One WP Security。这是一款全方位的安全插件,它安全措施涵盖了网站安全的各个方面,除了保护用户账号的安全、注册登录的安全、数据库的安全、文件系统安全,还包括了WHOIS查询、黑名单管理、防火墙防护、暴力破解防护、垃圾评论防护、安全扫描器等功能。
而我们常见的修改默认登录用户名,修改数据库前缀、限制登录尝试、修改登录地址统统都可以在插件里面一键完成,避免了直接修改wordpress内核文件和数据库带来的麻烦和风险。
All In One WP Security还使用前所未有的安全评分系统,根据您激活的安全措施来衡量您对站点的保护程度。可以理解为插件版的《wordpress网站安全检查清单》了。
All In One WP Security的安全和防火墙规则分为“基本”、“中级”和“高级”。通过这种方式,您可以逐步应用防火墙规则,而不会破坏站点的功能。
下面是这个插件提供的安全和防火墙措施列表:
一、用户帐户的安全
1、检测网站正在使用的admin登录用户名,并且可以轻松地将用户名更改为您选择的值。
2、检测网站是否有登录名和显示名相同的账户。因为帐户的显示名称与登录名称相同,直接暴露了登录用户名,让黑客的暴力破解难度降低了一半以上。
3、密码强度工具,可以帮你检测密码的强度,以及检测暴力破解该密码所需的时间,让您创建非常强大的密码。
4、阻止用户枚举。所以用户/机器人不能通过作者永久链接发现用户信息。
二、用户登录安全
1、限制登录尝试
使用登录锁定功能防止“暴力登录攻击”。具有特定IP地址或范围的用户将根据配置设置被锁定在系统外的预定时间内,您也可以选择邮件功能通知,当有人因为登录次数过多而被锁定时,通过电子邮件发送。作为管理员,您可以查看所有锁定用户的列表,这些用户显示在一个易于阅读和导航的表中,该表还允许您在单击按钮时解锁单个或批量IP地址。
2、登录表单黑、白名单
允许您在一个特殊的白名单中指定一个或多个IP地址。白名单IP地址将有权访问您的WP登录页面。黑名单则反之。
3、使用登录验证码
可以一键在WordPress登录表单中添加谷歌验证码或普通数学验证码。
三、用户注册安全
1、注册用户需管理员审核
启用WordPress用户帐户的手动审批。如果你的网站允许人们通过WordPress注册表单创建他们自己的账户,那么你可以通过手动批准每个注册来最小化垃圾邮件或虚假注册。
2、使用注册验证码
能够添加谷歌验证码或普通数学验证码到WordPress的用户注册页面,以保护您免受垃圾用户注册。能够添加蜜罐到WordPress的用户注册表,以减少机器人的注册尝试。
四、数据库安全
1、一键修改数据库前缀
通过单击按钮,可以轻松地将默认的WP前缀设置为您选择的值。
2、数据库自动备份
支持设置数据库自动备份和电子邮件通知,支持勾选数据库备份直接发送到管理员邮箱。
五、文件系统安全
1、一键修改不安全的文件权限
识别具有不安全权限设置的文件或文件夹,单击按钮将权限设置为推荐的安全值。
2、一键禁用后台文件编辑
禁用WordPress后台的文件编辑,保护您的PHP代码不被篡改。
3、轻松查看主机系统日志
从一个菜单页轻松地查看和监视所有主机系统日志,并随时了解服务器上发生的任何问题,以便能够快速地解决它们。
4、阻止人们访问自述文件。
阻止用户和搜索引擎访问html、许可证、txt和wp-config-samp、WordPress站点的php文件等。
5、htaccess和wp-config.php文件备份和还原
轻松备份您原来的.htaccess和wp-config.php文件,以防您需要使用它们来恢复损坏的功能。
修改当前活动的.htaccess或wp-config.php中的内容。
六、黑名单功能
1、禁止指定IP地址(或指定IP范围)的用户访问我们的网站。
2、禁止指定用户代理服务器的用户访问我们的网站。或者直接禁止使用代理服务器的用户访问我们的网站。
七、防火墙功能
此插件允许您通过 htaccess 文件轻松地为您的站点添加大量防火墙保护,所以这些防火墙规则会在更改您站点上的 WordPress 代码之前停止恶意脚本。
1、访问控制设备,指定哪些设备可登录你的网站。
2、立即激活选择的防火墙设置,从基础,中级和高级。
3、启用著名的“6G黑名单”防火墙规则;
4、禁止使用代理服务器发表评论。
5、阻塞对调试日志文件的访问。
6、禁用跟踪和跟踪。
7、拒绝坏的或恶意的查询字符串。
8、通过激活全面的高级字符串过滤器来防止跨站点脚本(XSS)。或者是那些在浏览器中没有特殊cookie的恶意机器人。您(网站管理员)将知道如何设置这个特殊的cookie,并能够登录到您的网站。
9、WordPress ping - back漏洞保护功能。这个防火墙特性允许/用户禁止访问xmlrpc.php文件,以防止ping - back功能中的某些漏洞。这也有助于阻止机器人不断访问xmlrpc.php文件和浪费您的服务器资源。
10、能够阻止假冒的Googlebots爬取你的网站。
11、防止图像盗链的能力。用这个来防止别人从盗链你的图像。
12、能够记录您的站点上所有的404事件,您还可以选择自动阻止过多攻击404的IP地址。
13、能够添加自定义规则来阻止对站点各种资源的访问。
八、暴力登陆攻击防范
1、限制登录尝试
设置限制登录尝试,可以阻止基于大量登录尝试的攻击。还支持勾选输错用户名一次马上锁定IP。管理员可以轻松设置锁定时间。(需要注意的是,这个功能“六亲不认”,只认正确的用户名和密码。就算管理员自己输错用户名也会被马上锁定,谨慎选择是否勾选。)
2、添加登录验证码
能够添加一个简单的数学验证码到WordPress登录表单,以对抗暴力登录攻击。
3、隐藏管理员登录地址
支持一键重命名你的WordPress登录页面URL,这样机器人和黑客就不能访问你真正的WordPress登录URL。该功能允许您将默认登录页面(wp-login.php)更改为您配置的内容。
还能够使用登录蜜罐,这将有助于减少蛮力登录机器人的尝试。
九、Whols查询
对可疑主机或IP地址执行WhoIs查找,并获得详细信息。
十、安全扫描器
1、监测文件修改
如果您的WordPress系统中有任何文件被修改,文件更改检测扫描程序可以提醒您。然后,您可以检查,看看这些修改是否是合法修改。防止一些恶意的代码被注入。
2、监测数据库的修改
数据库扫描功能可以用来扫描数据库表。它将在一些WordPress核心表中查找任何常见的可疑字符串、JavaScript和html代码。
十一、垃圾评论防护
1、监控垃圾评论并加以阻止
监控最活跃的IP地址,该地址会持续产生最多的垃圾评论,并立即通过单击按钮阻止它们。
2、拦截非人为的僵尸评论
防止评论被提交,如果它不是来自您的域(这应该减少一些垃圾邮件僵尸评论张贴在您的网站)。
3、添加评论表单验证码
在你的wordpress评论表单中添加一个验证码来增加评论垃圾邮件的安全性。
4、自动并永久阻止超过一定数量垃圾评论的IP地址。
十二、前端文本复制保护
能够在网站前端禁用右击,文本选择和复制选项。
十三、定期更新和添加新的安全功能
由于WordPress的安全性不是一劳永逸的,而是是随着时间发展的。好消息是,这不仅是一款功能强大的安全插件,而且是有专家团队在更新的安全插件,插件的所有安全功能都会定期进行更新和维护。这可以保证我们我们的站点将处于安全保护技术的前沿。
总的来说,All In One WP Security是一款全方位的wordpress的安全插件,几乎考虑到了大部分的安全风险,可以全方位、无死角的对wordpress的进行防护。非常难得的是这款插件完全免费。墙裂推荐!
下载插件
百度网盘下载:https://pan.baidu.com/s/1zPpzzid8_6Qb07Mc1B-6iQ
官方地址:https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/