安全性是运行WordPress网站的重要因素之一。幸运的是,有许多免费和付费服务可用于保护您的网站并防止黑客和恶意攻击。
在本文中,我们将讨论如何使用All in One WP Security & Firewall插件保护您的WordPress网站。
为什么All in One WP Security & Firewall插件?
有许多流行的安全插件可用,但“All in One WP Security & Firewall”是唯一一个完全免费提供大部分所需功能的插件。
- 该插件有超过400k的活动安装。
- 定期更新并与最新的WordPress版本兼容。
- 来自450多名用户的近5星评级。
- 论坛上体面的在线支持。
安装和激活插件
导航到WordPress管理仪表盘上的“插件 > 安装插件”部分,然后搜索“All in one WP Security”以找到插件。
查找All in One WP Security & Firewall插件
安装并激活插件后,它将创建一个名为“WP Security”的菜单项。它在不同类别下提供详尽的选项来保护您的WordPress网站。
- 仪表盘
- 设置
- 用户帐户
- 用户登录
- 用户注册
- 数据库安全
- 文件系统安全
- WHOIS查询
- 黑名单管理器
- 防火墙
- 蛮力
- 垃圾邮件预防
- 扫描器
- 维护
- 各种各样
这个怎么运作?
该插件适用于积分系统,并为每个安全设置提供积分。它总共增加了470分,并且更多的分增加了您的WordPress网站的安全性。通过启用复选框,只需单击鼠标即可启用大多数选项。您可以单击“更多信息”框以查看该选项的更多详细信息和示例。
启用任何选项之前的注意事项
尽管安全性很重要,并且该插件会试图增加强度计上的分数,但每个设置都可能对您网站的可读性产生不利影响。如果错误启用该选项,也有可能与其他插件发生冲突并锁定您自己的IP。强烈建议在启用任何安全设置之前准备以下内容:
- 备份整个站点和数据库。
- 由于插件在.htaccess文件中创建条目,备份.htaccess文件将有助于恢复原始设置。
- 备份wp-config.php文件。
- 确保您可以通过FTP访问您的托管服务器。这将有助于在紧急情况下替换文件。
总之,备份您的所有站点内容并仅启用您需要的安全选项。也建议在启用防火墙、用户注册审批等功能后验证网站的可访问性。
仪表盘
仪表盘显示指示站点安全点的强度计。这些点也显示在明细表中,指示选项之间的权重和分布。
All in One WP Security & Firewall插件仪表盘
您可以直接从仪表盘启用一些选项,例如维护模式、禁用“管理员”用户名、启用基本防火墙等。我们建议不要直接在仪表盘上启用任何设置。转到个人设置页面并仅在需要时启用。
以下是仪表盘选项卡上可用的其他详细信息:
- 系统信息——显示您的WordPress安装、PHP版本和活动插件详细信息的完整详细信息。
- 锁定的IP地址– 如果在“User Login”选项卡下启用该选项,则显示锁定的 IP 地址列表。
- 永久阻止列表– 显示因垃圾评论而永久拦截的IP地址列表。该选项可以在“SPAM Prevention > Comment SPAM IP Monitoring”下启用。
- AIOWPS日志– 您可以在此处查看插件的安全日志文件。
设置选项卡
“设置”选项卡提供备份和高级选项,例如导入/导出插件的所有设置。
AIOWPS设置选项卡
- 常规设置 – 在这里您可以一键禁用插件的所有安全功能和防火墙设置。当您的网站因插件设置而损坏时,这将是必需的。您还可以启用/禁用插件的调试选项。
- .htaccess文件– 如上面的预防措施部分所述,强烈建议在启用任何安全和防火墙设置之前备份.htaccess文件。您还可以从备份中恢复.htacess文件。
- wp-config.php文件– 类似于.htaccess文件,在此选项卡下您可以备份和恢复 wp-config.php 文件。
- WP版本信息– WordPress自动生成版本号并使用元标记在每个页面上显示。当您使用最新的WordPress版本时,显示版本号不是问题。但是,如果您没有更新到最新版本并使用任何旧版本,那么黑客可以通过查找版本号轻松定位您的网站。您可以在此选项卡下隐藏版本。
- 导入/导出– 导入或导出整个插件设置。
用户帐户
您在用户帐户部分有三个选项。
- WP用户名 – 在这里您可以将名称为“admin”的用户更改为所需的名称。
- 显示名称– 检查具有相同登录名和显示名称的用户列表。一般不建议使用相同的显示名和登录名,以免黑客猜测登录名。这不是一个重要的设置,因为只需检查文章作者就很容易找到登录名。
- 密码– 检查您的密码强度,仪表将显示黑客猜出您的密码需要多长时间。
用户登录
用户登录部分允许使用以下设置控制用户登录到您的站点:
AIOWPS插件用户登录设置
- 登录锁定– 在一定次数的不成功尝试后启用锁定用户。此功能有助于停止所有机器人并在某些用户 ID 被锁定时发送电子邮件通知。
- 登录失败记录– 查看失败的登录尝试以及IP地址和用户名。
- 强制注销– 启用此选项可在一定时间后强制注销所有用户。
- 帐户活动日志– 查看登录到您网站的最后50个用户ID的列表。
- 登录用户– 查看当前登录您网站的用户。
用户注册
在此部分下,您可以手动批准尝试在您的网站上注册的用户,并在默认的WordPress注册表单上添加验证码。当您有电子商务插件用于在您的网站上销售商品并进行用户注册时,启用此功能将阻止实际客户,因为他们将无法自动注册。因此,当您出于任何其他目的需要具有自动注册功能时,请勿启用此功能。
数据库安全
默认情况下,WordPress为所有数据库表添加前缀“wp_”。在此部分下,您可以将默认值更改为随机前缀,这将提高您网站的安全性。您还可以定期安排数据库备份和电子邮件备份。
据我们检查,电子邮件功能似乎不适用于此插件。因此,不要回复此插件进行备份,还有许多其他可用于WordPress的专用备份解决方案。
文件系统安全
您在文件系统安全部分有以下四个选项。
- 文件权限– 检查您的WordPress安装的所有文件和文件夹是否具有读/写访问权限并设置正确的权限。
- PHP文件编辑– 从仪表盘禁用文件编辑。此选项将删除“编辑器”菜单以直接从仪表盘编辑主题和插件文件。
- WP文件访问——黑客可以使用readme.html、licence.txt和wp-config-sample.php文件获取有关WordPress安装的更多信息。启用此选项将禁用对这些文件的直接访问。
- 主机系统日志– 查看您的托管服务器的错误日志文件。
WHOIS查询
虽然WHOIS查询不是一项安全功能,但它可以在管理仪表盘中查看IP地址或域名的详细信息。
黑名单管理器
拦截IP地址和用户代理访问您的站点。可以使用通配符输入IP地址,例如 195.*.*.* 或 195.47.*.*。用户代理部分只有在它有单词的情况下才会起作用,如果用户代理名称有带有 \ 的单词,那么插件似乎不起作用。
防火墙
这是您需要仔细启用的部分,并检查它是否会影响您网站的可访问性。查看我们关于使用带有AIOWPS插件的防火墙选项的单独详细文章。
暴力破解
暴力破解是一种尝试通过试错法访问受密码保护的页面的方法。AIOWPS插件有多个选项可以阻止对您的WordPress网站的暴力攻击。我们有一篇详细的文章解释了如何使用AIOWPS和Jetpack插件来阻止暴力攻击。
垃圾评论拦截
AIOWPS插件有助于阻止机器人提交的垃圾评论,并允许在评论表单上添加验证码。了解有关使用AIOWPS插件拦截评论垃圾邮件的更多信息。
扫描器
在此部分下您有两个选项——一个是免费使用的,另一个是付费的附加组件。
- 文件更改检测– 为您的站点启用自动文件更改检测扫描,其中包含要检查的文件扩展名列表和要排除的目录。
- 恶意软件扫描– 这是第三方网站的付费插件,用于扫描您的网站以进行恶意软件检测。
维护
当您的站点因维护而停机且用户无法访问时,请启用维护模式。理想情况下,维护模式和安全性之间没有关系,除非您的站点已经受到影响并且您希望让用户远离访问内容。
其他杂项
AIOWPS插件杂项设置
- 复制保护 – 禁用右键单击您的网站,这样用户将无法复制内容。
- 框架 – 禁止其他网站在框架内显示您的内容。
- 用户枚举——禁止使用“yoursite.com/?author=name”之类的链接直接访问作者详细信息。启用后,如果有人试图在浏览器地址栏中获取作者详细信息,插件将抛出如下错误:
通过链接禁止作者信息
卸载AIOWPS插件
这个插件的安装会添加备份目录和多个MYSQL表。因此,仅卸载和删除插件不会完全从您的站点中删除插件文件。最好的方法是按照以下分步流程进行操作:
- 禁用“WP Security > Settings > General Settings”下的所有安全和防火墙设置。
- 从仪表盘卸载插件。
- 从仪表盘中删除插件文件。
- 通过FTP连接到您的托管服务器并删除插件存储的备份文件。
- 从“cPanel”打开“phpMyAdmin”并从站点数据库中删除插件表。
如果您在访问站点时遇到任何问题,请在安装插件之前尝试从备份中恢复“.htaccess”和“wp-config.php”文件。
原文地址:https://www.wbolt.com/all-in-one-wp-security-and-firewall.html