关于Wordfence插件
Wordfence是一款专为WordPress网站设计的安全插件。
它的作用是保护网站免受各种网络攻击、恶意软件、垃圾邮件、暴力破解等威胁。
它集成了防火墙、恶意软件扫描、登录保护等多种安全功能,是 WordPress网站最受欢迎的安全插件之一。
Wordfence免费版提供基本的安全功能,包括防火墙、恶意软件扫描、登录安全等。
Wordfence付费版包括更多高级功能,如实时威胁情报、实时流量监控、更强的防火墙规则和更频繁的恶意软件扫描等。
本次教程介绍的就是免费版,免费版的功能已经足够一些中小站点使用了。
Wordfence使用教程
安装Wordfence插件
在WP后台 – 插件 – 安装新插件,搜索Wordfence即可安装。
安装并启用Wordfence后,点击获取Wordfence许可证。
选择免费版Wordfence
跳转到套餐选择页面后,选择免费套餐。
点击 I’m OK waiting 30 days for protection from new threats
输入你的邮箱,选择Yes,勾选用户协议后,点击Register。
安装许可证
然后你填写的邮箱会收到Wordfence的确认邮件。
打开邮箱,找到该邮件,点击Install My License Automatically。
会跳转到WP后台Wordfence页面,已经自动填充好了许可证,点击安装即可。
许可证安装完成后,点击前往仪表盘。
优化Wordfence防火墙
点击仪表盘上方的防火墙配置,如果你关闭了这个提示,可以在Wordfence的防火墙菜单里点击【管理防火墙 – 优化WORDFENCE防火墙】。
会根据你的服务器自动选择对应的配置,只需要点击继续即可。
安装成功后需要等待几分钟。
Wordfence防火墙功能
接着点击【防火墙 – 管理防火墙】,了解防火墙的一些设置。
高级防火墙选项
在Wordfence高级防火墙选项里可以填写IP白名单,这些IP用户不受其他防护规则的限制。
允许列出的服务是指让一些爬虫不受规则的限制,例如:网站被分享在社媒上点击过多导致Wordfence误判被攻击,避免禁用社媒的访问。可以理解成应用白名单。
立即屏蔽访问这些URL的IP,这个功能像是在钓鱼,如果一些恶意访问的爬虫或者攻击者访问了你设置的URL,就会直接屏蔽这些人的IP。
忽略 WordfenceWeb 应用进程防火墙警报的 IP 地址,也是白名单的一种,如果你自己网站上设置了自动程序多次爬取你的网站,Wordfence会向你发送警报,如果你把自动程序的IP填在这里,就不会引起警报。
说到IP,Well建议使用宝塔面板的朋友们要设置好禁止通过IP访问网站。
强力保护
强力保护就是防止暴力破解密码,这个功能里的设置比较好理解:
- 在登录失败次数后锁定,在密码输错到指定次数后,直接就锁定该IP地址(锁定时间根据下面的用户被锁定时长)
- 在多少忘记密码尝试后锁定,限制通过“忘记密码”找回密码的使用次数。
- 在多长时间段内的达到失败,意思是登录失败的次数在多少时间内,比如4小时内有人登录失败了20次,那他的IP就被封了。
- 用户被锁定的时长,设置IP被封多久。
- 立即锁定无效的用户名,勾选后,如果有人使用网站没有的用户名进行登录,直接封IP。这个功能要谨慎使用,因为你自己有时候也会不小心输错用户名。
- 立即屏蔽尝试以这些用户名登录的用户的 IP,也是个钓鱼功能,你可以自己创建一些用户名,如果有人用这些用户名登录,直接就封他的IP。
限速
限速功能比较简单容易理解,Well就不做过多解释了,但是要谨慎设置,如果不懂不建议开启,有可能会给一些正规爬虫给限速了,影响网站收录。
允许的网站
允许的网站功能就是设置URL白名单,在这里添加的URL,防火墙不会做限制访问。
扫描功能
扫描属于Wordfence的核心功能之一:
- Wordfence 会扫描网站的文件和数据库,查找是否存在恶意软件、病毒、后门、可疑文件等安全威胁。
- 会检查网站的插件、主题和核心 WordPress 文件,确保它们是最新的,并且没有已知的安全漏洞。
- 插件会对网站的所有文件进行比对检查,确保文件没有被篡改。
上图就是Wordfence扫描的结果,列出了具体的插件或者文件的危险等级。
还可以点击扫描页面的【扫描选项和计划】进行扫描计划设置。
以上就是Wordfence使用教程的全部内容。
除了使用插件以外,还有其他保护WordPress网站免受攻击的方式,多种方法结合使用,安全性更高。