關於Wordfence插件
Wordfence是一款專為WordPress網站設計的安全插件。
它的作用是保護網站免受各種網路攻擊、惡意軟體、垃圾郵件、暴力破解等威脅。
它整合了防火牆、惡意軟體掃描、登入保護等多種安全功能,是WordPress網站最受歡迎的安全性外掛程式之一。
Wordfence免費版提供基本的安全功能,包括防火牆、惡意軟體掃描、登入安全性等。
Wordfence付費版包括更多高級功能,如即時威脅情報、即時流量監控、更強的防火牆規則和更頻繁的惡意軟體掃描等。
本次教學介紹的就是免費版,免費版的功能已經足夠一些中小站點使用了。
Wordfence使用教學課程
安裝Wordfence插件
在WP後台– 插件– 安裝新插件,搜尋Wordfence即可安裝。
安裝並啟用Wordfence後,點選取得Wordfence授權。
選擇免費版Wordfence
跳到套餐選擇頁面後,選擇免費套餐。
點擊 我可以等待 30 天來防禦新威脅
輸入你的信箱,選擇Yes,勾選使用者協議後,點選Register。
安裝許可證
然後你填寫的信箱會收到Wordfence的確認郵件。
打開信箱,找到該郵件,點選Install My License Automatically。
會跳到WP後台Wordfence頁面,已經自動填入了許可證,點選安裝即可。
許可證安裝完成後,點選前往儀錶板。
最佳化Wordfence防火牆
點選儀錶板上方的防火牆配置,如果你關閉了這個提示,可以在Wordfence的防火牆選單裡點選【管理防火牆– 優化WORDFENCE防火牆】。
會根據你的伺服器自動選擇對應的配置,只需要點擊繼續即可。
安裝成功後需要等待幾分鐘。
Wordfence防火牆功能
接著點選【防火牆– 管理防火牆】,了解防火牆的一些設定。
進階防火牆選項
在Wordfence進階防火牆選項裡可以填寫IP白名單,這些IP使用者不受其他防護規則的限制。
允許列出的服務是指讓一些爬蟲不受規則的限制,例如:網站被分享在社媒上點擊過多導致Wordfence誤判被攻擊,避免禁用社媒的訪問。可以理解成應用白名單。
立即屏蔽訪問這些URL的IP,這個功能像是在釣魚,如果一些惡意訪問的爬蟲或攻擊者訪問了你設定的URL,就會直接屏蔽這些人的IP。
忽略WordfenceWeb 應用程式防火牆警報的IP 位址,也是白名單的一種,如果你自己網站上設定了自動程式多次爬取你的網站,Wordfence會向你發送警報,如果你把自動程式的IP填在這裡,就不會引起警報。
說到IP,Well建議使用寶塔面板的朋友要設定好禁止透過IP造訪網站。
強力保護
強力保護就是防止暴力破解密碼,這個功能裡的設定比較好理解:
- 登入失敗次數後鎖定,密碼輸錯到指定次數後,直接就鎖定該IP位址(鎖定時間根據下面的使用者被鎖定時長)
- 在多少忘記密碼嘗試後鎖定,限制透過「忘記密碼」找回密碼的使用次數。
- 在多長時間段內的達到失敗,意思是登入失敗的次數在多少時間內,例如4小時內有人登入失敗了20次,那他的IP就被封了。
- 使用者被鎖定的時長,設定IP被封多久。
- 立即鎖定無效的使用者名稱,勾選後,如果有人使用網站沒有的使用者名稱登入,直接封IP。這個功能要謹慎使用,因為你自己有時候也會不小心輸錯使用者名稱。
- 立即封鎖嘗試以這些使用者名稱登入的使用者的IP,也是個釣魚功能,你可以自己創建一些用戶名,如果有人用這些用戶名登錄,直接就封他的IP。
限速
限速功能比較簡單容易理解,Well就不做過多解釋了,但是要謹慎設置,如果不懂不建議開啟,有可能會給一些正規爬蟲給限速了,影響網站收錄。
允許的網站
允許的網站功能就是設定URL白名單,這裡新增的URL,防火牆不會做限制存取。
掃描功能
掃描屬於Wordfence的核心功能之一:
- Wordfence 會掃描網站的檔案和資料庫,以尋找是否有惡意軟體、病毒、後門、可疑檔案等安全威脅。
- 會檢查網站的外掛程式、主題和核心WordPress 文件,確保它們是最新的,並且沒有已知的安全漏洞。
- 外掛程式會對網站的所有文件進行比對檢查,確保文件沒有被竄改。
上圖就是Wordfence掃描的結果,列出了具體的插件或文件的危險等級。
也可以點選掃描頁面的【掃描選項和計畫】進行掃描計畫設定。
以上就是Wordfence使用教學的全部。
除了使用外掛以外,還有其他保護WordPress網站免受攻擊的方式,多種方法結合使用,安全性更高。
