所有分类
  • 所有分类
  • WP插件Pro
  • HTML模板
  • 微信小程序模板
  • 源码

WordFence Security 教程:强大 WordPress 安全性资安插件(完整设置)

这是一篇完整的 WordFence Security 教程 。

定期备份 网站是重要的,这是防范网站有什么意外的最后一个盾牌,因为网站出问题随时都能还原。

如果你搭配的 WordPress 主机,有帮忙做定期备份那更好,这表示你买了双重保险。

当确认有完整备份,接着站长们可能会需要一个 WordPress 安全性插件(因为没人想网站动不动就出问题吧 .. ),确保你的网站能抵档外来的攻击。

像是暴力登录、恶意流量攻击、恶意软件漏洞等 ..,这些都是常见的攻击手法,稍微一不注意可能就会让站长多年的心写,都功亏一溃 ..。

这也是为什么我会写这篇文章的原因,WordFence 是热门的 WordPress 资安插件(下面有更详细介绍),它有提供免费版可使用,且免费版功能就很完整,非常适合站长们使用。

好啰,这篇文章我会带大家从 WordFence 插件安装,到相关设定的调整,都会尽量的与你分享,目录如下:

  • 1. WordFence 是什么?
  • 2. 安装 WordFence 插件
  • 3. 配置网站防火墙(Firewall)
  • 4. 网站漏洞扫描(Scan)
  • 5. 实时流量监测(Tools > Live Traffic)
  • 6. 两阶段身份认证(Two-Factor Authentication)
  • 7. reCAPTCHA 验证设定
  • 8. 配置设置(All Options)
  • 9. 还有什么需注意的?
  • 常见问题
  • WordPress 学习资源

那我们就开始学习啰:)


1. WordFence 是什么?

WordFence 专业的资安+防毒插件
WordFence 专业的资安+防毒插件

WordFence Security 是一款 WordPress 非常热门的安全性插件(高达 400w 次下载),提供多种网站资安防护,帮助站长抵挡外来的恶意攻击。 更多完整 WordFence 资安教程。

你也可以搭配 WordFence 详细影片学习,方便更进入状况。

网站防火墙(Web Application Firewall,简称 WAF)

WordFence 的网站防火墙是它的强项之一,这跟一般单纯只提醒资安相关问题的插件不同,因为能把网站防火墙完整处理好,并能防范最新攻击,是需要强大的资安技术。

它们团队花了大把时间在防火墙的更新维护上(看 WordFence 插件内,有超多的防火墙规则就知道 .. ),确保能帮 WordPress 站长,抵挡最新的恶意攻击&恶意流量。

而 WordFence 采用的是端点防火墙,等于说它在你的网站统一把关,确保不会有任何黑客绕过防护,杜绝所有的漏洞。

恶意软件扫描(网站漏洞扫描)

WordFence 提供全站扫描机制,能帮你找出可能潜在资安漏洞,不论是网站上现有的主题或网站插件(恶意软件扫描)。

或是站长可能过去有安装一些主题或插件,但是已经删除不用了,但旧文档还是存留在网站中,这些都可能成为潜在的风险。

WordFence 会帮你进行全盘的检查(可自行选择扫描程度,有点类似防毒软件),对有问题的文档进行警告,并提供相关处理的方法。

如果 WordPress 核心程序(就是直接从 WordPress.org 下载的那包文档)有被进行变更,WordFence 同样也会提醒你注意。

还有访客相关的留言、评论等,是否有可疑的留言或链接,也会同步警告。

后台登录防护

WordFence 有提供两阶段的身份认证(2FA),站长可用像是 Google Authenticator 进行第二步认证,强化网站安全性。

登录页面也提供 Google reCAPTCHA 整合,能帮助站长阻止僵尸程序登录。

WordFence也对试图暴力登录进行IP封锁,还有站长可设定尝试登入几次失败,则进行动作封锁,让有意人士无法操作。

多种资安控管功能

  • 实时流量监控:这是 WordFence 用来帮你统计网站上目前的流量状况,像是用户登录、恶意访问来源、被封锁的用户等 ..,让你进一步了解目前网站状况。
  • 用户IP封锁器:设定想阻挡的恶意IP,让他无法再访问你的网站。
  • 还有多种设定:完整的资安功能设定,站长可依照需求调整。

如果你有预算考量,WordFence 会是你的最佳选择,因为它的免费版就十分强大。

特色评论

WordFence 拥有端点网站防火墙、网站弱点扫描+处理、实时流量监测 ..。

免费版就很强大,但进阶版提供更实时的 IP 黑名单更新、实时防火墙规则、实时恶意软件签名,进阶版费用可至 官方网站 查询。


2. 安装 WordFence 插件

这章节开始安装 WordFence 插件。

前往 WordPress 插件 > 安装插件,搜索 WordFence 关键字,然后安装+启用。

WordFence Security 教程 :WordFence 插件安装
WordFence Security 教程 :WordFence 插件安装

填入你的信箱,这个信箱请务必留你会使用的,因为如果有网站上的资安通知,WordFence 会发信件通知你。

可选择是否收到 WordFence 寄过来的 WordPress 相关资安通知,如果选择 YES 请记得到 Email 打开信件,点击里面的链接激活。

勾选服务条款,完成后下一步。

WordFence Security 教程 : WordFence 注册申请
WordFence 注册申请

这是填入 WordFence 进阶版凭证的地方,如果你有购买可在这输入,如果没有的话点 No Thanks。

WordFence Security 教程 : WordFence 插件安装
WordFence 插件安装

接着,如果 WordFence 会自动导向到 Dashboard 仪表板,就会看到非常多资安功能出现了:)

如果没有自动导向的话,就点击前往 WordFence > Dashboard,也会前往仪表板唷。

WordFence Security 教程 :WordFence 仪表板页面
WordFence 仪表板页面

3. 配置网站防火墙(Firewall)

WordFence 安装完成,首要做的是就是配置网站防火墙(这也是 WordFence 最重要的功能)。

我们也会看到 Dashboard 也有提示,点击 Click Here To Configure 前往设置。

备注:另一个提示是询问,是否开启 WordFence 插件的自动更新功能,两个选择都可以,依照你的需求即可。

WordFence 开始配置网站防火墙
WordFence 开始配置网站防火墙

接着,会前往防火墙的配置项(或是前往 WordFence > Firewall),这里可选择需配置的服务器,但 WordFence 默认会帮你侦测最适合的类型,没特别需求就用预设即可。

网站防火墙开始正式配置前,WordFence 会要求你下载 .htaccess 文档(因为开始配置后会改写里面的内容),那因为我的主机类型还有一份文档需下载,如果你的没有就不用理会。

总之都下载起来备份,然后点下一步继续。

优化 WordFence 防火墙配置
优化 WordFence 防火墙配置

这样网站防火墙(Web Application Firewall)就配置成功啦,是不是很简单呢。

接下来,我们来了解一下防火墙接口部分,预设的模式是用 Learning Mode(学习模式),这是因为 WordFence 正在学习你网站的操作模式,并会针对你的操作,做出最适合的防火墙配置。

WordFence 默认学习时间是一周,时间到后会自动切换成 Enabled and Protecting(启用和保护模式),并开始在你的网站正式运作防火墙。

WordFence Security 教程 :WordFence 防火墙功能界面
WordFence 防火墙功能接口

但如果你的网站已经遭遇到恶意攻击,才安装 WordFence 打算进行扫毒除错,这时就可直接切换成 Enabled and Protecting 应对(就不需要等学习时间了),免得使用扫毒功能除错完,之后还是遭受到一样的攻击。

WordFence Security 教程 :更改防火墙模式
WordFence Security 教程 :更改防火墙模式

一开始都先建议让 WordFence 使用学习模式,除非有特殊状况再直接运作防火墙。

好啰,以上就是防火墙设定相关教程。


4. 网站漏洞扫描(Scan)

前往 WordFence > Scan,这里面是有关「网站漏洞扫描 」的功能,WordFence 会帮你做全站式的检查。

像是网站主题 / 插件是否存在恶意软件、文档是否存在恶意程序码、访客留言是否存在危险连结等 ..。

执行网站扫描&资安修复

点击 Start New Scan,就能开始网站扫描。

WordFence Security 教程 :执行网站资安扫描
执行网站资安扫描

网站扫描完成后,如果没问题就恭喜你啦,就不需要做额外修复。

但如果你出现相关调整提示,就可依照 WordFence 的建议进行资安调整,像是我这个网站,就是有网站插件&主题还没升级为最新版,所以 WordFence 提示我升级。

有时后会出现红色警告(危险级别比较高),可能是网站有不知名的文档 or 恶意程序码,WordFence 就会提示你将文档删除。

如果是这种状况,就建议直接照 WordFence 的建议处理掉。

依照需求调整扫描等级

WordFence 有提供扫描等级的修改,点击 Manage Scan。

WordFence Security 教程 :設定 WordFence 掃描等級
设定 WordFence 扫描等级

默认会是 Standard Scan(标准扫描),可往上或下向调整。

用 High Sensitivity(高灵敏度扫描)为举例,扫描执行中的主机消耗资源会变多,但扫描会更全面。

WordFence Security 教程 :多种网站扫描等级
多种网站扫描等级

这边顺边分享一个小概念,因为 WordFence 是在你的网站上运作的(非属于云管理),所以任何的执行扫描都会占用主机资源。

除非你遇到重大资安问题,否则会建议用 Standard Scan (标准扫描)就可以了,特别是共享主机,因为共享主机本身的主机资源就有限。 参考主机类型差别。


5. 实时流量监测(Tools > Live Traffic)

前往 WordFence > Tools > Live Traffic,里面最重要功能应该就是 Live Traffic(实时流量监测),会帮你列出用户登录数据、被防火墙阻止的请求、访客 IP 位置等 ..。

WordFence 默认的流量纪录模式是 Security Only,就是只会纪录与安全性相关的流量,其他的数据不会纪录。

WordFence Security 教程 :Live Traffic 实时流量监测
Live Traffic 实时流量监测

Security Only 会是比较推荐的方式(也是 WordFence 默认值),也是最有效率的模式。

All Traffic 则是会纪录大部分的数据,这会很耗费主机资源,除非特殊情况不然不建议使用。


6. 两阶段身份认证(Two-Factor Authentication)

前往 WordFence > Login Security,WordFence 有提供两阶段验证功能(Two-Factor Authentication)。

简单来说就是除了一般的帐密输入,还必须透过第三方给的临时码,才有办法登录到 WordPress 网站。

两阶段身份认证设定

这里我推荐使用 Google Authenticator 这款 APP,苹果 or Android 系统都可下载,下面有设定步骤。

Step1:首先,用这款 APP 扫描 QR Code 做验证。

Step2:下载还原密码,这是如果你不小心遗失手机了,可以用这 5 组密码中其中一组做登录,每组只能使用一次(请把密码保存在安全地方)。

Step3:然后输入APP提供的临时码(有时间限制,会跳动)。

Step4:点击启用。

参考上面流程就可把两阶段身份验证(2FA),给设定完成啰。

当你在 WordPress 后台登录输入帐密后,就会显示这个画面,你就需打开你下载的 Google Authenticator,并输入里面的密码,才有办法登录 WordPress 唷!

相关设定调整

切换到 Login Security > Settings,可对 2FA 的控制权限做调整,依照自己的需求就可以了。

如果你常在固定地方作业,觉得每次都需双重认证很麻烦,就可把地点IP放入到白名单,之后在固定地点,就不会要求你输入了。

WordFence Security 教程 :2FA 相关设定
WordFence Security 教程 :2FA 相关设定

设定完成后,记得点 Save 储存。


7. reCAPTCHA 验证设定

WordFence 和 reCAPTCHA 有良好的整合,激活此功能后,在 WordPress 后台登入&注册页面,就会出现 Google 资安防护功能。

小教程:

reCAPTCHA 是 Google 提供用来分辨登入者是否真实为人类。

目前 reCAPTCHA v3 版本,采用分数制验证系统,对用户在网站上的动作进行评分,若分数过低则会被判定为机器人。

接续上一章的流程,同样在 WordFence > Login Security(登入安全性) > Settings(设定),会看到 reCAPTCHA 相关功能。

首先,把 reCAPTCHA 功能打开,然后前往 Google 申请 reCAPTCHA 凭证(下图第 3 步骤,等凭证申请完后,再回来这里贴上即可)。

WordFence 使用 reCAPTCHA 功能
WordFence 使用 reCAPTCHA 功能

进入后选 v3 Admin Console(不是 Get Started 唷,不然会走到付费流程)。

WordFence 教程:申请 recaptcha 功能
申请 recaptcha 功能

输入标签(可输入网站域,方便辨认用),选择 reCAPTCHA v3,还有网站域&电子邮箱等 ..,完成后送出即可。

接着,就会产生 reCAPTCHA 的网站密钥&密码啦!

只要分别贴到 WordFence 的 reCAPTCHA 相关字段(上面有提到)并进行储存,就顺利激活成功啰。

至于完成品大概就是长这样,就能帮助你在表单提交时,严谨性变得更高了(防范机器人)!


8. 配置设置(All Options)

前往 WordFence > All Options,有多项配置可让站长自行调整,但基本上我会建议都先用预设值即可,除非你很确定用法。

这边跟大家分享,一些我自己有做的小调整,你可以参考并依照自己需求设定。

Email Alert Preferences 信件通知设定

WordFence Security 教程 :信件通知设定
WordFence Security 教程 :信件通知设定

基本上都用预设,只有调整了人员从新设备 or 新位置登录到后台,我才会收到通知(不然每次有人登录,都会收到信件会有点 xxx,特别是网站有多位操作者的状况)。

还有更改了扫描通知级别,改为 Medium 中间等级才会收到信件(默认是 Low 低等级)。

暴力破解防护设定(Brute Force Protection)

WordFence Security 教程 :暴力破解防护设定
暴力破解防护设定

WordFence 默认尝试登录次数好像设满高的,这边我自己是调为 5 次。

基本扫描类型选项(Basic Scan Type Options)

这刚上面有提到过,WordFence 默认是用 Standard 标准扫描,你也可进行调整,设定完成后就会变为默认值。

好啰! 如果设定都调整完毕,记得要储存才会生效唷。


9. 还有什么需注意的?

WordFence 是一款非常棒的 WordPress 资安软件,但需注意 WordFence 是在自己的主机上进行运作,所以使用的都是自己主机的资源(这也是唯一的小缺点)。

所以如果你的主机资源不够,或是有受到管辖(特别是共享主机),在实时流量监测(Live Traffic),记得用比较不耗费资源的方式运作(这上面都有提到),或是进行扫描时避免在访客众多时候操作。

确保网站不会因为使用资源过大,而造成速度变慢,或是被主机商警告的问题。

当然,不论是主题主题 或网站插件,都需审慎挑选,尽量找知名的进行安装,免得产生了安全漏洞。

好啰,以上就是有关于 WordFence 相关的教程,记得 定期备份 是最重要的。

原文链接:https://www.itaoda.cn/blog/11327.html,转载请注明出处。

2
使用和安装有任何问题
请加客服QQ:1442071397 或wechat:pufei889


免责声明

本站所发布的部分内容自网络,该部分内容限用于学习和研究目,有版权问题的,下载后的24个小时之内,从您的电脑中彻底删除。且不得将用于商业或者非法用途,否则,一切后果请用户自负,与本站无关。

评论0

请先
没有账号?注册  忘记密码?

社交账号快速登录

温性提示

演示站服务器在国外,网站打开速度有点慢,请耐心等待

多功能、多行业外贸商城 wordpress商城WOOCOMMERCE

23+
行业模板