这是一篇完整的 WordFence Security 教程 。
定期备份 网站是重要的,这是防范网站有什么意外的最后一个盾牌,因为网站出问题随时都能还原。
如果你搭配的 WordPress 主机,有帮忙做定期备份那更好,这表示你买了双重保险。
当确认有完整备份,接着站长们可能会需要一个 WordPress 安全性插件(因为没人想网站动不动就出问题吧 .. ),确保你的网站能抵档外来的攻击。
像是暴力登录、恶意流量攻击、恶意软件漏洞等 ..,这些都是常见的攻击手法,稍微一不注意可能就会让站长多年的心写,都功亏一溃 ..。
这也是为什么我会写这篇文章的原因,WordFence 是热门的 WordPress 资安插件(下面有更详细介绍),它有提供免费版可使用,且免费版功能就很完整,非常适合站长们使用。
好啰,这篇文章我会带大家从 WordFence 插件安装,到相关设定的调整,都会尽量的与你分享,目录如下:
- 1. WordFence 是什么?
- 2. 安装 WordFence 插件
- 3. 配置网站防火墙(Firewall)
- 4. 网站漏洞扫描(Scan)
- 5. 实时流量监测(Tools > Live Traffic)
- 6. 两阶段身份认证(Two-Factor Authentication)
- 7. reCAPTCHA 验证设定
- 8. 配置设置(All Options)
- 9. 还有什么需注意的?
- 常见问题
- WordPress 学习资源
那我们就开始学习啰:)
1. WordFence 是什么?
WordFence Security 是一款 WordPress 非常热门的安全性插件(高达 400w 次下载),提供多种网站资安防护,帮助站长抵挡外来的恶意攻击。 更多完整 WordFence 资安教程。
你也可以搭配 WordFence 详细影片学习,方便更进入状况。
网站防火墙(Web Application Firewall,简称 WAF)
WordFence 的网站防火墙是它的强项之一,这跟一般单纯只提醒资安相关问题的插件不同,因为能把网站防火墙完整处理好,并能防范最新攻击,是需要强大的资安技术。
它们团队花了大把时间在防火墙的更新维护上(看 WordFence 插件内,有超多的防火墙规则就知道 .. ),确保能帮 WordPress 站长,抵挡最新的恶意攻击&恶意流量。
而 WordFence 采用的是端点防火墙,等于说它在你的网站统一把关,确保不会有任何黑客绕过防护,杜绝所有的漏洞。
恶意软件扫描(网站漏洞扫描)
WordFence 提供全站扫描机制,能帮你找出可能潜在资安漏洞,不论是网站上现有的主题或网站插件(恶意软件扫描)。
或是站长可能过去有安装一些主题或插件,但是已经删除不用了,但旧文档还是存留在网站中,这些都可能成为潜在的风险。
WordFence 会帮你进行全盘的检查(可自行选择扫描程度,有点类似防毒软件),对有问题的文档进行警告,并提供相关处理的方法。
如果 WordPress 核心程序(就是直接从 WordPress.org 下载的那包文档)有被进行变更,WordFence 同样也会提醒你注意。
还有访客相关的留言、评论等,是否有可疑的留言或链接,也会同步警告。
后台登录防护
WordFence 有提供两阶段的身份认证(2FA),站长可用像是 Google Authenticator 进行第二步认证,强化网站安全性。
登录页面也提供 Google reCAPTCHA 整合,能帮助站长阻止僵尸程序登录。
WordFence也对试图暴力登录进行IP封锁,还有站长可设定尝试登入几次失败,则进行动作封锁,让有意人士无法操作。
多种资安控管功能
- 实时流量监控:这是 WordFence 用来帮你统计网站上目前的流量状况,像是用户登录、恶意访问来源、被封锁的用户等 ..,让你进一步了解目前网站状况。
- 用户IP封锁器:设定想阻挡的恶意IP,让他无法再访问你的网站。
- 还有多种设定:完整的资安功能设定,站长可依照需求调整。
如果你有预算考量,WordFence 会是你的最佳选择,因为它的免费版就十分强大。
特色评论
WordFence 拥有端点网站防火墙、网站弱点扫描+处理、实时流量监测 ..。
免费版就很强大,但进阶版提供更实时的 IP 黑名单更新、实时防火墙规则、实时恶意软件签名,进阶版费用可至 官方网站 查询。
2. 安装 WordFence 插件
这章节开始安装 WordFence 插件。
前往 WordPress 插件 > 安装插件,搜索 WordFence 关键字,然后安装+启用。
填入你的信箱,这个信箱请务必留你会使用的,因为如果有网站上的资安通知,WordFence 会发信件通知你。
可选择是否收到 WordFence 寄过来的 WordPress 相关资安通知,如果选择 YES 请记得到 Email 打开信件,点击里面的链接激活。
勾选服务条款,完成后下一步。
这是填入 WordFence 进阶版凭证的地方,如果你有购买可在这输入,如果没有的话点 No Thanks。
接着,如果 WordFence 会自动导向到 Dashboard 仪表板,就会看到非常多资安功能出现了:)
如果没有自动导向的话,就点击前往 WordFence > Dashboard,也会前往仪表板唷。
3. 配置网站防火墙(Firewall)
WordFence 安装完成,首要做的是就是配置网站防火墙(这也是 WordFence 最重要的功能)。
我们也会看到 Dashboard 也有提示,点击 Click Here To Configure 前往设置。
备注:另一个提示是询问,是否开启 WordFence 插件的自动更新功能,两个选择都可以,依照你的需求即可。
接着,会前往防火墙的配置项(或是前往 WordFence > Firewall),这里可选择需配置的服务器,但 WordFence 默认会帮你侦测最适合的类型,没特别需求就用预设即可。
网站防火墙开始正式配置前,WordFence 会要求你下载 .htaccess 文档(因为开始配置后会改写里面的内容),那因为我的主机类型还有一份文档需下载,如果你的没有就不用理会。
总之都下载起来备份,然后点下一步继续。
这样网站防火墙(Web Application Firewall)就配置成功啦,是不是很简单呢。
接下来,我们来了解一下防火墙接口部分,预设的模式是用 Learning Mode(学习模式),这是因为 WordFence 正在学习你网站的操作模式,并会针对你的操作,做出最适合的防火墙配置。
WordFence 默认学习时间是一周,时间到后会自动切换成 Enabled and Protecting(启用和保护模式),并开始在你的网站正式运作防火墙。
但如果你的网站已经遭遇到恶意攻击,才安装 WordFence 打算进行扫毒除错,这时就可直接切换成 Enabled and Protecting 应对(就不需要等学习时间了),免得使用扫毒功能除错完,之后还是遭受到一样的攻击。
一开始都先建议让 WordFence 使用学习模式,除非有特殊状况再直接运作防火墙。
好啰,以上就是防火墙设定相关教程。
4. 网站漏洞扫描(Scan)
前往 WordFence > Scan,这里面是有关「网站漏洞扫描 」的功能,WordFence 会帮你做全站式的检查。
像是网站主题 / 插件是否存在恶意软件、文档是否存在恶意程序码、访客留言是否存在危险连结等 ..。
执行网站扫描&资安修复
点击 Start New Scan,就能开始网站扫描。
网站扫描完成后,如果没问题就恭喜你啦,就不需要做额外修复。
但如果你出现相关调整提示,就可依照 WordFence 的建议进行资安调整,像是我这个网站,就是有网站插件&主题还没升级为最新版,所以 WordFence 提示我升级。
有时后会出现红色警告(危险级别比较高),可能是网站有不知名的文档 or 恶意程序码,WordFence 就会提示你将文档删除。
如果是这种状况,就建议直接照 WordFence 的建议处理掉。
依照需求调整扫描等级
WordFence 有提供扫描等级的修改,点击 Manage Scan。
默认会是 Standard Scan(标准扫描),可往上或下向调整。
用 High Sensitivity(高灵敏度扫描)为举例,扫描执行中的主机消耗资源会变多,但扫描会更全面。
这边顺边分享一个小概念,因为 WordFence 是在你的网站上运作的(非属于云管理),所以任何的执行扫描都会占用主机资源。
除非你遇到重大资安问题,否则会建议用 Standard Scan (标准扫描)就可以了,特别是共享主机,因为共享主机本身的主机资源就有限。 参考主机类型差别。
5. 实时流量监测(Tools > Live Traffic)
前往 WordFence > Tools > Live Traffic,里面最重要功能应该就是 Live Traffic(实时流量监测),会帮你列出用户登录数据、被防火墙阻止的请求、访客 IP 位置等 ..。
WordFence 默认的流量纪录模式是 Security Only,就是只会纪录与安全性相关的流量,其他的数据不会纪录。
Security Only 会是比较推荐的方式(也是 WordFence 默认值),也是最有效率的模式。
All Traffic 则是会纪录大部分的数据,这会很耗费主机资源,除非特殊情况不然不建议使用。
6. 两阶段身份认证(Two-Factor Authentication)
前往 WordFence > Login Security,WordFence 有提供两阶段验证功能(Two-Factor Authentication)。
简单来说就是除了一般的帐密输入,还必须透过第三方给的临时码,才有办法登录到 WordPress 网站。
两阶段身份认证设定
这里我推荐使用 Google Authenticator 这款 APP,苹果 or Android 系统都可下载,下面有设定步骤。
Step1:首先,用这款 APP 扫描 QR Code 做验证。
Step2:下载还原密码,这是如果你不小心遗失手机了,可以用这 5 组密码中其中一组做登录,每组只能使用一次(请把密码保存在安全地方)。
Step3:然后输入APP提供的临时码(有时间限制,会跳动)。
Step4:点击启用。
参考上面流程就可把两阶段身份验证(2FA),给设定完成啰。
当你在 WordPress 后台登录输入帐密后,就会显示这个画面,你就需打开你下载的 Google Authenticator,并输入里面的密码,才有办法登录 WordPress 唷!
相关设定调整
切换到 Login Security > Settings,可对 2FA 的控制权限做调整,依照自己的需求就可以了。
如果你常在固定地方作业,觉得每次都需双重认证很麻烦,就可把地点IP放入到白名单,之后在固定地点,就不会要求你输入了。
设定完成后,记得点 Save 储存。
7. reCAPTCHA 验证设定
WordFence 和 reCAPTCHA 有良好的整合,激活此功能后,在 WordPress 后台登入&注册页面,就会出现 Google 资安防护功能。
小教程:
reCAPTCHA 是 Google 提供用来分辨登入者是否真实为人类。
目前 reCAPTCHA v3 版本,采用分数制验证系统,对用户在网站上的动作进行评分,若分数过低则会被判定为机器人。
接续上一章的流程,同样在 WordFence > Login Security(登入安全性) > Settings(设定),会看到 reCAPTCHA 相关功能。
首先,把 reCAPTCHA 功能打开,然后前往 Google 申请 reCAPTCHA 凭证(下图第 3 步骤,等凭证申请完后,再回来这里贴上即可)。
进入后选 v3 Admin Console(不是 Get Started 唷,不然会走到付费流程)。
输入标签(可输入网站域,方便辨认用),选择 reCAPTCHA v3,还有网站域&电子邮箱等 ..,完成后送出即可。
接着,就会产生 reCAPTCHA 的网站密钥&密码啦!
只要分别贴到 WordFence 的 reCAPTCHA 相关字段(上面有提到)并进行储存,就顺利激活成功啰。
至于完成品大概就是长这样,就能帮助你在表单提交时,严谨性变得更高了(防范机器人)!
8. 配置设置(All Options)
前往 WordFence > All Options,有多项配置可让站长自行调整,但基本上我会建议都先用预设值即可,除非你很确定用法。
这边跟大家分享,一些我自己有做的小调整,你可以参考并依照自己需求设定。
Email Alert Preferences 信件通知设定
基本上都用预设,只有调整了人员从新设备 or 新位置登录到后台,我才会收到通知(不然每次有人登录,都会收到信件会有点 xxx,特别是网站有多位操作者的状况)。
还有更改了扫描通知级别,改为 Medium 中间等级才会收到信件(默认是 Low 低等级)。
暴力破解防护设定(Brute Force Protection)
WordFence 默认尝试登录次数好像设满高的,这边我自己是调为 5 次。
基本扫描类型选项(Basic Scan Type Options)
这刚上面有提到过,WordFence 默认是用 Standard 标准扫描,你也可进行调整,设定完成后就会变为默认值。
好啰! 如果设定都调整完毕,记得要储存才会生效唷。
9. 还有什么需注意的?
WordFence 是一款非常棒的 WordPress 资安软件,但需注意 WordFence 是在自己的主机上进行运作,所以使用的都是自己主机的资源(这也是唯一的小缺点)。
所以如果你的主机资源不够,或是有受到管辖(特别是共享主机),在实时流量监测(Live Traffic),记得用比较不耗费资源的方式运作(这上面都有提到),或是进行扫描时避免在访客众多时候操作。
确保网站不会因为使用资源过大,而造成速度变慢,或是被主机商警告的问题。
当然,不论是主题主题 或网站插件,都需审慎挑选,尽量找知名的进行安装,免得产生了安全漏洞。
好啰,以上就是有关于 WordFence 相关的教程,记得 定期备份 是最重要的。
原文链接:https://www.itaoda.cn/blog/11327.html,转载请注明出处。
评论0