Wordfence Security Premium 是最流行的最佳WordPress安全插件之一。包含许多高级安全功能,可保护网站免受黑客攻击,仪表板界面非常友好且功能丰富,无需成为技术人员即可使用此插件。激活后,插件将自动开始工作,默认设置几乎适合所有网站。

Wordfence Security 插件带的防火墙非常强大,可以设置防火墙规则以阻止来自特定IP或国家/地区的流量,还提供带有自定义选项的暴力破解保护。

可设置计划任务的扫描功能是此插件的最强大功能。它会定期检查网站上的每个文件是否存在恶意软件,后门程序,无效的URL或任何其他漏洞。

[ri-post id="1807" thumb="left"]

Wordfence Security 插件可提供全面的 WordPress 安全解决方案。Wordfence Premium 则是其高级版本,可针对最新漏洞提供保护、检测最新恶意软件以及阻止当前攻击 WordPress 网站的恶意 IP 地址等。

安装与激活 Wordfence Security Premium 插件

在安装 Premium 版本之前,先下载其 Free 版本,也可以在 WordPress 后台搜索 “Wordfence Security”在线安装。图中圈的插件,切勿选错!

安装并启用 Wordfence Free 版插件后,会提示输入许可证:

点击“GET YOUR WORDFENCE LICENSE”按钮,获取一个免费的许可证。只需要填写一个有效的Email地址,随后会在邮件中收到许可证。

此处点击FREE:

此处点击如图所示:

发送许可证到邮箱

再返回到插件刚才的提示页,点击:“Install an existing license”安装刚刚邮件收到的许可证。

 

安装完成后,下载 Wordfence Security Premium 插件,并在仪表板中上传安装,会自动覆盖替换 Free 版本。(注意:如不是在奇客云Aiboom.com下载的Premium版,不适用该激活方式。)

再回到 Wordfence 仪表盘,能看到许可证变成了“高级许可证”,如下图:

Wordfence Security Premium 设置指南

“Wordfence > 所有选项”菜单中,可以看到插件的所有功能设置选项。Wordfence 插件的默认配置已可适配大部分网站需求,所以需要修改的设置并不多。

常规Wordfence选项

 

建议勾选下列选项,其它保持默认

  • 隐藏WordPress版本
  • 禁用上传(wp-content/uploads)目录的代码执行

一般情况下 wp-content/uploads 是没有PHP程序文件的。

仪表板通知选项

这个地方除了安全警报与扫描状态两项之外,其余的都不建议勾选。其余的都有广告成份,而且会频繁请求远程端资源。

需要通过电子邮件通知的选项

开启这个功能,首先确定 WordPress 主机能正常发送Email,否则开启了也无效,甚至导致一些PHP错误。推荐使用WP SMTP 插件。

如果Email发送功能正常,选项可以根据自己需求勾选相应的通知。

防火墙选项

这个地方,如果你不清除每一步的操作意味着什么后果,则不建议修改,保持默认设置则可。

新安装的 Security 插件,不会立即应用防火墙配置而是开启学习模式。在学习模式中插件会先扫描和记录网站结构,最长1周的时间后再启用防火墙配置。这一点 Security 插件比其他同类插件做得都好。

扫描选项

开启扫描选项后, Security 插件会定期扫描网站上的所有文件是否被篡改以及是否有恶意代码。如果网站文件较多的话,但该功能会消耗大量的服务器资源,如果服务器配置较低而扫描任务较大,有可能造成服务器响应速度骤降甚至出现502错误。

所以在开启该选项后,建议观察服务器的内存与CPU占用情况,如果太高的话,可以适当降低扫描频率甚至关闭自动扫描功能,改用手动扫描(在访问量不大的时候操作)。

一般情况下推荐使用“限制扫描”选项,仅占用较低的系统资源。

Nginx 服务器设置 .user.ini 文件

如果在一个主机中有多个站点,最好在每个站点的根目录中创建一个.user.ini 文件,这样可防止跨站攻击。

“Wordfence > 防火墙 > 优化Wordfence防火墙”页面中可下载 .user.ini 文件,将该文件上传至网站根目录后,还需在 Nginx 的主机配置文件中添加以下代码(防止该文件被读取或篡改):

location ~ ^/\.user\.ini {
deny all;
}

如果 WordPress 安装在子目录中,则需要使用以下代码:

location ~ ^/wordpress/\.user\.ini {
deny all;
}

注意替换wordpress为正确的目录路径。

如果是Apache服务器,正确情况下插件会自动在.htaccess中创建相应的设置。除非.htaccess文件不可写入。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。Aiboom.com 本站分享的WordPress主题/插件均遵循GPLv2 许可协议(免费开源),相关介绍资料仅供参考,实际版本可能会因版本迭代或开发者调整而产生变化。如程序中涉及有第三方原创图像、设计模板、远程服务等内容,应获得作者授权后方可使用。本站不提供该程序/软件的产品授权与技术服务,亦不收取相关费用。