还记得当初的熊猫烧香吗?
还记得“想哭”勒索病毒事件吗?
如果你没遇到,恭喜你,但是作为网站管理人员,你当然不愿意你的站点遭受攻击,被黑。对于小白建站最不放心的就是怕站点被黑,账号被盗。
WordPress 是一个非常受欢迎的架站平台,因此它吸引了大量黑客的注意力,世界上30%的网站是WordPress搭建的,这也成为黑客的首要攻击目标。WordPress 被黑的情形略有耳闻,尽管WordPress 官方不断努力的使WordPress 成为一个安全的内容管理系统,但是新的恶意攻击和黑客还是不断涌现。
如果你发现你的网站有下面的情况,很有可能代表你的网站已经被黑了
?网址被导向其他网站
?无端被注册陌生的新帐户
?被添加莫名的文章或是广告
?网站变得超级慢
?密码被更改无法登入控制台
? Google 搜寻上显示“这个网站可能已遭到入侵”的警告
黑客通常会利用某些插件或是网页主题的漏洞来入侵你的网站,或是某些不良的开发商在自己的产品嵌入有害的代码,所以这就是为什么我们需要定期扫描WordPress 档案,检查恶意软体或是恶意代码是否被安插到我们的网站上。
而我们需要在WordPress上安装攻击防御的插件的原因,这好比你手机上的360一样,是网站的安全卫士。有能力让电脑裸奔的人毕竟是少数人,何况网站更是裸露在互联网上,更应该有一些保护措施。今天给大家分享一款WordPress界的杀毒插件—Wordfence Security。
Wordfence Security是WordPress上最受欢迎的安全防护插件之一,它有超过3百万以上的有效安装以及3,000多个五星评价。
它包含了网页防火墙(Web Application Firewall)、恶意软体扫描功能(Malware Scanner)和双重要素验证(Two-factor Authentication),能够确保你的网站安全。
以下是Wordfence Security 的功能特色
WordPress防火墙:Web应用程序防火墙会通过识别恶意流量,阻止常见安全威胁像虚假广告,恶意黑客和僵尸网络的扫描,阻止攻击者访问我们的网站。
WordPress安全扫描仪:扫描站点文件、主题文件、插件文件、主机硬盘等是否存在安全漏洞、木马、可疑代码、恶意软件等安全问题;检查您的站点是否存在已知的安全漏洞,并向您发出任何问题的警报。当插件关闭或放弃时,还会提醒您潜在的安全问题;通过扫描危险URL和可疑内容的文件内容,帖子和评论来检查您的内容安全。
登录安全:Wordfence整合了双重认证(2FA)功能。在它的功能当中,你可以轻松的启用它来为你的帐户添加第二层的安全保护。它会要求网站控制台的使用者不仅要输入密码,还要输入由Authenticator、Authy或是1Password等基于时间的一次性密码演算法(TOTP)生成的第二道密码。双重认证是目前最安全的登入防护方式之一,即使攻击者以某种方式获取你的帐号和密码,他们仍然无法登入受到双重认证防护的。
1,首先,我们进入WordPress 控制台的“插件->安装插件”页面搜寻“Wordfence Security”来“现在安装”,后“启用”:
在启用插件后会看到安全性通知的设定,输入电子邮件信箱后点击“继续”按钮:
输入你的付费版的秘钥,如果你没有就选择“No Thanks”跳过:
至此,我们就可以看到Wordfence在后台的布局如下:
2,开始进入Wordfence在后台的设定。
Dash:
进入到Wordfence 的Dashboard 会发现上方有一个要求我们设定防火墙的提示,请按下“CLICK HERE TO CONFIGURE”:
Wordfence防火墙会将auto_prepend_file指令添加到你的伺服器当中,一般来说,它会自动侦测你的伺服器类型,所以你可以维持预设值并且点击Continue以进行下一个步骤:
完成防火墙的设定后,之前的提示应该会消失代表防火墙已经开始运作。刚开始启动的前7 天请将防火墙会处于“Learning Mode”:
Firewall:
防火墙处于“学习模式”时, Wordfence 会将类似于黑客攻击的行为列入白名单,你应该像往常一样,尝试使用网站的所有功能,像是发布文章、变更主题、安装插件等等。在此期间使用的功能越多,将来收到要求加入白名单的机会就越小。
Wordfence“Learning Mode”,学习模式是让Wordfence 防火墙在安全的情况下习惯你的日常行为,如果你的网站最近才刚遭到黑客入侵,或者你目前正受到攻击,则不应该使用学习模式,你可以在任何时候将防火墙设定为“Enabled and Protecting”:
开启Wordfence 防火墙的“Enabled and Protecting”后,接下来你可以到“Scan”页面启动扫描,看看你的网站是否有被植入恶意代码或是有其他需要提升网站安全性的地方。
这是我网站扫描后的结果:
发现了7个问题,有些是因为我某些插件或者主题没有及时更新也会反应在这里,这里可以“Ignore”它们:
如果不确定要不要处理这些“问题”,请先备份网站后再处理,扫描出“问题”不一定代表网站就有啥问题。
接下来我们到“Login Security”页面启动双重认证(2FA)
Login Security:
先使用手机下载Authenticator 的APP,然后用扫描的方式新增你的网站,新增完之后你应该会看到Google Authenticator 会不断的产生新的密码,由于密码在短时间之内不断的被更新,所以黑客很难破解这种保护方式。
1,使用Authenticator支援Wordfence 2FA认证:
B、接着下载还原密码。把它储存在一个安全的地方,如果你丢失了手机或是不小心删除了Authenticator 你将会需要使用它们来登入你的网站,总共有5 组还原密码,每组只能被使用一次。
C、输入手机上Authenticator 上的密码来启动双重认证功能。
2,设定页面调整双重认证(2FA)以符合你的需求
进入“Setting”,按如下设定:
在设定页面的下方可以输入Google reCAPTCHA的金钥,防止WordPress登入页面被机器人尝试破解密码。
点击“reCAPTCHA Service”去Google 的reCAPTCHA 页面申请金钥。
A、点击右上方的“Admin Console”按钮:
B、填写资料提交:
C、复制2 组金钥并分别输入至Wordfence 的设定页面,然后记得按下储存按钮:
D、回到登入画面会发现Google reCAPTCHA 已经开始运作了:
E、开始必须输入双重认证(2FA)密码才能登入:
Wordfence Security有着相当友善的操作介面、强大的防火墙、可修复受损档案的扫描功能、双重登入验证防护,它不会减缓你的网站速度而且它还是免费的插件,在这边强烈推荐给想要加强WordPress安全性的读者们。
最好的防护网站方式还是需要从源头做起,你应该要选择优良的虚拟主机,避免安装来路不明的主题和插件,使用高强度的登入密码,保持WordPress和插件在最新的版本,才可能最大限度的减少恶意代码的入侵。
本文来源于:【WP插件】最受欢迎的WordPress 安全防护插件设置-Wordfence Security-变化吧门户
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论