最强WordPress安全插件Wordfence Security

今天在后台以security为关键字搜索插件,发现一个好东西:Wordfence Security

Wordfence Security是一个Wordress安全插件,它具备以下功能:

  1. 文件防篡改:可检测核心文件、主题文件、插件文件是否被篡改、挂马、插后门。
  2. 后门检测:可检测网站文件中是否包含已知的恶意脚本。
  3. 防火墙:可通过防火墙规则自动屏蔽正在从事危险行为的访客。 具备一定的防DDOS能力。
  4. 防爆破:可防止黑客对后台密码进行暴力破解
  5. 防入侵:可检测当前站点是否含有已知漏洞。(收费功能)
  6. 访客统计:可列出当前访客的IP及地理位置(支持中国,可精确到市),可查看访客的来路及当前访问页面,若有可疑,可直接屏蔽之。
  7. 评论安全:可检测评论中是否包含钓鱼网站等危险URL
  8. 隐藏wordpress版本号:当指定版本出现漏洞时,此功能可防止黑客批量搜索到你并进行入侵。
  9. 密码安全:可检测用户的密码强度。
  10. 等等

后台的选项很多,没有中文版,我大概翻译一下。

这是此插件的后台选项,我们从最后一个Options选项开始说起。

点击Options,进入选项页面。

Basic Options

这里写上你要接收警报的电子邮件,若发生安全问题,你将收到邮件通知。小窍门:使用中国移动邮箱即可接到短信通知。

最后一个选项是安全级别,不用管它,因为你改动了别的选项后它会自动变成自定义级别。

Alerts

这个选项组是为了定义插件应该在什么情况下给你发邮件,看图就会了。

Live Traffic View

这里是定义实时统计功能。它的功能并不是为了统计和分析流量,而是用来查看你的访客在你的网站上都做了什么。一旦出现让你不爽的人,block it干掉他。

Scans to include

这个选项组用来定义安全扫描功能。若要使用扫描功能,需点击插件选项菜单的Scan,后面会介绍。

Firewall Rules

这里用来设置防火墙功能。它能起到一定的防DDoS作用,但对于专业的DDoS攻击,用处自然不大。

举个例子,某个ip每秒钟访问了我几十个页面,这显然是不正常的访问。我们就进行如下设置防止这种情况:

If anyone’s requests exceed:  480per minute then block it  (当任意用户每分钟提交了480个以上的请求,则拦截。)

这个不截图了,翻译一下所有的选项:

If anyone’s requests exceed:当所有的请求数量超过……时

If a crawler’s page views exceed:当搜索引擎爬虫的请求数量超过……时

If a crawler’s pages not found (404s) exceed:当爬虫找不到页面(404)超过……时

If a human’s page views exceed:当真实访客的请求数量超过……时

If a human’s pages not found (404s) exceed:当真实访客找不到页面的数量超过……时

If 404’s for known vulnerable URL’s exceed:当对易受攻击的页面请求数量超过……时。 这里的易受攻击页面应该是一些耗资源页面,比如搜索等,因为短时间内大量的搜索会形成DDOS。具体没测试。

How long is an IP address blocked when it breaks a rule:拦截IP的时间。意思是一旦某个IP触发了上面的规则,应该关小黑屋多久。默认为五分钟。

Login Security Options

这里用来设置后台登陆安全。当有人尝试从后台登陆,密码错误次数达到阀值时锁定。当有人尝试使用找回密码功能,次数达到阀值时锁定。具体看图。

开始进行安全扫描

此时,插件设置完毕。下面来进行一次手动的安全扫描。

点击插件菜单中的Scan,进入扫描页面。在这里,可扫描你的站点文件是否被篡改过,是否被挂马,是否被插入后门。

直接点击最上面的蓝色按钮。扫描便会自动进行。

dou.lu的扫描结果如下:

大红叉叉表示了有文件被篡改。给我吓一跳,被人偷偷爆了菊居然都没感觉到疼?

点击图中每个文件中的  see how the file has changed 链接,即可查看文件有哪些地方被篡改。弹出的新页面左边是原始文件的代码,右边是你当前被篡改文件的代码,有颜色的部分即为被篡改的部分,方便比较。

一看才知道,原来这个插件对核心文件的判别是以英文版本的wordpress为基础的,中文版的wp个别文件与英文的不一样,所以会有误报。这就需要使用者有些许的代码基础进行判断。不过基本不影响使用。

如果确定了文件确实是被恶意篡改,那就点击图中的 restore the…… 链接,即可把这个文件恢复成官方版本。

使用访客统计功能

点击插件菜单中的Live traffic选项,进入访客统计页面。

页面列出了网站访客的所有信息,甚至包括对搜索引擎蜘蛛的统计。

列表中详细显示了访客的具体位置,IP地址,操作系统,浏览器。如果看谁不爽,直接点block即可。

屏蔽IP列表

插件菜单中的 blcoked IPs 选项列出了所有已经被屏蔽的ip,方便统计和管理,很简单,不多介绍了。

收费功能

插件菜单中的其余两个选项属于收费功能,一个是屏蔽指定国家的所有访客。另一个是计划任务功能,可以让插件对网站进行定时扫描。个人觉得,免费版本完全够用了。

兼容性

由于dou.lu本人使用了缓存插件,很担心会影响到这款插件的功能。但庆幸的是,在使用缓存的情况下,访客统计功能依然好用。屏蔽功能并没有测试,但我想若使用wp-super-cache插件中的supre cache模式进行缓存,屏蔽IP的功能应该无效才对。希望有条件的朋友测试并反馈。

收尾

虽然wordpres爆出过的高危漏洞并不多,但wp在安全防护方面确实有很多不足,这是因为wp的定位并不是CMS,在用户体验和安全上,更偏重于前者。所以wp至今也没有对后台的密码错误次数进行限制,而且还有用户名错误的提示,虽然这样做的初衷是为了方便使用者,但同时也方便了入侵者。

Wordfence Security这款插件在很大程度上弥补了安全上的不足,安装了它,就等于为网站安装了一个强大的脚本防火墙。十分推荐使用。

(欢迎列位找出本文中的错别字,我懒得检查了)

下一篇: 上一篇:

本站文章,如非注明,皆为原创。采用 《知识共享署名-非商业性使用-相同方式共享 3.0》许可协议进行许可。转载需注明本文链接并保证链接可用。本站法律顾问:龚婉容律师

  1. 能不能把垃圾评论的机器人屏蔽了,让它直接进不来,另外发现主题里的function.php多了一大段代码,也不知道是做什么的,也从来没出过问题,因为有过备份,把之前最原始的function.php再复制进来接着观察,也没出现什么问题,真不解

Back to top
逗妇鲁公众号
逗妇鲁公众号