WordPress安全插件 – Wordfence-premium 7.3.6

VIP专区

对于博客或者网站来说，安全是个大问题。现在采用最多的建站程序无疑就是WordPress了，由于它巨大的用户量和开源特性，也很吸引了黑客的关注，Wordpress网站几乎每天都会遇到大量的攻击。有些是针对性的，也有些是无目的性的，黑客就是利用黑客工具软件漫游扫描，很多网站基础性的防护都没做好，所以比较容易成为入侵者的“肉鸡”，被偷取信息或者发送垃圾软件和干其他坏事。

我这个博客5base.com也是如此，有针对性和无针对性的攻击每天起码上百次。因为我的网站上设置了一些VIP浏览限制，引来更多针对性的攻击，最常用的就是暴力破解，猜测各种用户名和密码，一般人都是采用默认的用户名 admin，这个也是最喜欢被暴力尝试的。其实这个用户名是可以任意更改的，另外Wordpress的登录后台，也可以修改默认的wp-admin这个路径。这种其实是最低级的攻击，很容易就判别和封锁。

还有一种常见的就是Mysql数据库注入攻击，这种sql注入成因主要是对页面参数没有进行非法字符校验导致，入侵者利用非法参数导致数据库错误或者泄露，从而提取敏感资料和权限。WordPress毕竟用的人这么多，维护做的还是不多的，只要经常保持更新，基本可以防止入侵者利用这些漏洞，但是，也有一些时间差的问题，有些更新不及时的网站可能会面临风险。

其他的工具方式还有很多：

XSS: Cross Site Scripting （XSS跨站脚本攻击）
Malicious File Upload（上传木马软件）
Directory Traversal （跨目录浏览）
XXE: External Entity Expansion
等等

还有一个最阴险的招数就是：社会工程学入侵。就是套取站长本人甚至亲友同事的个人资料，取得电子邮件，手机，然后采用欺骗的手段，发送邮件，文件，短信等，诱导点击含有木马和病毒的链接和文件，从而作为一个跳板入侵控制别人的电脑，手机等等，我就收到过这些钓鱼邮件和短信，不过这些伎俩我早就看透了。

今天给大家介绍一个WordPress安全插件 - Wordfence，（我网站的VIP会员可以下载收费版，价值99美元）它是目前使用最广的评价最好的安全插件，从WordPress官方下载的免费用户就有三百多万，而且好评率接近五星。

Wordfence官方统计的每个月阻止的攻击数量：

Wordfence的主要功能：

文件防篡改：可检测核心文件、主题文件、插件文件是否被篡改、挂马、插后门。
后门检测：可检测网站文件中是否包含已知的恶意脚本。
防火墙：可通过防火牆规则自动屏蔽正在从事危险行为的访客。具备一定的防DDOS能力。
防爆破：可防止黑客对后台密码进行暴力破解
防入侵：可检测当前站点是否含有已知漏洞。（收费功能）
访客统计：可列出当前访客的IP及地理位置（支持中国，可精确到市）
可查看访客的来路及当前访问页面，若有可疑，可直接屏蔽之。
评论安全：可检测评论中是否包含钓鱼网站等危险URL
隐藏wordpress版本号：当指定版本出现漏洞时，此功能可防止黑客批量搜索到你并进行入侵。
密码安全：可检测用户的密码强度。
等等其他

这个插件安装比较简单，和其他插件一样，后台上传激活就可以了（如果是免费版，可以直接在插件中心搜索找到Wordfence后直接点击安装）。安全方面的功能很强大，但是设置并不复杂。大部分保持默认设置，根据自己的需求，自定义一些防火墙功能和策略即可。

安装好之后，首先要做的第一件事是优化防火墙设置，因为服务器配置不同，Wordfence需要根据服务器的配置来让防火墙真正起作用，一般根据提示选择推荐的操作就可以了。我用的VPS，NGINX 环境，所以推荐的设置如下：（需要注意的是.user.ini的用户权限，确认可以更改，设置之后，可以把权限设置为原来的状态）