全方位的 wordpress 安全插件 All In One WP Security

2018-12-2314:20:13 21 901 人看过

WordPress 本身是一个非常安全的平台,如果你在使用最新版本的 wordpress,并遵循了良好的安全规范,比如使用高强度的密码、及时备份网站数据等,那么可以认为网站基本是安全的。至少在面对暴力破解时,网站不会马上沦陷。

问题是,这种安全措施的能力还是比较单一和薄弱的。如果我们想网站具备真正抵御不同网络攻击的能力,就需要面对不同的安全问题采取不同的安全措施。比如前面提到的《32 步 wordpress 网站安全终极检查清单》。当然,我们也可以通过使用安全插件实现这些功能,为站点添加一些额外的安全策略和防火墙。从而把我们的网站安全带到一个全新的水平。

全方位的 wordpress 安全插件 All In One WP Security

 

今天推荐这款插件叫 All In One WP Security。这是一款全方位的安全插件,它安全措施涵盖了网站安全的各个方面,除了保护用户账号的安全、注册登录的安全、数据库的安全、文件系统安全,还包括了 WHOIS 查询、黑名单管理、防火墙防护、暴力破解防护、垃圾评论防护、安全扫描器等功能。

而我们常见的修改默认登录用户名,修改数据库前缀、限制登录尝试、修改登录地址统统都可以在插件里面一键完成,避免了直接修改 wordpress 内核文件和数据库带来的麻烦和风险。

All In One WP Security 还使用前所未有的安全评分系统,根据您激活的安全措施来衡量您对站点的保护程度。可以理解为插件版的《wordpress 网站安全检查清单》了。

All In One WP Security 的安全和防火墙规则分为“基本”、“中级”和“高级”。通过这种方式,您可以逐步应用防火墙规则,而不会破坏站点的功能。

 

下面是这个插件提供的安全和防火墙措施列表:

一、用户帐户的安全

1、检测网站正在使用的 admin 登录用户名,并且可以轻松地将用户名更改为您选择的值。

2、检测网站是否有登录名和显示名相同的账户。因为帐户的显示名称与登录名称相同,直接暴露了登录用户名,让黑客的暴力破解难度降低了一半以上。

3、密码强度工具,可以帮你检测密码的强度,以及检测暴力破解该密码所需的时间,让您创建非常强大的密码。

4、阻止用户枚举。所以用户/机器人不能通过作者永久链接发现用户信息。

全方位的 wordpress 安全插件 All In One WP Security

 

二、用户登录安全

1、限制登录尝试

使用登录锁定功能防止“暴力登录攻击”。具有特定 IP 地址或范围的用户将根据配置设置被锁定在系统外的预定时间内,您也可以选择邮件功能通知,当有人因为登录次数过多而被锁定时,通过电子邮件发送。作为管理员,您可以查看所有锁定用户的列表,这些用户显示在一个易于阅读和导航的表中,该表还允许您在单击按钮时解锁单个或批量 IP 地址。

2、登录表单黑、白名单

允许您在一个特殊的白名单中指定一个或多个 IP 地址。白名单 IP 地址将有权访问您的 WP 登录页面。黑名单则反之。

3、使用登录验证码

可以一键在 WordPress 登录表单中添加谷歌验证码或普通数学验证码。

 

三、用户注册安全

1、注册用户需管理员审核

启用 WordPress 用户帐户的手动审批。如果你的网站允许人们通过 WordPress 注册表单创建他们自己的账户,那么你可以通过手动批准每个注册来最小化垃圾邮件或虚假注册。

2、使用注册验证码

能够添加谷歌验证码或普通数学验证码到 WordPress 的用户注册页面,以保护您免受垃圾用户注册。能够添加蜜罐到 WordPress 的用户注册表,以减少机器人的注册尝试。

 

四、数据库安全

1、一键修改数据库前缀

通过单击按钮,可以轻松地将默认的 WP 前缀设置为您选择的值。

2、数据库自动备份

支持设置数据库自动备份和电子邮件通知,支持勾选数据库备份直接发送到管理员邮箱。

 

五、文件系统安全

1、一键修改不安全的文件权限

识别具有不安全权限设置的文件或文件夹,单击按钮将权限设置为推荐的安全值。

2、一键禁用后台文件编辑

禁用 WordPress 后台的文件编辑,保护您的 PHP 代码不被篡改。

3、轻松查看主机系统日志

从一个菜单页轻松地查看和监视所有主机系统日志,并随时了解服务器上发生的任何问题,以便能够快速地解决它们。

4、阻止人们访问自述文件。

阻止用户和搜索引擎访问 html、许可证、txt 和 wp-config-samp、WordPress 站点的 php 文件等。

5、htaccess 和 wp-config.php 文件备份和还原

轻松备份您原来的.htaccess 和 wp-config.php 文件,以防您需要使用它们来恢复损坏的功能。
修改当前活动的.htaccess 或 wp-config.php 中的内容。

 

六、黑名单功能

1、禁止指定 IP 地址(或指定 IP 范围)的用户访问我们的网站。

2、禁止指定用户代理服务器的用户访问我们的网站。或者直接禁止使用代理服务器的用户访问我们的网站。

 

七、防火墙功能

此插件允许您通过 htaccess 文件轻松地为您的站点添加大量防火墙保护,所以这些防火墙规则会在更改您站点上的 WordPress 代码之前停止恶意脚本。

1、访问控制设备,指定哪些设备可登录你的网站。

2、立即激活选择的防火墙设置,从基础,中级和高级。

3、启用著名的“6G 黑名单”防火墙规则;

4、禁止使用代理服务器发表评论。

5、阻塞对调试日志文件的访问。

6、禁用跟踪和跟踪。

7、拒绝坏的或恶意的查询字符串。

8、通过激活全面的高级字符串过滤器来防止跨站点脚本(XSS)。或者是那些在浏览器中没有特殊 cookie 的恶意机器人。您(网站管理员)将知道如何设置这个特殊的 cookie,并能够登录到您的网站。

9、WordPress ping - back 漏洞保护功能。这个防火墙特性允许/用户禁止访问 xmlrpc.php 文件,以防止 ping - back 功能中的某些漏洞。这也有助于阻止机器人不断访问 xmlrpc.php 文件和浪费您的服务器资源。

10、能够阻止假冒的 Googlebots 爬取你的网站。

11、防止图像盗链的能力。用这个来防止别人从盗链你的图像。

12、能够记录您的站点上所有的 404 事件,您还可以选择自动阻止过多攻击 404 的 IP 地址。

13、能够添加自定义规则来阻止对站点各种资源的访问。

 

八、暴力登陆攻击防范

1、限制登录尝试

设置限制登录尝试,可以阻止基于大量登录尝试的攻击。还支持勾选输错用户名一次马上锁定 IP。管理员可以轻松设置锁定时间。(需要注意的是,这个功能“六亲不认”,只认正确的用户名和密码。就算管理员自己输错用户名也会被马上锁定,谨慎选择是否勾选。)

2、添加登录验证码

能够添加一个简单的数学验证码到 WordPress 登录表单,以对抗暴力登录攻击。

3、隐藏管理员登录地址

支持一键重命名你的 WordPress 登录页面 URL,这样机器人和黑客就不能访问你真正的 WordPress 登录 URL。该功能允许您将默认登录页面(wp-login.php)更改为您配置的内容。

还能够使用登录蜜罐,这将有助于减少蛮力登录机器人的尝试。

 

九、Whols 查询

对可疑主机或 IP 地址执行 WhoIs 查找,并获得详细信息。

 

十、安全扫描器

1、监测文件修改

如果您的 WordPress 系统中有任何文件被修改,文件更改检测扫描程序可以提醒您。然后,您可以检查,看看这些修改是否是合法修改。防止一些恶意的代码被注入。

2、监测数据库的修改

数据库扫描功能可以用来扫描数据库表。它将在一些 WordPress 核心表中查找任何常见的可疑字符串、javascript 和 html 代码。

 

十一、垃圾评论防护

1、监控垃圾评论并加以阻止

监控最活跃的 IP 地址,该地址会持续产生最多的垃圾评论,并立即通过单击按钮阻止它们。

2、拦截非人为的僵尸评论

防止评论被提交,如果它不是来自您的域(这应该减少一些垃圾邮件僵尸评论张贴在您的网站)。

3、添加评论表单验证码

在你的 wordpress 评论表单中添加一个验证码来增加评论垃圾邮件的安全性。

4、自动并永久阻止超过一定数量垃圾评论的 IP 地址。

 

十二、前端文本复制保护

能够在网站前端禁用右击,文本选择和复制选项。

 

十三、定期更新和添加新的安全功能

由于 WordPress 的安全性不是一劳永逸的,而是是随着时间发展的。好消息是,这不仅是一款功能强大的安全插件,而且是有专家团队在更新的安全插件,插件的所有安全功能都会定期进行更新和维护。这可以保证我们我们的站点将处于安全保护技术的前沿。

总的来说,All In One WP Security 是一款全方位的 wordpress 的安全插件,几乎考虑到了大部分的安全风险,可以全方位、无死角的对 wordpress 的进行防护。非常难得的是这款插件完全免费。墙裂推荐!

 

weinxin
博客小程序【一起行动派】
欢迎访问行动派博客小程序,小程序和博客同步更新,查看内容更加方便!
Action

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:21   其中:访客  11   博主  10

    • avatar 点滴记录 2

      其实插件多了反而不安全,得根据实际需求选择

        • avatar Action Admin

          @点滴记录 不多的,安全插件几乎这一款就够了。

        • avatar 李毅 4

          博主,安全方面我也是用的同款插件,体验确实不错。

            • avatar Action Admin

              @李毅 是的,功能强大到没得说。还有人定期更新维护,实属难得。

            • avatar boke112导航 4

              不喜欢折腾的话,安装一个名气比较大的安全插件还是非常实用的

                • avatar Action Admin

                  @boke112导航 是的,既然插件比自己折腾做得更好,用插件也无妨的。有空再折腾。

                • avatar 张波博客 4

                  目前就安装了4个插件,一开始折腾博客时,安装了二十多个。。。。

                    • avatar Action Admin

                      @张波博客 只有4个插件比较理想了,我是你的2倍,发现不能再少了。

                        • avatar 张波博客 4

                          @Action 我原来安装二十来个的时候也是你这样的想法,一个都不能少了。。呵可是

                            • avatar Action Admin

                              @张波博客 所以我一直都很羡慕那些技术牛逼的人,就算删掉插件,也可以找到很好的替代方案。我现在8个插件左右吧,都是对象存储插件、谷歌网站地图插件、小程序接口插件这种,带来的正面作用还是多于负面的,暂时不能删,只能日后再想办法。

                        • avatar 演员 1

                          有个小人 挺好玩的

                            • avatar Action Admin

                              @演员 谢谢。

                            • avatar 唯心寒辞 2

                              我用了Wordfence,感觉还挺不错的

                                • avatar Action Admin

                                  @唯心寒辞 嗯嗯,适合自己的才是最好的。

                                • avatar 张波博客 4

                                  喜迎2019,元旦快乐

                                    • avatar Action Admin

                                      @张波博客 元旦快乐,诸事顺利。

                                    • avatar nice 2

                                      这么看来我还是注重一下网站安全,虽然是个破站。。

                                        • avatar Action Admin

                                          @nice 有空可以折腾一下;元旦快乐!

                                        • avatar Jane博客 3

                                          好没就没来了,祝新年快乐

                                            • avatar Action Admin

                                              @Jane博客 新年快乐,诸事顺利!

                                            • avatar wordpress建站吧 4

                                              很强大的插件,