文章目錄
Wordfence Security
Wordfence Security這一個wordpress的安全性外掛其實一點都不複雜,但功能卻很強大,而且免費版本就很好用,像常常聽到的被駭客攻擊多少次,在Wordfence Security的Firewall功能就可以清楚的看見攻擊的來源國家和IP,接下來我們還可以封鎖這些可疑的特定ip或國家,讓它們無法拜訪我們的網站,這些功能就像我們擁有了一個百萬等級高強度的安全性防護,最不可思議的是,我們不用花一毛錢,而且基本上安裝完成並且啓用後就可以正常運作了。
外掛下載:Wordfence Security
在網路的世界裡,如果沒有了安全沒有的防護,再強的功能都沒有用,對Wordpress這個市占率超高CMS平台來說也是一樣的,提到Wordpress安全防護,就不得不說Wordfence Security這個外掛,除了好用,而且簡單。除此之外,怎麼透過簡單的方法,快速加強防護功能呢?
這一篇重點:
- 使用Wordfence外掛增強防護力
- 某些目錄下禁止直接執行php程式
- 增加管理者的目錄的安全性
外掛特點:
- WordPress Firewall
- Blocking Features
- Login Security
- Security Scanning
- Monitoring Features
- Multi-Site Security
- IPv6 Compatible
- Major Theme and Plugins Supported
- Free Learning Center
安裝以後可以看見的功能項:
系統安全性掃描
安裝好以後的第一件事,就是先跑一次網站掃描的功能,看看是不是有什麼重大的安全性問題,掃描結果也會通過Email寄送給我們。
在這個軟體防火牆的功能中,預設可以幫我阻擋許多網路上的攻擊方式,包括:xss, SQL injection…等,而且防火牆的模式是「學習」模式,這個模式可以讓Firewall主動學習更聰明。
即時流量監控Live Traffic
提供一個即時的線上所有流量的訪客來源,你可看見對方的IP、國家、觀看的頁面及主機名稱;因此我們甚至可以看見Google bot, msn bot…等搜尋引擎的機器人。
不只是這樣,還會看到有些IP竟然不斷的嘗試要登入我們的網站,如果你發現這些惡意的國家或IP可以先使用「Run WHOIS ip」來查看這個ip到底是誰,如果是個奇怪的主機,就可以用「Block this IP」把它封鎖,讓它從此看不見我們的網站。
如果我們把滑鼠移到其他視窗,就會出現這個暫停即時訪客動態的訊息,只要滑鼠再移到這個視窗,就可以再即時觀看了。
封鎖特定IP,禁止訪問
在這裡我們可以看見被我們封鎖的所有IP列表,也可以透過最上方清除封鎖的IP。
密碼稽核
想知道網站內的帳號密碼是不是夠安全,可以執行這個密碼稽核的功能,預設是針對管理者層級檢查,檢查的字典資料庫包含260百萬個密碼。
登入使用二階段驗證
這一個功能是讓使用者登入時需要使用手機簡訊或二階段驗證(Two Factor Code),不過這是付費功能。
封鎖特定國家,禁止訪問
封鎖特定國家的IP,如果發現有某些國家的ip常來入侵我們的網站,或者根本不會有該地區的華語使用者,那麼就可以把該國家直接封鎖。
這項功能是付費功能,但Wordfence仍然會幫我們自動安排下一次系統掃描檢測日期,只是無法自訂日期和週期。
最後這幾項功能,就不需要特別設定了。
除了這些之外呢?如何讓系統更安全呢?
某些目錄下禁止直接執行php程式
/wp-includes/
/wp-content/uploads/
可以在這兩個目錄之下放一個.htaccess
內容為
|
1 2 3 |
<Files *.php> deny from all </Files> |
增加管理者的目錄的安全性[建議暫勿使用]
預設管理者目錄 /wp-admin/
方法一:改變管理者的目錄,但是這有點麻煩,因為會牽涉的東西太廣了。
方法二:在管理者的目錄,額外增加 .htaccess 使用者安全層級
.htaccess內容為
|
1 2 3 4 |
AuthType Basic AuthUserFile /srv/auth/.htpasswd AuthName "Sign In Here To Gain Access To the Site" Require valid-user |
第二行為存放.htpasswd的路徑
|
1 |
htpasswd -c /srv/auth/.htpasswd username |
接著使用htpasswd新增一個.htpasswd檔案和使用者,username改成自記要設定的使用者名稱,密碼的話,系統會出現詢問密碼和確認密碼。
