Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛

Wordfence Security

Wordfence Security這一個wordpress的安全性外掛其實一點都不複雜,但功能卻很強大,而且免費版本就很好用,像常常聽到的被駭客攻擊多少次,在Wordfence Security的Firewall功能就可以清楚的看見攻擊的來源國家和IP,接下來我們還可以封鎖這些可疑的特定ip或國家,讓它們無法拜訪我們的網站,這些功能就像我們擁有了一個百萬等級高強度的安全性防護,最不可思議的是,我們不用花一毛錢,而且基本上安裝完成並且啓用後就可以正常運作了。

外掛下載:Wordfence Security

在網路的世界裡,如果沒有了安全沒有的防護,再強的功能都沒有用,對Wordpress這個市占率超高CMS平台來說也是一樣的,提到Wordpress安全防護,就不得不說Wordfence Security這個外掛,除了好用,而且簡單。除此之外,怎麼透過簡單的方法,快速加強防護功能呢?

這一篇重點:

  • 使用Wordfence外掛增強防護力
  • 某些目錄下禁止直接執行php程式
  • 增加管理者的目錄的安全性

外掛特點:

  • WordPress Firewall
  • Blocking Features
  • Login Security
  • Security Scanning
  • Monitoring Features
  • Multi-Site Security
  • IPv6 Compatible
  • Major Theme and Plugins Supported
  • Free Learning Center

安裝以後可以看見的功能項:

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 17
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – 功能列表

系統安全性掃描

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 1
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – scan

安裝好以後的第一件事,就是先跑一次網站掃描的功能,看看是不是有什麼重大的安全性問題,掃描結果也會通過Email寄送給我們。

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 2
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Firewall

在這個軟體防火牆的功能中,預設可以幫我阻擋許多網路上的攻擊方式,包括:xss, SQL injection…等,而且防火牆的模式是「學習」模式,這個模式可以讓Firewall主動學習更聰明。

即時流量監控Live Traffic

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 7
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Live Traffic

提供一個即時的線上所有流量的訪客來源,你可看見對方的IP、國家、觀看的頁面及主機名稱;因此我們甚至可以看見Google bot, msn bot…等搜尋引擎的機器人。

不只是這樣,還會看到有些IP竟然不斷的嘗試要登入我們的網站,如果你發現這些惡意的國家或IP可以先使用「Run WHOIS ip」來查看這個ip到底是誰,如果是個奇怪的主機,就可以用「Block this IP」把它封鎖,讓它從此看不見我們的網站。

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 16
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Live Updates Paused

如果我們把滑鼠移到其他視窗,就會出現這個暫停即時訪客動態的訊息,只要滑鼠再移到這個視窗,就可以再即時觀看了。

封鎖特定IP,禁止訪問

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 8
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Blocked IPs

在這裡我們可以看見被我們封鎖的所有IP列表,也可以透過最上方清除封鎖的IP。

密碼稽核

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 9
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Password Audit

想知道網站內的帳號密碼是不是夠安全,可以執行這個密碼稽核的功能,預設是針對管理者層級檢查,檢查的字典資料庫包含260百萬個密碼。

登入使用二階段驗證

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 10
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Cellphone Sign-in

這一個功能是讓使用者登入時需要使用手機簡訊或二階段驗證(Two Factor Code),不過這是付費功能。

封鎖特定國家,禁止訪問

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 11
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Country Blocking

封鎖特定國家的IP,如果發現有某些國家的ip常來入侵我們的網站,或者根本不會有該地區的華語使用者,那麼就可以把該國家直接封鎖。

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 12
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Scan Schedule

這項功能是付費功能,但Wordfence仍然會幫我們自動安排下一次系統掃描檢測日期,只是無法自訂日期和週期。

Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 13
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Whois Lookup
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 14
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Advanced Blocking
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 15
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Options
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 4
Wordfence Security超過百萬人安裝的wordpress安全防護必備外掛 – Diagnostics

最後這幾項功能,就不需要特別設定了。

除了這些之外呢?如何讓系統更安全呢?

某些目錄下禁止直接執行php程式

/wp-includes/

/wp-content/uploads/

可以在這兩個目錄之下放一個.htaccess

內容為

<Files *.php>
deny from all
</Files>

增加管理者的目錄的安全性[建議暫勿使用]

預設管理者目錄 /wp-admin/

方法一:改變管理者的目錄,但是這有點麻煩,因為會牽涉的東西太廣了。

方法二:在管理者的目錄,額外增加 .htaccess 使用者安全層級

.htaccess內容為

AuthType Basic
AuthUserFile /srv/auth/.htpasswd
AuthName "Sign In Here To Gain Access To the Site"
Require valid-user

第二行為存放.htpasswd的路徑

htpasswd -c /srv/auth/.htpasswd username

接著使用htpasswd新增一個.htpasswd檔案和使用者,username改成自記要設定的使用者名稱,密碼的話,系統會出現詢問密碼和確認密碼。

回覆留言

Please enter your comment!
Please enter your name here