WordPress 是一个开源的 CMS(内容管理系统),所有用户都可以完全免费使用。但是,在互联网上,每一个网站都是一个目标,无论网站的规模多大或者多小,而作为最受欢迎的内容管理系统,WordPress 也经常被黑客盯上。黑客可以创建机器人,自动且系统地扫描安全漏洞,并同时攻击成千上万个网站。
为什么要使用插件保护 WordPress 网站?
Google 表示:Google 安全浏览每天都会发现数千个新的不安全网站,其中许多是被黑客攻击的合法网站。Google 每周将大约 20,000 个恶意软件网站以及 50,000 个网络钓鱼网站列入黑名单。
W3Techs 指出,43.2% 的网站使用 WordPress 程序,它是一个 CMS(内容管理系统),市场份额为 63.3%(https://w3techs.com/technologies/overview/content_management/all)。
WordPress 作为 CMS 架构是安全的,但这并不能改变几乎所有网站都是目标的事实。即使是新安装的没有任何内容的 WordPress 网站,也有可能被黑客入侵。
当然,你可以手动实现安全功能(通过编写代码)。或者,如果你不是一个技术人员,你可以简单地安装一个插件,因此没有编写代码的需要。此外,与安装三、四个针对特定漏洞的插件相比,安装具有多个功能的单个插件通常更直接且风险更小。
WordPress网站是如何被黑客入侵的?
40% 的黑客攻击行为是针对共享托管主机的黑客攻击。网站的所有者不能影响主机托管平台的安全性,因此,首先需要选择一个有正面评价和可靠声誉的优质主机托管商。
30% 的网站是通过不安全(不受信任)的 WordPress 主题被黑客入侵的,这些主题中有意或无意地存在漏洞。使用来自可靠来源的付费主题是必要的。最受信任的插件来源是 WordPress.org。
20% 的 WordPress 黑客攻击是由于有漏洞的插件而发生的。即使是最好的 WordPress 防御措施,也会因为安装有故意放置漏洞的插件而受到影响。对于对编程知之甚少的用户,从未经验证的来源网站上下载安装插件尤其如此。
10% 的 WordPress 黑客攻击是因为密码弱。黑客只需执行暴力破解,尝试许多密码或组合,最终都有可能正确猜测出这些不安全的弱密码。
十大免费好用插件推荐
对于一般网站来说,WordPress 是一个很不错的选择。为了防止 WordPress 网站被黑客攻击或被其他方法的恶意软件滥用,网站管理员只需要考虑为他们的项目提供额外保护的可能性。正如实践表明的那样,有许多插件可以确保 WordPress 的安全性,您唯一要做的就是做出选择。通过选择插件,记住要注意的插件功能。下面给大家推荐一些安全插件。
一. WordFence
Wordfence 是 WordPress 最流行的安全插件之一。这个插件是免费的,然而,付费的高级版本可以提供额外的功能。安装后,Wordfence Security 将启动自动扫描,检查你的网站是否已经被感染。此外,这个插件的一个优点是它支持多站点版本的 WordPress,这有时是必要的。尽管有所有很棒的功能,但这个插件并不轻量,这意味着这个插件需要占用你的主机或服务器更多的资源。
以下是 Wordfence 插件的主要功能列表:
- 扩展安全检查;
- 通过 IP 屏蔽用户;
- 安全登录系统;
- 兼容 IPv6;
- 全面支持 WooCommerce 网站;
- 恶意代码扫描;
- 漏洞评估;
- 多站点的单一管理员控制面板;
- 受感染站点的警报。
二. iThemes Security(以前叫 Better WP Security)
iThemes Security 提供了多种方式来保护您的网站,这个插件能够执行许多功能。例如,它可以实施“影子”策略,其中包括诸如改变管理面板和授权页面的 URL、删除元标签“生成器”、重命名“admin”帐户等行为。这个插件是专为保护 WooCommerce 网站而设计的。它也有付费版本。
其主要特点是:
- 恶意软件扫描和电子邮件通知;
- 双因素认证;
- 密码安全;
- 仪表盘小部件;
- 防止暴力破解;
- 网站监控和报告。
三. Jetpack
这个插件旨在帮助你保护网站、跟踪其性能等等。此外,它包含许多模块,可以由用户自行决定是否激活。Jetpack 的主要功能是完全免费的。然而,这个插件的高级版本提供了备份和额外安全层的可能性。
以下是主要功能的列表:
- 设计模块;
- 营销功能;
- 暴力破解攻击保护;
- 垃圾邮件/评论过滤;
- 宕机时间监控;
- 恶意软件扫描;
- 双因素认证的安全登录;
- 支持功能。
四. All In One WP Security & Firewall
All in One Security and Firewall 包括额外的防火墙来保护你的博客。这个插件以多种方式保护网站,它提供了各种安全措施,并对你的博客的安全措施进行了说明。令人惊讶的是,它不会影响你博客的速度,而且完全免费。
请看这个插件的特点:
- 确保 "admin"用户名的安全,并允许更改它;
- 用户登录安全;
- 防止暴力破解攻击;
- 数据库安全;
- 文件系统安全;
- 防火墙功能;
- 安全扫描器。
五. Sucuri Security
这是另一个在保障 WordPress 网站安全方面享有盛誉的插件。Sucuri 插件的功能是相当令人印象深刻的。就像前几个插件一样,这个插件的付费版本也提供了额外的功能。
主要功能是:
- 安全审计;
- 监控文件的完整性;
- 远程扫描恶意程序;
- 监测黑名单,垃圾邮件/评论保护;
- 有效的安全增强;
- 黑客攻击后的安全措施;
- 防火墙(收费的附加功能)。
六. WP Cerber Security, Anti-spam & Malware Scan
这个漂亮的轻量级插件有许多安装用户和用户的积极评价。Cerber Security 插件提供了处理登录安全的工具,这有助于通过限制设定时间段内的登录请求总数来保护网站免受系统上的暴力破解。该插件通过 Google ReCaptcha 和 Cerber 的反垃圾邮件引擎阻止垃圾邮件/评论。
Cerber Security 的功能:
- 限制某个 IP 地址或子网的登录尝试;
- 设置白名单或黑名单;
- 活动监控和可定制的通知;
- 移动登录地址(wp-login.php、wp-register.php、wp-admin/)的 URL,提示不正确返回 404 错误;
- 禁用 RSS/Atom 提要、REST-API 服务、XML-RPC;
- 使用 reCAPTCHA 保护表单免受垃圾邮件/评论。
七. WP fail2ban
WP fail2ban 提供一种功能,而且是一个非常重要的功能:防止暴力破解。插件使用 LOG_AUTH 将所有登录尝试(无论性质和结果)记录到 syslog 中,你可以选择临时或永久禁止。这个插件是完全免费的。
八. BulletProof Security
这个插件的主要功能是通过在 .htaccess 文件中创建特定规则来完成的,BulletProof Security 不仅在 .htaccess 文件中创建规则以保护根目录,而且还保护 wp-admin 目录,以及许多其他重要的日志文件。和 WordFence 一样,BulletProof Security 也有提供付费版本,付费版本提供更多附加功能。
以下是 BulletProof Security 插件的主要功能列表:
- 保护资源免受最常见类型的攻击;
- 在维护模式下快速安装网站;
- 高级安全监控,包括检查漏洞;
- 详细的系统信息概览;
- 内置编辑界面;
- 垃圾邮件/评论保护。
九. VaultPress
这个插件主要是为 WordPress 网站备份而设计的。不过,没有试用版或免费版,因此请准备好选择付款计划。付款后,你将获得访问管理部分的权限,在那里你可以找到根据所选 VaultPress 计划为你的网站制作的完整备份列表。这项服务不仅允许你下载网站的副本,而且还可以通过几次点击来恢复它。要做到这一点,你将需要配置 FTP 或 SSH 服务与网站的连接。
除了这个方便的工具,VaultPress 还提供以下功能:
- 暴力破解攻击防护;
- 垃圾邮件/评论保护;
- 来自 WordPress 专家的支持;
- 30 天备份存档;
- Uptime 监控;
- 活动日志。
十. Shield Security
这是一个方便的插件,用于监控你的网站的安全。它不仅可以防止侵入性垃圾邮件/评论发送者,而且还提供了许多其他功能。最重要的功能之一是监测 WordPress 内核文件的变化,以此来防止黑客攻击。如果它发现差异,这个插件(取决于设置)要么通知管理员,要么自动恢复原始数据。
Shield Security 还提供以下功能:
- 防火墙;
- 登录尝试的限制;
- 恶意文件扫描;
- 自动 IP 黑名单;
- 双因素认证;
- 保护管理用户;
- 阻止垃圾评论。
若文章图片、下载链接等信息出错,请在评论区留言反馈,博主将第一时间更新!欢迎打赏!
评论