您的位置 首页 wordpress插件

wordpress 安全插件: All In One WP Security

今天推荐这款插件叫 All In One WP Security。这是一款全方位的安全插件,它安全措施涵盖了网站安全的各个方面,除了保护用户账号的安全、注册登录的安全、数据库的安全、文件系统安全,还包括了 WHOIS 查询、黑名单管理、防火墙防护、暴力破解防护、垃圾评论防护、安全扫描器等功能。

而我们常见的修改默认登录用户名,修改数据库前缀、限制登录尝试、修改登录地址统统都可以在插件里面一键完成,避免了直接修改 wordpress 内核文件和数据库带来的麻烦和风险。

All In One WP Security 的安全和防火墙规则分为“基本”、“中级”和“高级”。通过这种方式,您可以逐步应用防火墙规则,而不会破坏站点的功能。

下面是这个插件提供的安全和防火墙措施列表:

一、用户帐户的安全

1、检测网站正在使用的 admin 登录用户名,并且可以轻松地将用户名更改为您选择的值。

2、检测网站是否有登录名和显示名相同的账户。因为帐户的显示名称与登录名称相同,直接暴露了登录用户名,让黑客的暴力破解难度降低了一半以上。

3、密码强度工具,可以帮你检测密码的强度,以及检测暴力破解该密码所需的时间,让您创建非常强大的密码。

4、阻止用户枚举。所以用户/机器人不能通过作者永久链接发现用户信息。

二、用户登录安全

1、限制登录尝试

使用登录锁定功能防止“暴力登录攻击”。具有特定 IP 地址或范围的用户将根据配置设置被锁定在系统外的预定时间内,您也可以选择邮件功能通知,当有人因为登录次数过多而被锁定时,通过电子邮件发送。作为管理员,您可以查看所有锁定用户的列表,这些用户显示在一个易于阅读和导航的表中,该表还允许您在单击按钮时解锁单个或批量 IP 地址。

2、登录表单黑、白名单

允许您在一个特殊的白名单中指定一个或多个 IP 地址。白名单 IP 地址将有权访问您的 WP 登录页面。黑名单则反之。

3、使用登录验证码

可以一键在 WordPress 登录表单中添加谷歌验证码或普通数学验证码。

三、用户注册安全

1、注册用户需管理员审核

启用 WordPress 用户帐户的手动审批。如果你的网站允许人们通过 WordPress 注册表单创建他们自己的账户,那么你可以通过手动批准每个注册来最小化垃圾邮件或虚假注册。

2、使用注册验证码

能够添加谷歌验证码或普通数学验证码到 WordPress 的用户注册页面,以保护您免受垃圾用户注册。能够添加蜜罐到 WordPress 的用户注册表,以减少机器人的注册尝试。

四、数据库安全

1、一键修改数据库前缀

通过单击按钮,可以轻松地将默认的 WP 前缀设置为您选择的值。

2、数据库自动备份

支持设置数据库自动备份和电子邮件通知,支持勾选数据库备份直接发送到管理员邮箱。

五、文件系统安全

1、一键修改不安全的文件权限

识别具有不安全权限设置的文件或文件夹,单击按钮将权限设置为推荐的安全值。

2、一键禁用后台文件编辑

禁用 WordPress 后台的文件编辑,保护您的 PHP 代码不被篡改。

3、轻松查看主机系统日志

从一个菜单页轻松地查看和监视所有主机系统日志,并随时了解服务器上发生的任何问题,以便能够快速地解决它们。

4、阻止人们访问自述文件。

阻止用户和搜索引擎访问 html、许可证、txt 和 wp-config-samp、WordPress 站点的 php 文件等。

5、htaccess 和 wp-config.php 文件备份和还原

轻松备份您原来的.htaccess 和 wp-config.php 文件,以防您需要使用它们来恢复损坏的功能。

修改当前活动的.htaccess 或 wp-config.php 中的内容。

六、黑名单功能

1、禁止指定 IP 地址(或指定 IP 范围)的用户访问我们的网站。

2、禁止指定用户代理服务器的用户访问我们的网站。或者直接禁止使用代理服务器的用户访问我们的网站。

七、防火墙功能

此插件允许您通过 htaccess 文件轻松地为您的站点添加大量防火墙保护,所以这些防火墙规则会在更改您站点上的 WordPress 代码之前停止恶意脚本。

1、访问控制设备,指定哪些设备可登录你的网站。

2、立即激活选择的防火墙设置,从基础,中级和高级。

3、启用著名的“6G 黑名单”防火墙规则;

4、禁止使用代理服务器发表评论。

5、阻塞对调试日志文件的访问。

6、禁用跟踪和跟踪。

7、拒绝坏的或恶意的查询字符串。

8、通过激活全面的高级字符串过滤器来防止跨站点脚本(XSS)。或者是那些在浏览器中没有特殊 cookie 的恶意机器人。您(网站管理员)将知道如何设置这个特殊的 cookie,并能够登录到您的网站。

9、WordPress ping – back 漏洞保护功能。这个防火墙特性允许/用户禁止访问 xmlrpc.php 文件,以防止 ping – back 功能中的某些漏洞。这也有助于阻止机器人不断访问 xmlrpc.php 文件和浪费您的服务器资源。

10、能够阻止假冒的 Googlebots 爬取你的网站。

11、防止图像盗链的能力。用这个来防止别人从盗链你的图像。

12、能够记录您的站点上所有的 404 事件,您还可以选择自动阻止过多攻击 404 的 IP 地址。

13、能够添加自定义规则来阻止对站点各种资源的访问。

八、暴力登陆攻击防范

1、限制登录尝试

设置限制登录尝试,可以阻止基于大量登录尝试的攻击。还支持勾选输错用户名一次马上锁定 IP。管理员可以轻松设置锁定时间。(需要注意的是,这个功能“六亲不认”,只认正确的用户名和密码。就算管理员自己输错用户名也会被马上锁定,谨慎选择是否勾选。)

2、添加登录验证码

能够添加一个简单的数学验证码到 WordPress 登录表单,以对抗暴力登录攻击。

3、隐藏管理员登录地址

支持一键重命名你的 WordPress 登录页面 URL,这样机器人和黑客就不能访问你真正的 WordPress 登录 URL。该功能允许您将默认登录页面(wp-login.php)更改为您配置的内容。

还能够使用登录蜜罐,这将有助于减少蛮力登录机器人的尝试。

九、Whols 查询

对可疑主机或 IP 地址执行 WhoIs 查找,并获得详细信息。

十、安全扫描器

1、监测文件修改

如果您的 WordPress 系统中有任何文件被修改,文件更改检测扫描程序可以提醒您。然后,您可以检查,看看这些修改是否是合法修改。防止一些恶意的代码被注入。

2、监测数据库的修改

数据库扫描功能可以用来扫描数据库表。它将在一些 WordPress 核心表中查找任何常见的可疑字符串、javascript 和 html 代码。

十一、垃圾评论防护

1、监控垃圾评论并加以阻止

监控最活跃的 IP 地址,该地址会持续产生最多的垃圾评论,并立即通过单击按钮阻止它们。

2、拦截非人为的僵尸评论

防止评论被提交,如果它不是来自您的域(这应该减少一些垃圾邮件僵尸评论张贴在您的网站)。

3、添加评论表单验证码

在你的 wordpress 评论表单中添加一个验证码来增加评论垃圾邮件的安全性。

4、自动并永久阻止超过一定数量垃圾评论的 IP 地址。

十二、前端文本复制保护

能够在网站前端禁用右击,文本选择和复制选项。

十三、定期更新和添加新的安全功能

由于 WordPress 的安全性不是一劳永逸的,而是是随着时间发展的。好消息是,这不仅是一款功能强大的安全插件,而且是有专家团队在更新的安全插件,插件的所有安全功能都会定期进行更新和维护。这可以保证我们我们的站点将处于安全保护技术的前沿。

总的来说,All In One WP Security 是一款全方位的 wordpress 的安全插件,几乎考虑到了大部分的安全风险,可以全方位、无死角的对 wordpress 的进行防护。非常难得的是这款插件完全免费。墙裂推荐!

本博客 [ 秋硕笔记 ] 内带有 原创 标签文章,均为秋硕独立创作。

撰文不易,转载请注明文章来源并保留原文链接:本文转载自 秋硕笔记

本文链接:https://www.cuikaiyun.cn/wordpressplug-all-in-one-wp-security.html

秋硕

关于作者: 秋硕

关注wordpress优化加速,以及优质主题、插件。

热门文章

发表评论