互联网络几乎每天都会有网站被攻击、被黑,网站要避免被攻击很难,但通过做好 WordPress 网站的防护,可以最大限度地避免网站被攻破,所以尽可能地提高网站的安全性,降低网站被黑的可能性。当然并非所有WordPress用户都能自己做网站安全防护工作,在此推荐一款优秀的 WordPress 安全插件 iThemes Security,这是款在 WordPress 官网下载量超百万的WordPress安全插件。
插件介绍
iThemes Security 插件是一款用于保护网站被黑的 WordPress 安全插件,一定程度上可以识别和阻止黑客对网站的攻击,插件分别针对电子商务网站、论坛网站、公益网站、博客网站、图片网站和推广网站几个类型的站点提供了不同的安全防护方案,用户只需要选择其中一种网站类型,然后根据提示点击“Next”完成设置即可,非常简单,几分钟就能插件的安全防护设置,使用这款插件可以有效节省网站的维护时间成本。
插件特点:(Pro) 表示收费版本才有的功能。
多层安全的 WordPress 登录保护
- 双重身份验证 (2FA) – 通过要求用户输入安全代码和密码才能登录,支持 Authy 和 Google Authenticator 等验证方法。
- 密码要求 – 在不到一分钟的时间内为您的用户创建和实施密码策略。
- reCAPTCHA (Pro) – 阻止恶意机器人在您的网站上进行滥用活动,例如尝试使用泄露的密码侵入您的网站、发布垃圾邮件,甚至抓取您的内容。
- 无密码登录 (Pro) – 使用 2fa 和强密码保护您的用户帐户,同时允许真实用户通过单击鼠标登录。
- 受信任的设备 (Pro) – 识别您和其他用户用来阻止会话劫持攻击并将管理员权限限制为受信任设备的设备。
为不同类型的用户级别提供不同的安全级别
在插件安全设置过程中,您可以识别网站的关键用户组,一旦确定了不同类型的用户,您就可以应用适合每个用户组的安全级别。
以下是用户组如何有助于保护网站的几个示例:
- 对于客户 – 假设您在客户的网站上配置 iThemes 安全性,您将决定他们是否需要使用双重身份验证,以及他们是否应该有权访问 iThemes 安全设置。
- 对于客户 – 如果您有一个电子商务网站,您将决定是否要使用密码策略保护客户帐户。
权限提升 (Pro) 还添加了一种安全可靠的方式来授予对您网站的临时管理员级别的访问权限。
通过锁定并阻止恶意机器人或用户代理
- 禁止用户 – 永久阻止屡犯者访问您的网站。
- 本地强力保护 – 自动识别和阻止对 WordPress 网站的最常见攻击方法。
- 网络强力保护 – 该网络是 iThemes 安全社区,拥有超过一百万个网站,如果有人试图闯入 iThemes Security 社区中的网站,iThemes Security 将通过网络阻止他们。
- Magic Links (Pro) – Magic Links 允许您在您的用户名被 iThemes Security Local Brute Force Protection 功能锁定时登录您的 WordPress 站点。
监控站点的安全运行状况
- 文件更改检测 – iThemes Security 记录对您的网站所做的更改,这有助于检测您网站上的恶意活动。
- Site Scanner – 每天两次检查 WordPress 核心文件、插件和主题的已知漏洞。使用 Google 安全浏览 API,Site Scan 还会检查您的 Google 的黑名单状态,如果 Google 在您的网站上发现任何恶意软件就会提醒您。
- Site Scanner (Pro) – 解锁版本管理以自动将补丁应用于站点扫描检测到的易受攻击的软件(如果可用)。
- 用户日志(专业版)——在您的 WordPress 安全日志中记录用户活动,包括登录/注销、用户注册、添加/删除插件、切换主题、更改帖子和页面等。
- 版本管理 (Pro) – iThemes Security Pro 中的版本管理功能允许您自动更新 WordPress、插件和主题。除此之外,版本管理还可以在您运行过时的软件并扫描旧网站时强化您的网站。
网站安全实用程序
- 强制 SSL – 强制通过 SSL/TLS 建立与网站的所有连接。
- 数据库备份 – 创建 WordPress 数据库的备份。 (不是完整的备份。)
- 地理位置 (Pro) – 通过连接到外部位置或映射 API 来改进受信任的设备。
高级安全工具
- 识别服务器 IP – 防止因无意锁定服务器 IP 而导致的问题。
- 更改用户 ID 1 – 更改第一个 WordPress 用户的用户 ID。
- 更改数据库前缀 – 更改 WordPress 使用的数据库前缀。
- 检查文件权限 – 查看您网站关键区域的文件和目录权限。
- 服务器配置规则 – 查看或刷新 iThemes Security 生成的服务器安全规则。
- wp-config.php 规则 – 查看或刷新 iThemes Security 生成的 wp-config.php 安全规则。
- 更改 WordPress 盐 – 在成功攻击后通过更改用于保护 cookie 和安全令牌的 WordPress 盐来保护您的网站。
- 隐藏登录 URL – 隐藏后端设置可以更改您网站的登录 URL。