WordPress安全卫士:Wordfence Security

近来我发现个问题,上传到空间里的主题经常被自动添加了代码,特别是在主题目录里的functions.php文件的末尾会被添加上“跳转xxxx”的提示,说明博客代码被攻击了,一时也没找到好的解决办法,只能设置644权限来防止更改,但如何知道自己的博客被攻击甚至被篡改了呢,今天向大家推荐个强大的WordPress博客安全插件,我给命名为WordPress安全卫士:Wordfence Security。

2013-05-03_003003

一、Wordfence Security简介:

Wordfence Security 是一个Wordress安全插件,它具备以下功能:

  1. 文件防篡改:可检测核心文件、主题文件、插件文件是否被篡改、挂马、插后门。
  2. 后门检测:可检测网站文件中是否包含已知的恶意脚本。
  3. 防火墙:可通过防火墙规则自动屏蔽正在从事危险行为的访客。 具备一定的防DDOS能力。
  4. 防爆破:可防止黑客对后台密码进行暴力破解
  5. 防入侵:可检测当前站点是否含有已知漏洞。(收费功能)
  6. 访客统计:可列出当前访客的IP及地理位置(支持中国,可精确到市),可查看访客的来路及当前访问页面,若有可疑,可直接屏蔽之。
  7. 评论安全:可检测评论中是否包含钓鱼网站等危险URL
  8. 隐藏wordpress版本号:当指定版本出现漏洞时,此功能可防止黑客批量搜索到你并进行入侵。
  9. 密码安全:可检测用户的密码强度。
  10. 更多功能,请亲自研究…

二、Wordfence Security 后台功能选项介绍:

这是Wordfence Security插件的后台选项,我们从最后一个Options选项开始说起。

点击Options,进入选项页面。

Basic Options

这里写上你要接收警报的电子邮件,若发生安全问题,你将收到邮件通知。小窍门:使用中国移动邮箱即可接到短信通知。

最后一个选项是安全级别,不用管它,因为你改动了别的选项后它会自动变成自定义级别。

Alerts

这个选项组是为了定义插件应该在什么情况下给你发邮件,看图就会了。

Live Traffic View

这里是定义实时统计功能。它的功能并不是为了统计和分析流量,而是用来查看你的访客在你的网站上都做了什么。一旦出现让你不爽的人,block it干掉他。

Scans to include

这个选项组用来定义安全扫描功能。若要使用扫描功能,需点击插件选项菜单的Scan,后面会介绍。

Firewall Rules

这里用来设置防火墙功能。它能起到一定的防DDoS作用,但对于专业的DDoS攻击,用处自然不大。

举个例子,某个ip每秒钟访问了我几十个页面,这显然是不正常的访问。我们就进行如下设置防止这种情况:

If anyone’s requests exceed:  480per minute then block it  (当任意用户每分钟提交了480个以上的请求,则拦截。)

这个不截图了,翻译一下所有的选项:

If anyone’s requests exceed:当所有的请求数量超过……时

If a crawler’s page views exceed:当搜索引擎爬虫的请求数量超过……时

If a crawler’s pages not found (404s) exceed:当爬虫找不到页面(404)超过……时

If a human’s page views exceed:当真实访客的请求数量超过……时

If a human’s pages not found (404s) exceed:当真实访客找不到页面的数量超过……时

If 404′s for known vulnerable URL’s exceed:当对易受攻击的页面请求数量超过……时。 这里的易受攻击页面应该是一些耗资源页面,比如搜索等,因为短时间内大量的搜索会形成DDOS。具体没测试。

How long is an IP address blocked when it breaks a rule:拦截IP的时间。意思是一旦某个IP触发了上面的规则,应该关小黑屋多久。默认为五分钟。

Login Security Options

这里用来设置后台登陆安全。当有人尝试从后台登陆,密码错误次数达到阀值时锁定。当有人尝试使用找回密码功能,次数达到阀值时锁定。具体看图。

开始进行安全扫描

此时,插件设置完毕。下面来进行一次手动的安全扫描。

点击插件菜单中的Scan,进入扫描页面。在这里,可扫描你的站点文件是否被篡改过,是否被挂马,是否被插入后门。

直接点击最上面的蓝色按钮。扫描便会自动进行。

使用访客统计功能

点击插件菜单中的Live traffic选项,进入访客统计页面。

页面列出了网站访客的所有信息,甚至包括对搜索引擎蜘蛛的统计。

列表中详细显示了访客的具体位置,IP地址,操作系统,浏览器。如果看谁不爽,直接点block即可。

屏蔽IP列表

插件菜单中的 blcoked IPs 选项列出了所有已经被屏蔽的ip,方便统计和管理,很简单,不多介绍了。

收费功能

插件菜单中的其余两个选项属于收费功能,一个是屏蔽指定国家的所有访客。另一个是计划任务功能,可以让插件对网站进行定时扫描。个人觉得,免费版本完全够用了。

三、Wordfence Security 下载:

下载 Wordfence Security

落花生

认准了方向,就要勇敢地走下去,十年磨一剑,我相信,只要坚持,一切都有可能。

相关日志

  1. 没有图片

    2011.10.23

    WordPress日志分栏显示方法初探

    通常我们见到的WordPress博客显示的文…

  2. 没有图片

    2010.09.27

    Outlook 2010 的功能和优点

    Microsoft Outlook 2010…

  3. 没有图片

    2010.05.05

    网页设计可用的免费图案和纹理资源

    对于设计者来说,收藏一些图案和纹理资源非常有…

  4. 没有图片

    2012.08.16

    自适应网页设计原理分析(Responsive Web Design)转

    移动设备正超过桌面设备,成为访问互联网的最常…

  5. 没有图片

    2010.07.05

    Windows 8 图片惊现网络

    近日,Windows 8 惊现网络,Wind…

  6. 没有图片

    2010.03.15

    DEDECMS二级目录|一级目录|网站名标题SEO优化

    在DEDECMS标题中去掉斜线的办法一文中,…

评论

  1. qq昵称大全 2016.11.15 6:00下午

    安装启动后就一直放着,也没注意有什么效果。。。

  2. 片段艺文志 2016.05.14 10:48下午

    很不错的安全插件,感谢你的中文注解!

  3. in1874 2014.09.05 8:09下午

    不晓得有没有中文包·!

  4. 光辉 2013.06.27 10:08上午

    一会去试试。

  5. jiedragon 2013.06.16 3:22上午

    API怎么得到

    • 落花生 2013.08.30 1:23下午

      API可以自动获取,好像不用特意去弄

  6. 有野出没 2013.06.07 4:59下午

    这个不会很占用资源吧?

  7. 老罗 2013.05.18 5:16下午

    建个博客还那么多攻击,实在可恶!

  8. Louis Han 2013.05.12 12:50上午

    以前也用过类似插件 不过感觉并不怎么靠谱

    • 落花生 2013.05.14 11:22上午

      这个是我亲自在用的,很靠谱!使用这个工具,我排除了很多漏洞

  9. evan 2013.05.11 3:12下午

    没试过~~ 可以试试的说~~ 不过安全方面的东西 还是靠个人意识来得好~~

    • 落花生 2013.08.30 1:24下午

      是的,自己在安全方面多防范一下,基本上可以搞定攻击,不过这个工具太有用了,文件被改都可以检测到

  10. 平板盒子 2013.05.06 9:39下午

    好高级的样子,会不会引起网速慢?

    • 落花生 2013.05.07 3:12下午

      不会,这个不是一直占用资源的,我现在用着,没感觉出慢来着,功能还真是强大!

      • ℡Sheng 2013.11.04 4:59下午

        我看live traffic 里面几乎1秒一个IP进来 可是为什么数据分析的软件统计却没有?求解释

  11. 伊泽 2013.05.06 6:17上午

    这个有用~~~~学习了·~~~

About

马拉松运动员,沉迷于跑步;关注科技前沿,关注互联网!与跑者、程序员、设计师为伍,一起跑步健身,一起编写程序,为自由而战!