WordPress安全卫士:Wordfence Security

近来我发现个问题,上传到空间里的主题经常被自动添加了代码,特别是在主题目录里的functions.php文件的末尾会被添加上“跳转xxxx”的提示,说明博客代码被攻击了,一时也没找到好的解决办法,只能设置644权限来防止更改,但如何知道自己的博客被攻击甚至被篡改了呢,今天向大家推荐个强大的WordPress博客安全插件,我给命名为WordPress安全卫士:Wordfence Security。

2013-05-03_003003

一、Wordfence Security简介:

Wordfence Security 是一个Wordress安全插件,它具备以下功能:

  1. 文件防篡改:可检测核心文件、主题文件、插件文件是否被篡改、挂马、插后门。
  2. 后门检测:可检测网站文件中是否包含已知的恶意脚本。
  3. 防火墙:可通过防火墙规则自动屏蔽正在从事危险行为的访客。 具备一定的防DDOS能力。
  4. 防爆破:可防止黑客对后台密码进行暴力破解
  5. 防入侵:可检测当前站点是否含有已知漏洞。(收费功能)
  6. 访客统计:可列出当前访客的IP及地理位置(支持中国,可精确到市),可查看访客的来路及当前访问页面,若有可疑,可直接屏蔽之。
  7. 评论安全:可检测评论中是否包含钓鱼网站等危险URL
  8. 隐藏wordpress版本号:当指定版本出现漏洞时,此功能可防止黑客批量搜索到你并进行入侵。
  9. 密码安全:可检测用户的密码强度。
  10. 更多功能,请亲自研究…

二、Wordfence Security 后台功能选项介绍:

这是Wordfence Security插件的后台选项,我们从最后一个Options选项开始说起。

点击Options,进入选项页面。

Basic Options

这里写上你要接收警报的电子邮件,若发生安全问题,你将收到邮件通知。小窍门:使用中国移动邮箱即可接到短信通知。

最后一个选项是安全级别,不用管它,因为你改动了别的选项后它会自动变成自定义级别。

Alerts

这个选项组是为了定义插件应该在什么情况下给你发邮件,看图就会了。

Live Traffic View

这里是定义实时统计功能。它的功能并不是为了统计和分析流量,而是用来查看你的访客在你的网站上都做了什么。一旦出现让你不爽的人,block it干掉他。

Scans to include

这个选项组用来定义安全扫描功能。若要使用扫描功能,需点击插件选项菜单的Scan,后面会介绍。

Firewall Rules

这里用来设置防火墙功能。它能起到一定的防DDoS作用,但对于专业的DDoS攻击,用处自然不大。

举个例子,某个ip每秒钟访问了我几十个页面,这显然是不正常的访问。我们就进行如下设置防止这种情况:

If anyone’s requests exceed:  480per minute then block it  (当任意用户每分钟提交了480个以上的请求,则拦截。)

这个不截图了,翻译一下所有的选项:

If anyone’s requests exceed:当所有的请求数量超过……时

If a crawler’s page views exceed:当搜索引擎爬虫的请求数量超过……时

If a crawler’s pages not found (404s) exceed:当爬虫找不到页面(404)超过……时

If a human’s page views exceed:当真实访客的请求数量超过……时

If a human’s pages not found (404s) exceed:当真实访客找不到页面的数量超过……时

If 404′s for known vulnerable URL’s exceed:当对易受攻击的页面请求数量超过……时。 这里的易受攻击页面应该是一些耗资源页面,比如搜索等,因为短时间内大量的搜索会形成DDOS。具体没测试。

How long is an IP address blocked when it breaks a rule:拦截IP的时间。意思是一旦某个IP触发了上面的规则,应该关小黑屋多久。默认为五分钟。

Login Security Options

这里用来设置后台登陆安全。当有人尝试从后台登陆,密码错误次数达到阀值时锁定。当有人尝试使用找回密码功能,次数达到阀值时锁定。具体看图。

开始进行安全扫描

此时,插件设置完毕。下面来进行一次手动的安全扫描。

点击插件菜单中的Scan,进入扫描页面。在这里,可扫描你的站点文件是否被篡改过,是否被挂马,是否被插入后门。

直接点击最上面的蓝色按钮。扫描便会自动进行。

使用访客统计功能

点击插件菜单中的Live traffic选项,进入访客统计页面。

页面列出了网站访客的所有信息,甚至包括对搜索引擎蜘蛛的统计。

列表中详细显示了访客的具体位置,IP地址,操作系统,浏览器。如果看谁不爽,直接点block即可。

屏蔽IP列表

插件菜单中的 blcoked IPs 选项列出了所有已经被屏蔽的ip,方便统计和管理,很简单,不多介绍了。

收费功能

插件菜单中的其余两个选项属于收费功能,一个是屏蔽指定国家的所有访客。另一个是计划任务功能,可以让插件对网站进行定时扫描。个人觉得,免费版本完全够用了。

三、Wordfence Security 下载:

下载 Wordfence Security

思章老师

认准了方向,就要勇敢地走下去,十年磨一剑,我相信,只要坚持,一切都有可能。

相关日志

  1. 没有图片

    2009.07.20

    挖掘BBPress 论坛插件资源和风格资源

    菠萝筐前天安装上了BBPress论坛系统,结…

  2. 没有图片

    2012.08.16

    自适应网页设计原理分析(Responsive Web Design)转

    移动设备正超过桌面设备,成为访问互联网的最常…

  3. 没有图片

    2009.07.05

    WordPress 2.8 中文版发布

    WordPress 2.8 中文正式版官方已…

  4. 没有图片

    2010.05.08

    将硬盘分区转换为NTFS格式的命令

    在 Windows 2K 以上版本的操作系统…

  5. 没有图片

    2011.10.09

    拖家带口入住[木头的木]MT主机

    11号与漠然一起使用的国内主机就要到期了,一…

  6. 2011.10.22

    WordPress仿古书中文直排主题 VerTick

    今天帮朋友找书法类的WordPress主题,…

评论

  1. qq昵称大全 2016.11.15 6:00下午

    安装启动后就一直放着,也没注意有什么效果。。。

  2. 片段艺文志 2016.05.14 10:48下午

    很不错的安全插件,感谢你的中文注解!