WordPress插件Wordfence Security设置和使用教程

WordPress 是一个非常受欢迎的架站平台，因此它吸引了大量黑客的注意力，WordPress 被黑的情形也略有耳闻，尽管 WordPress 官方不断努力的使 WordPress 成为一个安全的内容管理系统，但是新的恶意软件和黑客还是不断涌现。

如果你发现你的网站有下面的情况，很有可能代表你的网站已经被黑了

• 网址被导向其他网站

• 无端被注册陌生的新帐户

• 被添加莫名的文章或是广告

• 网站变得超级慢

• 密码被更改无法登入控制台

• Google 搜索上显示“这个网站可能已遭到入侵”的警告

黑客通常会利用某些插件或是布景主题的漏洞来入侵你的网站，或是某些不肖的开发商在自己的产品嵌入有害的程序码，所以这就是为什么我们需要定期扫描 WordPress 档案，检查恶意软件或是恶意程序码是否被安插到我们的网站上。

Wordfence Security 简介

Wordfence Security是 WordPress 上最受欢迎的安全防护插件之一，它有超过 3 百万以上的有效安装以及 3,000 多个五星评价。

它包含了网页应用程序防火墙（Web Application Firewall）、恶意软件扫描功能（Malware Scanner）和双重要素验证（Two-factor Authentication），能够确保你的网站安全。

插件的下载和安装

Wordfence Security 插件的启用可以直接到官网下载，然后通过FTP工具上传到WordPress插件目录下并在后台启用，也可以直接在后台搜索Wordfence Security安装并启用。

官网下载地址：https://wordpress.org/plugins/wordfence/

Wordfence Security 功能

文件防篡改：可检测WP核心文件、主题文件、插件文件是否被篡改、挂马、插后门。

后门检测：可检测网站所有文件中是否含有数据库里已知的恶意脚本和代码。

防火墙：可通过防火墙规则自动屏蔽正在从事危险行为的访客，具备一定的防DDOS能力。

防爆破：可防止黑客对后台密码进行暴力破解。

缓存清除：媒体库里没使用的图片，过期的网站模板，插件，wordpress的安装包等都可以有效的清除。

评论安全：可检测评论中是否包含钓鱼网站等危险URLs。

隐藏wordpress版本号：当指定版本出现漏洞时，此功能可防止黑客批量搜索到你并进行入侵。

密码安全：可检测用户的密码强度。

访客统计：可列出当前访客的IP及地理位置（支持中国，可精确到市），可查看访客的来路及当前访问页面。若有可疑，可直接屏蔽。

Wordfence Security目前主要有Dashboard（仪表盘）、Scan（扫描检测）、Firewall（防火墙）、Blocking(IP封锁)、 Live Traffic（实时流量统计）、Tools（工具）、Options（选项）几个面板，下面我们一起来具体了解一下这款插件。

Dashboard面板

Dashbord面板主要包含了一些网站的概览，你可以通过这个面板大致了解到网站当前的安全状况以及攻击数据。

Last scan completed ：显示站点上次扫描的时间及概况。如果有问题的话，你可以通过点击链接查看相关问题。

Notifications：显示最新的扫描结果以及等待更新的主题、插件之类的内容。你可以通过点击后面的“X”号关闭相应的通知。

Feature Status：这地方主要显示你插件启用了那些功能，你可以通过点击链接进行一些基础的设置，但是需要注意的是一些功能启用需要多种设置，比如说对某一国家IP进行封锁你需要先选择一个国家IP封锁才起作用，否则即使你启用了IP封锁如果没有指定那个国家，那么这个功能也是无效的。（需要特别注意的是一些功能只有付费版才起作用）

Threat Defense Feed：这地方显示最新的恶意软件签名和防火墙规则。免费用户要比付费用户晚更新数据30天，其实主要还是激励用户购买插件的，忽略即可。

Top IPs Blocked：被封锁IP地址排行榜，包括国家和封锁次数。

Login Attempts：显示最近登陆的用户名、IP地址以及登陆时间，包含登陆成功以及登陆失败的用户。

Firewall Summary – Attacks blocked for (site)：显示被封锁IP的攻击数据，新安装的用户可能需要一段时间来积累数据。

Total Attacks Blocked – Wordfence Network：显示网站的总攻击数据。

Top Countries by Number of Attacks – Last 7 Days：类似于Top IPs Blocked，只不过这里显示的是国家。

Scan面板

Scan面板主要是对一些扫描内容的描述，包括工作方式以及扫描内容。在这个面板下有3个选项卡Scan、Scheduling以及Options。

Scan选项卡

首先是Scan选项卡，在这里你可以通过点击START A WORDPFENCE SCAN按钮开始一次扫描。Wordfence将会扫描检查你网站上包括WP核心文件、主题、插件在内的的所有文件并检查是否有恶意代码、后门、程序是否被挂马、文件是否被篡改、IP是否被恶意使用，除此之外，它还检查你所有的帖子,页面和评论并寻找恶意代码和url等。

如果Wordfence发现任何问题，它将在下方显示出来，红色的“X”号表示当前的文件需要及时查看并处理。黄色的警告符号表示当前文件存在一些问题，但是问题不大，可以暂时忽略。

Scan Summary：主要是一些扫描的总览，包括扫描时间、扫描内容、扫描结果。

Scan Detailed Activity：这里显示的是一些更加详细的扫描结果，你可以使用将扫描结果发送到指定邮箱，然后下载下来仔细查看。

最下面对话框显示你最新扫描所发现的问题以及以往你所忽略的问题。如果你扫描之后示“Congratulations! No security problems were detected by Wordfence.”那么恭喜你，你的网站没有安全问题。

Scheduling选项卡

Scheduling选项卡主要是用来设置自动扫描的，免费版只能使用默认的自动扫描，高级版的用户可以进行自定义设置，如果你跟我一样是免费用户，那就不用管这个选项卡就好了。

Option选项卡

这个选项卡可以说是Scan面板的重头戏了，你可以在这个选项卡下配置一些扫描的规则，如果实在不知道该选些什么好，有必要的话全勾选上也可以，下图是对各选项的一些解释翻译。

FireWall面板

FireWall面板主要是用来设置网站防火墙，在该面板下提供了三个选项卡，分别是Web Application Firewall（Web应用程序防火墙）、Brute Force Protection（强力保护）、Rate Limiting（速率限制）。

Web Application Firewall选项卡

Web应用程序防火墙是一个基于PHP的应用程序级防火墙，它可以过滤掉您的站点的恶意请求。 它设置为在WordPress初始化开始时运行，以便在插件或主题运行恶意代码之前过滤掉攻击。

Protection Level：可以设置你的保护级别，默认是启用的“基础WordPress防护”你可以启用“扩展保护”，扩展保护允许防火墙在WordPress启动之前运行，防止额外的攻击。

Firewall Status：此选项用来设置防火墙的模式，插件提供三种模式Learning Mode（学习模式）、Enabled and Protecting（启用并保护）、Disabled（禁用），一般选择Enabled and Protecting就好。

Rules：这里面是Wordfence提供的一些常见攻击的匹配规则，防火墙通过这些规则来确定访问是否是恶意的。默认全部勾选上就好。

Whitelisted URLs：用来设置URL白名单，添加到白名单的URL会跳过上面设置的匹配规则而不被防火墙所拦截。

Brute Force Protection选项卡

该选项卡主要是对用户名及密码安全的防护设置，具体也没有什么好解释的，老规矩翻译一下。

Rate Limiting选项卡

速率限制主要是用来控制用户访问您的网站内容的一些规则，它能起到一定的防DDoS作用，但对于专业的DDoS攻击，用处不是很大。

Blocking面板

Blocking面板主要是用来设置阻止某些特定的IP地址访问的，例如某些试图攻击你的IP地址，一些网络爬虫或者是某些国家的访问。Blocking面板下有三个选项卡，分别为Blocked IPs（被锁定的IP地址）、Country Blocking（封锁中的国家）以及Advanced Blocking（高级锁定设置），其中Country Blocking只有高级用户可以进行设置，免费版不支持此功能。这个面板的设置比较简单，在此就不多加赘述。

Live Traffic面板

Live Traffic面板主要是用来查看你的访客在你的网站上都做了什么，这些访客不单单是指真实访客，还包括网络爬虫。你可以通过面板下的选项分别查看不同类别的用户。通过该面板下的数据你可以清晰的了解到访问者的国家、IP地址、访问的页面、访问者使用的浏览器、访问的时间等一些列信息，并且你可以对某些访问异常的用户进行封禁处理。

Tools面板

Tools面板主要是一些小工具，包括Password Audit、Whois Lookup、Cellphone Sign-in以及Diagnostics，其中Password Audit与Cellphone Sign-in是高级付费功能，对于大部分免费用户来讲，除了偶尔查查某些IP地址或域名的归属以及查看下自己主机或者服务器的配置以外，这个面板也就没啥用了。

Options面板

又一个Wordfence非常重要的面板，其实，如果你设置好了Options面板，上面所阐述的一些设置选项就很简单了，Options面板几乎包含了这款插件所有的配置选项。这个面板下的设置选项比较多，需要说明的东西也不少，稳住性子慢慢看吧。

License

这里主要是你Wordfence的认证级别，如果你是付费用户，在Wordfence API Key处填上你获取的API密钥就可以使用付费功能了，如果是免费用户，那么Wordfence默认会提供一个免费API密钥来进行认证。

Basic Options

Wordfence的基础选项是这款插件最最最重要的地方，我们应该对其特别关注。多说无益，首先还是老套路，翻译一下各个选项，如果连各个选项是啥都不知道的话还怎么配置。

以上既是对Wordfence基础选项的解释，值得注意的是如果你没有启用Enable Rate Limiting and Advanced Blocking与Enable login security 选项，那么国家封锁（如果你是高级客户）、节流、IP封锁、强力密码保护等功能将不起作用。另外，个人建议既然使用了这款插件最后设置下Email地址方便接收网站警报。其他选项就根据自己需要设置下就可以了。

Advanced Options

除了一些最基本的配置，Wordfence还提供了一些高级的选项设置以满足人们更高的安全需求，需要注意的是，高级选项是建立在发送邮件的基础上的，所以你必须确保自己的主机/服务器能够正常发送邮件，并且在基础选项中配置好了接收警报的邮箱。

高级选项的配置其实并没有特别难，通过上面的翻译我们基本上就可以轻松配置了，至于高级面板下面的Live Traffic View、Scans to include、Rate Limiting Rules、Rate Limiting Rules前面已经说的很详细了，这里就不再重复了。

结论

Wordfence Security有着相当友善的操作介面、强大的防火墙、可修复受损档案的扫描功能、双重登入验证防护，它不会减缓你的网站速度而且它还是免费的开源程序，在这边推荐给想要加强 WordPress 安全性的读者们。

如果你喜欢 Wordfence Security 并且想要获得更进一步的安全防护，你可以参考 Wordfence Premium 付费版，和免费版相比它增加了以下功能：

• 即时封锁 IP 黑名单

• 即时防火墙规则更新

• 即时病毒库更新

• 网站信誉检查

• 封锁特定国家流量攻击

最好的防护网站方式还是需要从源头做起，你应该要选择优良的虚拟主机供应商，避免安装来路不明的主题和插件，使用高强度的登入密码，保持 WordPress 和插件在最新的版本，才可以最大限度的减少恶意程序码的入侵。