A-A+

Wordfence Security – 最強的 WordPress 安全插件

2013年04月18日 WordPress, 研究資源 暫無評論

WordPress 是近幾年來最熱門的架站軟體,但也因為這樣引起了駭客的關注。WordPress 面臨高強度暴力破解,你做好防護了嗎?現在介紹一套能夠增強 WordPress 保護機制的外掛 – Wordfence Security。

Screen Shot 2013-04-18 at 12.11.16 PM

Wordfence Security 是一個安全性的外掛,簡單而且又好用,所以,可以在每安裝一個插件或是佈景主題後就掃瞄一下自已的WordPress看看是否安全,同時也讓上你網站的人可以安心的來訪。利人又利己的一個插件,因此,請第一個安裝它。

它具備以下功能:

  1.     文件防篡改:可檢測核心文件、主題文件、插件文件是否被篡改、掛馬、插後門。
  2.     後門檢測:可檢測網站文件中是否包含已知的惡意腳本。
  3.     防火牆:可通過防火牆規則自動屏蔽正在從事危險行為的訪客。具備一定的防DDOS能力。
  4.     防爆破:可防止黑客對後台密碼進行暴力破解
  5.     防入侵:可檢測當前站點是否含有已知漏洞。 (收費功能)
  6.     訪客統計:可列出當前訪客的IP及地理位置(支持中國,可精確到市),
    可查看訪客的來路及當前訪問頁面,若有可疑,可直接屏蔽之。
  7.     評論安全:可檢測評論中是否包含釣魚網站等危險URL
  8.     隱藏wordpress版本號:當指定版本出現漏洞時,此功能可防止黑客批量搜索到你並進行入侵。
  9.     密碼安全:可檢測用戶的密碼強度。
  10.     等等

安裝完成後會出現Wordfence Security這個位置在這兩個地方,左邊那個就是以後常會用到的按鈕。

Screen Shot 2013-04-18 at 12.14.04 PM

掃瞄你的WordPress是否有問題,因此按「Scan」。

Screen Shot 2013-04-18 at 12.17.26 PM

按「Start a Wordfence Scan」開始進行掃瞄。

Screen Shot 2013-04-18 at 12.18.24 PM

掃瞄後的情況,直接看最下面的畫面。
紅框出現的英文翻譯如下:

Screen Shot 2013-04-18 at 12.20.12 PM

工具:查看該文件。___________ 恢復該文件的原始版本。__ 如何修改的文件的。
解決:我已經修復了這個問題。___ 忽略,直到文件的變化。__ 總是忽略這個文件。

註1:通常如果你不確定這個文件是否有問題的情況下,選擇「Ignore until the file changes. 」(忽略,直到文件的變化。)。如果你發現掃瞄出來的是你覺得不安全的就請選「Roestor the original version of this file.」(恢復該文件的原始版本)。
註2:這個插件對核心文件的判別是以英文版本的wordpress為基礎的,中文版的wp個別文件與英文的不一樣,所以會有誤報。這就需要使用者有些許的代碼基礎進行判斷。不過基本不影響使用。

出現下列「Congratulations! You have no security issues on your site.」。
意思是「恭喜!您可以在您的網站上有任何安全問題。」

Screen Shot 2013-04-18 at 2.49.05 PM

(Blocked IPs) 封鎖的IP地址:如果你覺得哪個IP常常來貼一些垃圾文或是對你的網站進行不當攻擊,你可以直接封鎖它
(Country Blocking) 封鎖國家:如果你覺得哪個國家的網友是你不想讓他們來的,你也可以直接封鎖整個國家的IP,讓該國的人民無法來你的網站。

Screen Shot 2013-04-18 at 12.17.26 PM

(Advanced Blocking) 進階封鎖:您可以封鎖定特定範圍的IP地址訪問您的網站。

註3:其中兩個選項屬於收費功能,一個是屏蔽指定國家的所有訪客。另一個是計劃任務功能,可以讓插件對網站進行定時掃描。個人覺得,免費版本完全夠用了。

=================================

點擊Options,進入選項頁面。

Basic Options

(Where to email alerts:) 這裡寫上你要接收警報的電子郵件,若發生安全問題,你將收到郵件通知。可用逗號分隔多個電子郵件地址。
(Security Level:) 安全級別,不用管它,因為你改動了別的選項後它會自動變成自定義級別。

Screen Shot 2013-04-18 at 12.41.26 PM

=================================

Alerts

這個選項組是為了定義插件應該在什麼情況下給你發郵件。

Alert on critical problems    [ 有 (嚴重) 問題時提醒你 ]
Alert on warnings    [ 有 (警告) 時提醒你 ]
Alert when an IP address is blocked    [ 有IP地址被封鎖時提醒你 ]
Alert when someone is locked out from login    [ 有用戶登入被鎖時提醒你 ]
Alert when the "lost password" form is used for a valid user    [ 有用戶丟失密碼時提醒你 ]
Alert me when someone with administrator access signs in    [ 有用戶以管理員身分登入時提醒你 ]
Alert me when a non-admin user signs in [ 當有非管理員用戶登錄時提醒你 ]

=================================

Live Traffic View

這裡是定義實時統計功能。它的功能並不是為了統計和分析流量,而是用來查看你的訪客在你的網站上都做了什麼。一旦出現讓你不爽的人,block 他。

  1. 啟用自動排程掃描
  2. 掃描網站的漏洞嗎? (僅限付費會員)
  3. 掃描核心文件有否被篡改
  4. 掃描主題文件有否被篡改
  5. 掃描插件文件有否被篡改
  6. 掃描已知的惡意文件的簽名
  7. 掃描文件內容的後門程序,木馬和可疑代碼
  8. 掃描文章中已知危險的URL和可疑內容
  9. 掃描評論中已知危險的URL和可疑內容
  10. 掃描插件,主題和WordPress版本的日期
  11. 檢查密碼強度
  12. 掃描選項表
  13. 監控磁盤空間
  14. 掃描未經授權的DNS更改
  15. 掃描WordPress以外的安裝文件

=================================

Scans to include

這個選項組用來定義安全掃描功能。若要使用掃描功能,需點擊插件選項的Scan。

  1. 啟用自動排程掃描
  2. 掃描的漏洞面向公眾的網站嗎? (僅限付費會員)
  3. 掃描核心文件有否被篡改
  4. 掃描主題文件有否被篡改
  5. 掃描插件文件有否被篡改
  6. 掃描已知的惡意文件的簽名,如webshell
  7. 掃描文件內容有否後門程序,木馬和可疑代碼
  8. 掃描文章中已知危險的URL和可疑內容
  9. 掃描評論中已知危險的URL和可疑內容
  10. 掃描插件,主題和WordPress版本的日期
  11. 檢查密碼強度
  12. 掃描選項表
  13. 監控磁盤空間
  14. 掃描未經授權的DNS更改
  15. 掃描WordPress以外的文件

=================================

Firewall Rules

這裡用來設置防火牆功能。它能起到一定的防DDoS作用,但對於專業的DDoS攻擊,用處自然不大。
舉個例子,某個ip每秒鐘訪問了我幾十個頁面,這顯然是不正常的訪問。我們就進行如下設置防止這種情況:
If anyone's requests exceed:480per minute then block it (當任意用戶每分鐘提交了480個以上的請求,則攔截。)

翻譯一下所有的選項:
If anyone's requests exceed:當所有的請求數量超過……時
If a crawler's page views exceed:當搜索引擎爬蟲的請求數量超過……時
If a crawler's pages not found (404s) exceed:當爬蟲找不到頁面(404)超過……時
If a human's page views exceed:當真實訪客的請求數量超過……時
If a human's pages not found (404s) exceed:當真實訪客找不到頁面的數量超過……時
If 404′s for known vulnerable URL's exceed:當對易受攻擊的頁面請求數量超過……時。
這裡的易受攻擊頁面應該是一些耗資源頁面,比如搜索等,因為短時間內大量的搜索會形成DDOS。具體沒測試。
How long is an IP address blocked when it breaks a rule:攔截IP的時間。
意思是一旦某個IP觸發了上面的規則,應該關小黑屋多久。默認為五分鐘。

=================================

Login Security Options

這裡用來設置後台登陸安全。當有人嘗試從後台登陸,密碼錯誤次數達到閥值時鎖定。
當有人嘗試使用找回密碼功能,次數達到閥值時鎖定。

=================================

雖然wordpress爆出過的高危漏洞並不多,但wp在安全防護方面確實有很多不足,這是因為wp的定位並不是CMS,在用戶體驗和安全上,更偏重於前者。所以wp至今也沒有對後台的密碼錯誤次數進行限制,而且還有用戶名錯誤的提示,雖然這樣做的初衷是為了方便使用者,但同時也方便了入侵者。Wordfence Security 這款插件在很大程度上彌補了安全上的不足,安裝了它,就等於為網站安裝了一個強大的腳本防火牆。十分推薦使用

標籤: