Wordfence Security 插件可提供全面的 WordPress 安全解决方案。Wordfence Premium 则是其高级版本,可针对最新漏洞提供保护、检测最新恶意软件以及阻止当前攻击 WordPress 网站的恶意 IP 地址等。
安装与激活 Wordfence Security Premium 插件
在安装 Premium 版本之前,先下载其 Free 版本,也可以在 WordPress 后台搜索 “Wordfence Security”在线安装。
安装并启用 Wordfence Free 版插件后,会提示输入许可证:
点击“GET YOUR WORDFENCE LICENSE”按钮,获取一个免费的许可证。只需要填写一个有效的Email地址,随后会在邮件中收到许可证。如下图:
再返回到插件刚才的提示页,点击:“Install an existing license”安装现有许可证。
安装完成后,下载 Wordfence Security Premium 插件,并在仪表板中上传安装,会自动覆盖替换 Free 版本。(注意:如不是在站长帮下载的Premium版,不适用该激活方式。)
再回到 Wordfence 仪表盘,能看到许可证变成了“高级许可证”,如下图:
Wordfence Security Premium 设置指南
“Wordfence > 所有选项”菜单中,可以看到插件的所有功能设置选项。Wordfence 插件的默认配置已可适配大部分网站需求,所以需要修改的设置并不多。
常规Wordfence选项
建议勾选下列选项,其它保持默认
- 隐藏WordPress版本
- 禁用上传(wp-content/uploads)目录的代码执行
一般情况下 wp-content/uploads 是没有PHP程序文件的。
仪表板通知选项
这个地方除了安全警报与扫描状态两项之外,其余的都不建议勾选。其余的都有广告成份,而且会频繁请求远程端资源。
需要通过电子邮件通知的选项
开启这个功能,首先确定 WordPress 主机能正常发送Email,否则开启了也无效,甚至导致一些PHP错误。推荐使用 WP Mail SMTP Pro 插件。
如果Email发送功能正常,选项可以根据自己需求勾选相应的通知。
防火墙选项
这个地方,如果你不清除每一步的操作意味着什么后果,则不建议修改,保持默认设置则可。
新安装的 Security 插件,不会立即应用防火墙配置而是开启学习模式。在学习模式中插件会先扫描和记录网站结构,最长1周的时间后再启用防火墙配置。这一点 Security 插件比其他同类插件做得都好。
扫描选项
开启扫描选项后, Security 插件会定期扫描网站上的所有文件是否被篡改以及是否有恶意代码。如果网站文件较多的话,但该功能会消耗大量的服务器资源,如果服务器配置较低而扫描任务较大,有可能造成服务器响应速度骤降甚至出现502错误。
所以在开启该选项后,建议观察服务器的内存与CPU占用情况,如果太高的话,可以适当降低扫描频率甚至关闭自动扫描功能,改用手动扫描(在访问量不大的时候操作)。
一般情况下推荐使用“限制扫描”选项,仅占用较低的系统资源。
Nginx 服务器设置 .user.ini 文件
如果在一个主机中有多个站点,最好在每个站点的根目录中创建一个.user.ini 文件,这样可防止跨站攻击。
“Wordfence > 防火墙 > 优化Wordfence防火墙”页面中可下载 .user.ini 文件,将该文件上传至网站根目录后,还需在 Nginx 的主机配置文件中添加以下代码(防止该文件被读取或篡改):
location ~ ^/\.user\.ini {
deny all;
}如果 WordPress 安装在子目录中,则需要使用以下代码:
location ~ ^/wordpress/\.user\.ini {
deny all;
}注意替换wordpress为正确的目录路径。
如果是Apache服务器,正确情况下插件会自动在.htaccess中创建相应的设置。除非.htaccess文件不可写入。
提示
如果使用宝塔面板、LNMP一键包或部分主机商提供的主机面板,是自带防跨站设置的。无需重复下载 .user.ini 文件。