Wordfence是一个广受欢迎的WordPress安全插件,若希望提升网站的安全性,可以考虑安装Wordfence防火墙插件。
Wordfence安全插件简介
Wordfence是专为WordPress设计的知名安全插件,配备防火墙和恶意软件扫描功能。想了解Wordfence的具体运作方式,请查看相关资料。
简单来说,Wordfence能够阻止恶意插件的安装或包含恶意代码的文件,并能扫描网站上的所有文件以识别恶意代码。
此外,它还具备防止暴力破解密码、检查文件变动和漏洞检测等功能。
我尤其喜欢Wordfence的两个功能。
一、文件扫描
Wordfence的扫描工具可以对服务器上的所有文件进行全面扫描。若使用高级版,还可连接云端数据库进行更高效的文件对比扫描。例如,下图展示了一个空白的php文件被检测到的情况,
文件名:wp-admin / .php
文件类型:核心文件
详细信息:该文件存在于WordPress核心位置,但并未与当前版本的WordPress一同分发。这通常是由于之前的更新遗留下来的,或可能是攻击者通过其他插件或恶意文件添加的。
若网站遭到入侵,文件的改动会留下痕迹,及早发现并处理可以避免更大的损失。
二、防火墙功能
当网站受到攻击或垃圾爬虫抓取资源时,手动监控网站日志以封禁IP十分困难。但使用Wordfence的防火墙功能,可以自动拦截符合一定条件的IP。
例如,我的网站常常受到探测后门文件的垃圾爬虫骚扰,安装Wordfence后,防火墙自动拦截了很多可疑IP。
还有更多功能等待你安装后自行体验。
Wordfence插件下载链接
Wordfence提供免费版和高级版,主要区别在于高级版具备API权限,可以连接至其服务器以获取最新规则更新,包括实时IP黑名单、防火墙规则及恶意软件签名。此外,还包含高级支持、国家屏蔽、频繁扫描及垃圾邮件检查等功能。
下载链接
获取Wordfence专业版的方法
对于个人博客而言,免费版的功能通常已足够。不过最近在某个论坛上看到了获取Wordfence专业版密钥的方法,特此分享。
首先,安装Wordfence插件,具体安装教程可参考相关资料。
然后运行插件,会出现提示界面,要求输入邮箱地址。
在按钮处选择“No”(不接收广告邮件),勾选使用协议后,点击“CONTINUE”继续。
接着,在输入密钥的界面,直接选择“No Thanks”。
接下来,通过FTP(如使用宝塔面板可直接使用文件编辑功能),打开wp-content/plugins/wordfence/lib/wordfenceClass.php文件。
搜索以下代码:
if (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) {然后在该行代码下方的$siteurl = wfUtils::wpSiteURL();后添加以下四行代码:
wfConfig::set(isPaid, 1); wfConfig::set(keyType, wfAPI::KEY_TYPE_PAID_CURRENT); !!wfConfig::set(isPaid, 1); !!wfConfig::set(keyType, wfAPI::KEY_TYPE_PAID_CURRENT);
最终效果如下图所示:
保存文件并覆盖即可。
这一方法有效期未知,测试时使用的版本为Wordfence 7.4.1。
Wordfence使用注意事项
如果经济条件允许,请支持正版插件。
安装Wordfence后,可能会增加服务器负担。如果感觉网站变慢,可以考虑在需要进行文件安全扫描时启用Wordfence,而平时则关闭插件。
任何WordPress安全插件都只是辅助工具,关键在于做好服务器的安全防护。如果经济条件有限,不要使用盗版主题和插件,避免上传来路不明的文件和代码,设置复杂密码,通常情况下这样就能降低被入侵的风险。
此外,Wordfence还有一个优化选项,可以写入php.ini文件(适用于Nginx),看自己是否需要进行写入。我没有打算长期使用此插件,因此没有写入,写入后防护能力会更强一点。(如无法写入,请参考相关资料:修改.user.ini文件权限以提升Wordfence的防火墙等级)
