All In One WP Security & Firewall的母公司Tips and Tricks HQ,它可不仅仅只研发了All In One WP Security & Firewall这一款安全防护插件,它的旗下还包含了Wordpress eStore Plugin、WP Affiliate Platform、WP eMember、WP PDF Stamper (single site)、WP PDF Viewer、WP Lightbox Ultimate、WP Photo Seller (single site)等多款实用性非常强的wordpress插件。

WordPress网站安全防护插件All In One WP Security & Firewall

接下来讲下All In One WP Security & Firewall的安装和使用。

安装All In One WP Security & Firewall

如上图所示,我们在自己网站的wordpress后台点击“安装插件”按钮,在右侧的搜索框中输入关键词“All In One WP Security & Firewall”,等出现上图的搜索结果之后,再点击“现在安装”按钮即可,安装完成之后点击“启用”按钮,这样就完成了All In One WP Security & Firewall安全防护插件的整个安装过程。下面我们来看一下具体的插件设置过程。

步骤一:在所有的设置开始之前,请备份自己网站的.htaccess 文件,数据库和wp-config.php文件

这三个文件是对自己网站至关重要的三个文件,有了这三个文件,哪怕网站 有一天突然出问题奔溃了,我们也能够利用这三个文件进行恢复。有的同学可能会说,我不太懂这方面的技术知识,不知道该如何去备份这三个文件。不用担心, All In One WP Security & Firewall安全防护插件已经为你设置了一键式快速备份按钮功能,如下图所示:

备份文件

在安装All In One WP Security & Firewall插件之前,我猜绝大部分的同学网站后台都存在不止一个wordpress插件,这些插件的某些特定功能可能会因为All In One WP Security & Firewall插件的启用而遭到禁止,如果你想要继续使用这些特定功能,那么可以通过禁用All In One WP Security & Firewall的安全功能来实现,但要做好取舍,毕竟鱼与熊掌不可兼得。

同理,某些网站当前的防火墙规则可能与All In One WP Security & Firewall的防火墙规则发生冲突,我们也可以通过禁用All In One WP Security & Firewall的防火墙规则来实现,具体操作是在.htacess文件中进行。当然,如果你的技术足够的话,可以自行在.htacess文件中编写网站的防火墙规则。万一出现了.htacess文件在编辑过程中发生了不可逆的错误或者想替换会原来的.htacess文件,那么在All In One WP Security & Firewall插件的设置菜单中选择.htacess文件,点击回复即可回到备份的文件状态,如下图所示:

一键恢复

步骤二:移除网站的wordpress版本信息

在很多的wordpress网站安全漏洞案例中,集中出现了破坏者利用软件抓取某个网站的wordpress版本信息,利用现有已知的对该版本漏洞进行破坏性侵入的情况。针对这种情况,All In One WP Security & Firewall也提供了相应的安全防护措施,如下图所示:

移除网站的wordpress版本信息

因为配置All In One WP Security & Firewall的相关设置比较繁琐,所以它提供了一键导出设置功能。这个功能的作用就是当你完成了某个网站的该插件安全防护设置之后,你通过保存并导出这些相关安全设置并在新的网站中一键导入它的安全设置文件,这样就避免了再次重复设置和编写防火墙规则等重复性事情,能够让你更加的省心省力!

步骤三:更改wordpress后台的登录账户名

很多人并没有意识到一个独特的wordpress后台登录账户对网站安全防护的重要性。即使在不断强调网站安全防护的今天也依然有很多人在用admin或者wp-admin之类的烂大街账户作为自己的网站后台登录账户,这样的设置很容易被网站破坏者侵入而造成不必要的损失。所以All In One WP Security & Firewall插件提供了更改登录账户名的功能,让这样的不必要风险隐患彻底消失。

步骤四:用户登录的相关设置

在某些不知道的情况下,你或者其他网站使用者的账号已经被泄露了,这样的情况即使你再去操作步骤三的过程也没有办法挽救,你要做的是对用户登录情况的相关设置。因为当前的情况下,网站破坏者只获得了若干登录账户而没有得到密码,那么如果没有安装All In One WP Security & Firewall之类的安全防护插件,他们可以不受限制的进行试错登录尝试。但是安装了安全防护插件之后,这个试错性登录的次数就有限制了,这个次数可以自行设置,比方说3次或者5次,如果连续超过这个限制次数,那么该网站破坏者的ip就会被锁定,从而在某段时间内禁止登录和访问。当然这个时间段也是能够在All In One WP Security & Firewall安全防护插件中根据自己的需要进行自定义设置的。

如果有些同学非要嘴犟说自己记性不好,也不经常登录,而且密码也没有进行记录,但自己是网站所有者想登录后台,一旦超过了预设的登录失败限制次数,那不是同样要被圈禁在小黑屋中无法访问了吗?不用担心,All In One WP Security & Firewall早就为你们贴心的考虑到了这一点,你可以在它的设置中将自己的ip添加到后台的访问ip白名单中,这样即使你试错了100次也能够正大光明的进行再次登录尝试。如下图所示:

访问ip白名单

步骤五:用户注册的审核机制

我们都知道外链是网站优化过程中不可避开的一个重要环节,所以很多时候我们会开放一个注册账号进行内容评论的功能。有过这方面经验的同学都知道,很多评论都和狗屎一样非常恶心,纯粹是为了做外链而做外链,一点技术含量都没有。所以All In One WP Security & Firewall提供了相对于的用户注册审核机制。所有的新注册账号都将成为待激活状态,除非你审核允许,否则这些账号都将永远处在待激活状态而不能进行正常的评论或者其他相关操作。如果你看某些账号很像“潜在的网站破坏分子”,那么直接删除这些账号就可以了,简单而又干脆!(手握生杀大权的感觉是不是非常不错?哈哈哈)

但是我们要注意到一点,现在越来越多的网站新账号注册采用的软件注册而非人工,这样的注册更加具有隐蔽性,软件根据事先写好的脚本进行逻辑性操作很难被发现,所以All In One WP Security & Firewall安全防护插件又给我们添加了另外一层安全防护叫做注册验证,当某个账号注册软件进行账号注册的时候会遇到All In One WP Security & Firewall插件给出的一道验证码数学题,比方说1+*=6,只有当填入的数据是5的时候才会被验证通过放行,但市面上绝大多数账号注册软件是不可能存在这种逻辑脚本的,这样就为我们的网站添加了更多的安全防护属性!

此外,All In One WP Security & Firewall插件还设置了注册账号软件的钓鱼陷阱。这些钓鱼陷阱在网页前端是看不到的,因为被隐匿了,但是软件不一样啊,它是通过抓取注册代码来进行操作的,结果这些钓鱼陷阱的代码通过设定一个特殊的值,让账号注册软件去填充,一填充就落入了陷阱,All In One WP Security & Firewall这个安全防护插件就知道当前在注册账号的肯定是个软件机器人。

步骤六:数据库、文件系统安全、黑名单管理的相关设置

这两个项目没有什么特别好说的。数据库安全防护更多的是修改数据库数据表前缀;而文件系统安全的防护更多的是集中在文件读写权限,一般设置成0755就可以了。黑名单管理设计到前面我们说的暴力破解和试错登录,因为All In One WP Security & Firewall这个安全防护插件已经在事前采集到了这些违规的ip,那么它会直接添加到这个ip黑名单中来。当然了还有些人不想让某些人(同行或者竞争对手)、某些国家和地区;那么也可以添加对应的代码段来进行操作。比方说我添加一个美国的ip段,那么这些憨憨就不能看到我大中华的社会主义建设新气象了,哈哈哈!

步骤七:防火墙规则设置和暴力破解安全防范

需要写对应的网站防火墙规则的同学自行去谷歌搜索一下吧,应该会有你们想要的答案!至于说暴力破解防范,可以通过更改默认的网站登录页面url实现,改变之后登录页面的url就不再是example.com/wp-admin了,也有可能是example.com/dajisodjaidjkoxanuwhb,这样也能够不免很多不必要的暴力破解的疯狂攻击。这和盗墓一样,连盗墓入口都没找到,盗个锤子!

步骤八:扫描器功能

假设某个很厉害的高手已经程度侵入了你的网站,并且已经将某些破坏性文件植入了你的网站后台,而你在网页前端根本看不到异样,这就非常尴尬了。所以All In One WP Security & Firewall插件为我们提供了文件扫描功能,一键点击扫描我们网站后台的核心文件和以.php和.js之类不太经常改动的文件,如果有异常会进行警示,当然你也可以启用它的自动扫描功能,选择某个星期中的一天进行定期扫描,这样的好处就是,一旦侦测到有可疑情况,All In One WP Security & Firewall插件会给你的联系邮箱发送一份检查警示报告,让你及时知晓并采取对应的措施。

最后说一下All In One WP Security & Firewall这个安全防护插件的仪表盘,如下图所示:

仪表盘

很简单,根据上面写的步骤一点点的去完善网站安全的各个方面,将站点安全分数尽可能的提高就够了。以上就是本章关于外贸建站安全防护插件 — All In One WP Security & Firewall的全部内容。

有什么想说的?欢迎评论留言

0 回复

发表评论

Want to join the discussion?
Feel free to contribute!

发表回复

您的电子邮箱地址不会被公开。