SecuPress 是一个有价值的安全插件吗？ 我们的测试和审查

有些话我们真的不喜欢听。 我想到了几个例子： “汽油价格上涨了 20 美分。” “你的房租涨了。” “你的假期申请没有被接受。”

或者， “您的 WordPress 网站已被黑客入侵。” 当然，在这种情况下，没有人会警告你。 如果发生这种情况，您将只剩下眼泪。

由于我不希望这种情况发生在你身上，我建议你使用安全插件（如 SecuPress）来限制风险。

这个真的值得绕道而行，不仅因为它是法国制造的。 我在本指南中对其进行了详细审查，该指南也可作为教程使用。

在阅读结束时，您将知道这个插件的价值，以及您是否应该在您的 WordPress 网站上使用它。

您最好的 WordPress 项目需要最好的主机！

WPMarmite 推荐 Bluehost：出色的性能，出色的支持。 一个良好的开端所需的一切。

试用 Bluehost

什么是 SecuPress？

SecuPress 是一个 WordPress 安全插件。 在其众多功能中，该插件能够通过阻止恶意传入请求来保护您的网站。 SecuPress 还凭借其扫描仪在竞争中脱颖而出，该扫描仪能够检测安全问题并自动修复它们。

SecuPress（ 30K+活跃安装）于 2016 年 8 月在官方目录上推出，是最受欢迎的安全插件之一，其他著名竞争对手包括：

• iThemes 安全（超过 100 万个活动安装）
• Wordfence Security （超过400 万个活跃安装）
• 多合一安全（超过 100 万个活动安装）
• Sucuri （ 800K+活跃安装）

SecuPress 是一个免费增值插件，这意味着它有免费版本（SecuPress 免费）和付费版本，称为 SecuPress Pro（包括所有选项）。

SecuPress，100% 法国制造的插件

在 SecuPress 的背后，我们找到了自 2002 年以来的安全专家 Julio Potier 。 在与他的搭档 Gregory Viguier 进行了 18 个月的开发之后，Julio 于 2016 年 8 月正式推出了 SecuPress。

当时，他仍在 WP Media 工作，这家法国公司发布了 WP Rocket 和 Imagify 插件等。

自 2013 年以来，Julio 就一直在考虑 SecuPress 项目，正如他在该插件专用的新闻资料袋中所解释的那样。

为了在竞争激烈的市场中脱颖而出，SecuPress 专注于三个主要方面：

1. 便于使用
2. 任何类型的用户都可以理解的选项，从初学者到高级
3. 提供基本的安全选项，无需您进行任何修改或调整即可应用

所有这一切背后的主要思想：您无需成为安全专家即可使用 SecuPress 。

SecuPress 有哪些特点？

SecuPress——不是 Securpress，因为它有时会被拼写错误——通过四个步骤确保您网站的安全，如其演示页面所示：

1. 首先，它会扫描您的 WordPress 安装以查找漏洞。 检查了32个安全点。
2. 然后向导会以简单易懂的方式显示检测到的问题。
3. SecuPress 继续根据您的请求自动修复检测到的漏洞：您所要做的就是选中与已识别漏洞关联的框。
4. 最后，最终的安全报告允许您查看插件所做的所有更正。

以下是此 WordPress 安全插件的一些主要功能：

• 防火墙
• 防止暴力攻击
• 网站健康扫描
• 移动登录页面
• 双因素身份验证 (2FA)
• 阻止机器人和恶意软件
• 检测易受攻击的主题和插件
• 电子邮件和 Slack 警报
• 备份 WordPress 数据库和站点文件
• 更改数据库前缀
• 强制主要和次要的 WordPress 更新
• 将安全常量添加到 wp-config.php 文件

此外， SecuPress 是一个以处理加载时间而闻名的插件，这是一个重要的优点，不会对用户体验产生太大的负面影响。

为什么保护 WordPress 很重要？

在继续介绍 SecuPress 选项和设置之前，我想提请您注意 WordPress 网站安全的重要性。

与流行的看法相反，WordPress 是一个安全的 CMS（内容管理系统）。

正如安全专家 Patchstack 在 2021 年发布的一份报告中所述，几乎所有检测到的漏洞都来自主题，尤其是插件（占漏洞总数的 99.42%）。

由于没有网站是绝对可靠的，因此作为网站管理员，您有责任保护您的 WordPress 安装。

因为万一遭到黑客攻击，后果可能非常不幸，并导致：

• 大量数据丢失和被盗，或多或少敏感（文本、图像、支付方式等），尤其是您客户的数据
• 浪费时间，因为你必须清理被黑网站并更新所有内容
• 计划外的财务支出，尤其是当您请来安全专家时。 黑客入侵后，您可能还会被要求支付赎金
• 您的品牌形象下降，可能会失去当前用户和/或未来客户的信任
• 您在 Google 搜索结果页面上的 SEO 排名下降，这有利于安全网站。 您甚至可能会消失，这会对您的营业额产生重大影响。

使用像 SecuPress 这样的一体式插件的优势在于，您可以在一个地方拥有许多与安全相关的功能——将插件想象成一个工具箱。

因此，您不需要激活多个不同的插件来执行不同的操作（例如，一个插件可以防止暴力攻击，一个插件可以启用双因素身份验证等）。

我们只是说管理更简单，最重要的是，您可以避免使用多个插件使您的网站超载。

现在您了解了 WordPress 安全的重要性，让我们了解如何使用 SecuPress 保护您的网站。 首先，我将详细介绍如何安装和激活插件。

出于本次测试的目的，我使用了 SecuPress Pro，其中包括插件提供的所有选项。 如果您使用的是插件的免费版本，您将无法使用我将在此处展示的所有功能。 我会在文末比较两个版本的差异。

如何分两步安装 SecuPress Pro

第 1 步：在您的 WordPress 仪表板上激活插件

要开始，请转到 WordPress 管理界面上的插件>添加新菜单。

在搜索栏中输入“SecuPress”，然后单击“SecuPress Free – WordPress Security”结果中的“立即安装”按钮：

继续记住激活插件。 就是这样：免费版本已经可以使用了。

您会注意到管理界面左侧栏底部有一个新菜单。 此菜单包含三个条目：

1. “扫描仪” ，对您的网站进行扫描。
2. “模块”在仪表板上列出了 SecuPress 提供的所有选项。
3. 如果您想利用付费版本，“更安全”链接到 SecuPress 定价页面。

如果您想激活 SecuPress Pro，请转到下面的下一步。

第 2 步：激活您的 Pro 许可证

要在您的 WordPress 网站上运行高级版的 SecuPress，请转至SecuPress >模块>仪表板。

然后简单地：

• 添加您在购买专业版时提供的电子邮件地址。
• 输入您在客户区找到的许可证密钥。
• 单击相应的按钮激活许可证。

SecuPress 现在处于活动状态：它只在等待您的指令才能工作。 ^^ 在下一部分中了解如何做到这一点。

界面分析与处理

SecuPress，一个非常容易使用的插件

在进入细节之前，我将花一些时间看一下插件的用户界面 (UI)，因为它真的很值得。

当您开始使用 SecuPress 时，让您印象深刻的是该插件的简单性和易用性。 该插件非常易于使用，原因如下：

• 界面在设计方面非常整洁。 它简洁、美观，而且您可以一眼就看到您需要做什么，例如，得益于清晰可见的号召性用语按钮。
  此外，此界面让人联想到WP Rocket （附属链接）或 Imagify 等插件。 这是有道理的：记住，Julio Potier 在推出 SecuPress 时是 WP Media 的一部分。

• 您不会淹没在无数菜单中。 事实上，您“只有”两个主要选项可以使用 SecuPress 采取行动：扫描您的网站或通过模块激活各种选项。

这两个主要特征将 SecuPress 与其竞争对手区分开来，后者各自的界面显然不够精致，更难理解，技术术语更多。

例如，查看 Wordfence Security 的界面。 它突然看起来可读性大大降低：

采用模块化方法的仪表板

无论您使用免费版还是付费版的 SecuPress，插件的仪表板（可通过SecuPress >模块访问）都包含13 个模块。

如果您使用 SecuPress Pro，所有选项都可用。 可以通过选中一个框来激活或停用它们。

如果您使用插件的免费版本，Pro 选项是模糊的，您无法激活它们：

现在让我们进入正题，了解 SecuPress 提供的第一个关键功能：扫描您的网站。 该插件建议您在激活后立即运行扫描，所以开始吧！

安全扫描器如何工作？

运行扫描

要利用它，请转至SecuPress >扫描仪。 然后点击“扫描我的网站”按钮：

几秒钟后，SecuPress 将扫描您的网站并为您提供一份安全报告，包括总分。

就我而言，您可以看到还有很多工作要做：我的平均成绩是 C+。 在评估的 32 个安全元素中，SecuPress 认为其中 10 个是坏的。

如果我向下滚动页面，我可以通过简短的解释性句子访问每个缺陷点的描述。 我还可以通过单击“了解更多”来获取更多详细信息。

如果我想纠正这些问题，我只需要点击“下一步”按钮。

自动纠正“坏”点

SecuPress 然后向我显示所有需要更正的点。

您可以通过选中（将更正该项目）或取消选中您选择的项目（不会更正）来控制每个项目的自动更正。

如果您不确定自己在做什么，我建议您遵循插件的建议。 换句话说，保留自动选中的框并单击“修复它”按钮。

根据要更正的项目数量，操作最多需要三分钟。

执行手动操作

当 SecuPress 完成其工作时，它会在出现的页面顶部告诉您哪些模块已被激活。

如果您没有检查上一步中的所有建议选项（我出于本次测试的目的自愿这样做），SecuPress 建议您手动更正（经过您的验证）它在扫描过程中检测到的问题。

在下面，您可以看到系统提示我在我的登录页面上启用双重身份验证，这是一种很好的安全措施。 您可以：

• 忽略建议（不推荐）
• 修复它并继续（推荐操作）

查看更正项目的摘要

最后，您将获得一份解决报告，其中包含所采取措施的摘要。

就我而言，我的成绩从 C+ 变成了 B+。 我还有一些项目要更正，总共8个。 同样，不纠正所有问题并不是一个好的做法。

在您的网站上，如果可能，您应该更正所有出现的不良项目。 我在这里没有这样做只是因为我正在测试插件。

为了进一步加强站点的安全性，您可以逐个模块进行额外的调整，我将在下一节中详细介绍。

SecuPress 提供哪些模块？

您现在知道了：您可以通过SecuPress > Modules访问模块。 总共有13个，提供近百种选择！

我将一一向您介绍它们，包括它们的基本设置。

仪表板

使用第一个模块，您可以：

• 输入您的 Pro 许可证
• 修改高级设置，例如在管理侧栏中显示或不显示 SecuPress 菜单
• 导出和导入您的 SecuPress 设置。 如果您想同时在多个站点上使用该插件，这将很有用。 还有一个按钮可以一键重置插件设置。

用户和登录

“用户和登录”模块提供了几个有用的功能。 我建议您激活以下选项：

• 移动管理和登录页面。 通过这样做，您的登录页面将不再可供所有人通过以下 URL 之一访问：your-site.com/wp-admin 或 your-site.com/wp-login。 然后您将能够输入您选择的 URL（例如 yoursite.com/Ui78vcF45）。 选择一些复杂的东西来解密。
• 限制尝试连接到管理的次数，包括暴力攻击。 您可以输入禁止前的尝试次数，并设置恶意人员或机器人无法访问登录页面的时间段。

• 使用双重身份验证，尤其是使用无密码方法。 在这种情况下，用户在登录页面输入地址后，必须单击通过电子邮件收到的链接才能登录。
• 在登录页面上使用验证码，以限制机器人的登录尝试。
• 强制使用强密码。

插件和主题

如果您打算让客户控制您的站点，则主题和插件模块非常有用。 它包含几个选项来禁止添加、停用或删除插件。

如果您想确保您的客户或网站管理员没有做错任何事，请勾选您感兴​​趣的方框。

如果您是唯一一个管理该站点的人，并且您知道自己在做什么，那么您就不必在此处进行太多操作。

我仍然建议您无论如何都选中以下两个框：

• 检测不良插件
• 检测不良主题

在这些情况下，当启用已知易受攻击的插件或主题时，您会收到通知（感谢 Patchstack 日常安全监控服务）。

WordPress 核心

在本模块中，我建议您首先激活以下选项：

• 次要更新，如果它们被禁用（例如通过插件），则强制在后台进行次要更新

• 更改数据库前缀。 默认情况下，前缀wp_会在安装 WordPress 时分配给您的数据库表。 这意味着很容易在代码中检测到您的站点正在 WordPress 下运行，以便对其进行攻击。 将此前缀更改为更复杂的内容（例如 fgd56mld90_）。
• 禁用文件编辑器，以防止直接从 WordPress 界面编辑插件和主题文件。
• 为您的 WordPress 安装创建安全密钥。 这些密钥位于wp-config.php文件中，并允许更好地加密某些信息，例如登录到您站点管理的用户的 cookie。 如果黑客拥有这些 cookie，他将能够登录到您的站点，即使您重置了密码……除非您更改了安全密钥。

SecuPress 还允许您为主要的 WordPress 版本启用自动更新。 事实上，这是一个很好的做法，但我个人更喜欢在发布几天后手动执行我的主要更新，部分原因是为了避免可能出现的兼容性问题（尽管这种情况很少见）。 但是，如果您是那种忘记更新的人，请选中相应的框。

加入 WPMarmite 订阅者

获取最新的 WPMarmite 帖子（以及独家资源）。

现在订阅

敏感数据

在“敏感数据”模块中，可以先保持默认设置：

• PHP版本公开
• WordPress 版本披露

那么，我特别推荐你：

• 禁用 XML-RPC 协议，如果你不使用它
• 保护您的媒体免受盗链
• 禁用文件夹中文件的显示
• 禁止访问 readme.txt 或 changelog.md 文件

防火墙

使用防火墙模块，您有七个选项来阻止恶意请求：

• 错误的用户代理（例如互联网浏览器）
• 错误的请求方法
• 虚假的 SEO 机器人
• 网址中的不良内容
• 阻止来自一个或多个国家的恶意活动

在这里，我建议您选中所有复选框。

反垃圾邮件

SecuPress 允许您激活反垃圾邮件以对抗不需要的评论。

如果您还没有使用像 Akismet 这样的反垃圾邮件插件，请选中“我需要在我的网站上发表评论，打击垃圾评论”框。

请注意，如果您愿意，SecuPress 还允许您删除所有评论功能。

恶意软件扫描器

使用恶意软件扫描程序，您可以：

• 扫描您的文件和数据库是否有病毒，即与原始 WordPress 核心文件不同的文件（找出哪些已被修改）
• 阻止访问上传文件夹中的文件，以防止在您受病毒影响时使用它们（选中此框）

日志和IP

“日志和 IP”模块允许您手动输入 IP 地址以禁止或允许。

多亏了日志，您还可以：

• 跟踪在您的站点上执行的操作（更新密码、更改电子邮件地址、重要角色登录等）。 如果您有兴趣，请选中“是的，保留 WordPress 操作日志”框。
• 查看您的404 错误。 但是，SecuPress 不允许您执行重定向以“删除”您的 404（该插件不能做所有事情）。 为此，请使用重定向插件。

插件

该模块允许您安装两个附加组件：

• WP Activity Log ，记录您网站上发生的修改。
• BackWPup ，备份您的站点。

由您决定是否需要它们。

备份

在出现安全问题时，对您的网站进行最近的备份是必不可少的。 SecuPress 了解这一点并提供了一个专用模块。

多亏了这个模块，您可以手动备份您的文件和数据库，并可以选择排除您选择的文件和表格。

这绝对有用，但仍然不如专用备份插件能够为您提供的广泛。

使用 SecuPress，您无法将备份保存在远程存储空间（如 Google Drive、Dropbox 或 Amazon S3）上，这仍然是一个很好的做法。

并且您需要记住尽快下载并删除每个备份，否则您最终会用完托管公司分配的存储空间。

警报

使用“警报”模块，您可以选择在发生重要事件（例如检测到漏洞）时通过电子邮件或 Slack 收到通知。

您还可以收到包含重要事件摘要的每日报告。

时间表

最后，最后一个模块与时间表有关：

• 备份
• 扫描
• 文件监控

您可以选择每天的最大频率（例如每天）。 例如，不可能安排每小时备份。

嗯，就是这样！ 您现在对 SecuPress 安全插件的所有模块有了一个非常完整的概述。

让我们通过查看插件的价格来继续我们的旅程。

SecuPress 的价格是多少？

SecuPress 首先在官方 WordPress 目录中免费提供。 然而，要利用所有这些功能，您需要选择付费版本 SecuPress Pro。

价格根据您要激活插件的网站数量而浮动。 这里有一些例子可以给你一个想法：

• 在一个网站上使用每年 60 欧元（约 65 美元）
• 160 欧元/年（约合 173 美元），用于 5 个站点
• 260 欧元/年（约合 280 美元），用于 10 个站点
• 1180 欧元/年（约合 1280 美元），用于 100 个站点

免费版或专业版：您应该选择哪个？

您是否对 SecuPress 感兴趣，但在免费版和高级版之间犹豫不决？ 要做出决定，这完全取决于您拥有的网站类型以及您打算使用插件的用途。

正如 SecuPress 所说， “免费版本可用于小型网站，例如没有收入的博客。”

另一方面，如果您收到定期流量、拥有会员区或管理电子商务商店，请选择专业版。

在这种情况下， “您将需要更多安全性并需要节省时间。 例如，SecuPress Pro 可以安排您的主要任务并在必要时向您发送警报。”

无论如何，您始终可以先激活免费版本，看看是否足够。 另外，请随时查看 SecuPress 提供的两个版本之间的比较。

现在是时候进行最后的审查和我们对插件的意见了！

我们对 SecuPress 的最终意见

SecuPress 是一个非常全面的插件，结合了多种优点：

• 易于使用：无需技术知识即可使用该插件
• 人体工程学和用户界面，明显优于竞争对手
• 许多功能的存在加强了您网站的安全性，即使是在免费版本中也是如此。 例如，SecuPress 提供防火墙，如 Wordfence（iThemes Security 和 Sucuri 不免费提供此选项）。
• 模块化方法，您可以方便地只激活您需要的选项
• 扫描仪级配置向导，从头到尾手把手教你
• 自动应用设置和安全补丁（除了复选框之外，您无需执行任何操作）
• 每个功能的简单而有用的解释
• 频繁的更新
• 它的价格比其主要竞争对手（Wordfence Security、iThemes Security、Sucuri 等）便宜得多（对于相同的功能）

就个人而言，我非常喜欢这个插件，我没有看到任何重大缺点。

SecuPress：为谁？

最后，问题是您是否应该使用它，尤其是考虑到竞争对手提供的产品。

我不打算比较 SecuPress 与 Wordfence，或 SecuPress 与 iThemes Security。

为了形成您自己的意见，我邀请您阅读我们专门针对这些插件的教程：

• Wordfence 安全教程
• iThemes 安全教程
• Sucuri教程

在这四个旁边，SecuPress 没有什么可耻的，远非如此。 对我来说，它是界面和用户体验方面设计最好的插件。

它非常易于使用，非常适合初学者，当然也适合更有经验的用户。

在选项方面，我发现它比 Sucuri 和 iThemes Security 更全面。 另一方面，Wordfence 防火墙对我来说似乎更强大。

下载 SecuPress 插件：

最后，SecuPress 是一个我会闭着眼睛安装的插件，以加强 WordPress 网站的安全性。

对你来说，你在你的网站上使用它吗？ 让我们在评论中继续讨论。