Sucuri:你应该紧急安装的安全插件?

已发表: 2022-12-07

张大嘴巴。 锋利的尖牙随时准备咬碎一只可怜的小动物。 一个没有尽头的身体,必须接近 30 英尺长。

在 Google 上输入“sucuri”,您会发现自己面对面的是一些非常可怕的蛇的图片。 但事实上,为什么呢? 好吧,仅仅因为你在搜索引擎中输入的词是 anaconda 的葡萄牙语翻译。

一条蛇正试图催眠某人。
小心别被催眠了……

您应该意识到,起初,我只是在寻找有关WordPress 安全插件 Sucuri的更多信息。

幸运的是,这并没有什么不好的。 激活后它不会吃掉你。 呼,你可以深吸一口气了!

相反,此插件旨在帮助您根除其他掠夺者:可恶的黑客以及可能感染您网站的其他文件和恶意软件。

到本文结束时,您将知道 Sucuri 是如何工作的(插件,而不是蛇),更重要的是如何逐步设置它。 准备好安全步行了吗? Ssss,按照指南进行操作。

概述

  1. 什么是苏库里?
    1. 为什么保护您的 WordPress 网站很重要?
      1. 如何安装 Sucuri
        1. 如何设置和使用 Sucuri Security
          1. Sucuri Security 的费用是多少?
            1. 我们对 Sucuri 安全插件的最终意见

              您最好的 WordPress 项目需要最好的主机!

              WPMarmite 推荐 Bluehost:出色的性能,出色的支持。 一个良好的开端所需的一切。

              试用 Bluehost
              CTA Bluehost WPMarmite

              什么是苏库里?

              WordPress 的 Sucuri 安全插件。

              Sucuri Security 是一个 WordPress 安全插件,它提供了一套工具来帮助您保护您的网站:审核 WordPress 核心文件(PHP、CSS、JavaScript)、恶意软件和程序分析、安全实施、电子邮件警报、黑客攻击后安全措施、等等

              Sucuri 由 Daniel Cid 于 2012 年创立,于 2017 年被美国托管巨头 GoDaddy 收购,此后一直维护和开发它。

              在 2014 年之前提供高级插件后,该插件现在完全免费。

              Sucuri拥有超过 80 万个活跃安装量,是官方目录中最受欢迎的 WordPress 安全插件之一,与 Wordfence(超过400 万个活跃安装量)、iThemes Security(超过 100 万活跃安装量)和 All-in-One Security(超过 100 万活跃安装量)等竞争对手并驾齐驱.

              Sucuri,一个由优质服务支持的免费插件

              虽然它有一个专用于 WordPress CMS 的安全插件,但 Sucuri 公司提供了多种基于云的高级服务来保护您的网站,无论它运行在什么 CMS(内容管理系统)上:WordPress、Joomla、Magento、Drupal,购物等

              在这些服务中,有:

              • 一种 Web 应用程序防火墙 (WAF) ,可保护您的 Web 服务器免受各种攻击:DDOS 攻击(拒绝服务)、暴力攻击、恶意软件、网络钓鱼、勒索软件等。此防火墙带有 CDN(内容交付网络),以提升你的页面加载速度。
                WAF 可以单独使用,也可以与 Sucuri 插件一起使用。
              • Sucuri 安全平台(Sucuri Website Security)。 除了防火墙和 CDN 之外,Sucuri 还提供多种服务来监控您网站的安全性,并可以为您提供专门的团队来清理您的 WordPress,以防遭到黑客攻击。

              虽然这些服务是独立的并且可以彼此独立使用,但 Sucuri 在官方目录上声明其插件“补充了您现有的安全工具 它并非旨在取代 Sucuri 网站安全或防火墙产品。”

              换句话说,如果您想尽可能地保护您的 WordPress 网站,仅使用插件是不够的。

              为什么保护您的 WordPress 网站很重要?

              在检查 Sucuri 提供的功能和其他设置之前,让我们停下来考虑一下安全对 WordPress 安装的重要性。

              使用专用插件来保护自己是最起码的,因为没有 WordPress 网站是万无一失的。 作为地球上使用最广泛的 CMS(内容管理系统),WordPress 自然成为每天无数攻击的目标。

              据说每秒有 2,800 次攻击针对全球的 WordPress 安装!

              一个男人很震惊。

              但是,不要惊慌。 WordPress 是一个安全的 CMS。 在其 WordPress 生态系统安全报告中,安全专家 Patchstack 解释说,96% 的安全漏洞来自第三方代码(插件和第三方主题),而 WordPress 核心中的这一比例为 4%。

              这就是为什么必须保护您的网站的原因。 黑客攻击的后果可能是灾难性的,并导致:

              • 大量数据的丢失和被盗,或多或少是敏感的,尤其是您客户的数据。
              • 浪费时间,因为您将不得不清理被黑网站并更新所有内容。
              • 计划外的财务支出,尤其是当您请来安全专家时。
              • 您的品牌形象下降,可能会失去当前用户和/或未来客户的信任。

              您明白了:不要忽视站点的安全方面。 让我们继续详细介绍 Sucuri。

              如何安装 Sucuri

              第 1 步:在 WordPress 上激活 Sucuri 插件

              首先,通过插件 > 添加新菜单从管理界面安装插件。 点击“立即安装”:

              Sucuri 可以从您的 WordPress 仪表板安装。

              记得激活插件。 然后,您会在 WordPress 后台的左侧栏中找到一个名为“Sucuri Security”的新菜单:

              Sucuri 安全插件菜单。

              第 2 步:生成 API 密钥

              为了激活插件提供的一些附加工具,Sucuri 建议您生成一个 API 密钥。

              API代表应用程序编程接口。 正如本文中非常清楚地解释的那样,“API 是使两个软件组件能够使用一组定义和协议相互通信的机制。”

              为此,请单击仪表板顶部的“生成 API 密钥”按钮:

              使用 Sucuri 生成 API 密钥。

              在屏幕上明亮弹出的窗口中,选择与您的帐户关联的电子邮件地址,然后接受服务条款(如果您同意)。 准备好后点击“提交”。

              您可以选择与 API 密钥关联的管理员帐户。

              你有它! Sucuri 准备工作。 正如它在生成 API 密钥后告诉您的那样, 这不是满足您的安全需求的快速解决方案它不是 Sucuri Website Security 或 Firewall 的替代品,但它可以让您提高安全意识并采取更好的立场,以降低风险为目标。”

              现在让我们逐个菜单地了解如何设置插件。

              加入 WPMarmite 订阅者

              获取最新的 WPMarmite 帖子(以及独家资源)。

              现在订阅
              WPMarmite 英文时事通讯

              如何设置和使用 Sucuri Security

              Sucuri 仪表板概述

              Sucuri Security 提供的第一个主菜单是仪表板。 在这里您可以找到插件在您网站上进行的审核结果。

              具体来说, Sucuri 会检查您的 WordPress 安装是否对基本 WordPress 文件(您每次下载 CMS 时都会找到的文件)进行任何更改

              Sucuri 自动扫描根目录、wp-admin 和 wp-includes 目录中的文件,然后将它们与您站点上安装的 WordPress 主要版本(6.1.1,在我的例子中)分发的文件进行比较。

              一旦 Sucuri 检测到不一致的文件,它就会将其显示在您的仪表板上。

              如果出现问题,则会出现一个红色的“X”,并伴随着一条不太令人放心的相同颜色的消息:“核心 WordPress 文件已被修改”。

              Sucuri 可以让您知道您的 WordPress 核心文件是否已被编辑。

              文件可能已被黑客入侵。 就我而言,Sucuri 在 .txt 文件和 error.log 文件中报告了两个假定的异常。

              后者列出了您网站上发生的错误日志(尤其是 PHP 错误)。 然后我有几种选择来解决这些问题:

              • 将文件标记为 false positive ,例如,如果它是我自己添加的文件。 Sucuri 将在以后的扫描中忽略它。
              • 如果您认为它是恶意的,请删除该文件
              • 恢复文件的原始版本
              有几个选项可以解决 Sucuri 发现的问题。

              这种扫描很方便,但有一个主要问题:对于初学者来说,仍然很难知道所谓的异常文件是否在您的站点上引起了真正的安全问题。

              结果,我们真的不知道该怎么办。 保持文件原样? 恢复原来的版本? 即使冒着删除重要数据的风险也要删除它? 这并不容易弄清楚。

              在专门用于分析 WordPress 核心的插页下,除了审计日志之外,您还会发现几个选项卡,指示已发生的更改:

              • 内嵌框架(HTML 标签)
              • 链接
              • 脚本

              最后,Sucuri 还提出了一些建议来加强我安装的安全性,例如,建议我删除未使用的插件或禁用管理中的文件编辑器:

              Sucuri 还给出了安全建议。

              应用防火墙:防火墙(WAF)

              Sucuri 的第二个子菜单用于 Sucuri 防火墙。 要从中受益,您必须选择 Sucuri 提供的保费计划之一

              如果您想执行此步骤,只需在提供的框中添加您的 API 密钥即可。

              启用此防火墙后,Sucuri 可确保您的网站免受攻击,并防止恶意软件感染和再次感染。

              此外,防火墙“将阻止 SQL 注入尝试、暴力攻击、XSS(站点到站点脚本)、RFI(在您的服务器上嵌入远程文件)、后门程序(远程访问您的站点)和许多其他威胁到你的网站。”

              通过设置选项卡,您还可以:

              • 通过手动输入某些 IP 地址来阻止它们,这样他们就无法访问您的站点。
              • 启用缓存,这将提高您的 WordPress 网站的性能。
              Sucuri 防火墙设置。

              与登录相关的菜单:上次登录

              让我们转到 Sucuri 插件的第三个菜单:“上次登录”。 有四个选项卡可用:

              • 所有用户”显示所有成功登录到您的 WordPress 管理员的用户
              • 管理员”显示在您的站点上拥有“管理员”帐户的所有人员
              • Logged-in Users”详细列出了当前登录的所有用户
              • 失败的登录”显示您登录页面的登录尝试失败。 例如,如果您是暴力攻击的受害者,这将帮助您快速查看。
              Sucuri 上的“登录失败”选项卡。
              呸,还没有人攻击我的网站!

              Sucuri 设置菜单

              最后,最后一个菜单也是最丰富的。 在这里您会发现 Sucuri 的几个主要功能,我们将逐个选项卡对其进行详细分解。

              常规设置选项卡

              General Settings 选项卡有几个插件。 它们包括以下一些您可以修改的元素:

              • 包含所有安全日志的目录(“数据存储”)
              • 日志导出器
              • 您可以激活的反向代理
              • 将 Sucuri 设置导入和导出到另一个 WordPress 站点的模块
              Sucuri 上的日志导出器。

              扫描仪选项卡

              “扫描仪”选项卡包括 Sucuri 提供的名为 SiteCheck 的免费工具。 此工具将扫描您的网站以查找以下内容:

              • 恶意软件
              • 您的 WordPress 网站上的错误
              • 过时的软件
              • 安全异常

              特别是,Sucuri 向您展示:

              • 扫描期间计划的任务(“计划任务”)。 默认情况下,扫描每天进行一次。
              • “WordPress Integrity Diff”实用程序,用于将服务器上的文件与站点的原始文件(根目录、主题、插件和 WP 核心文件)进行比较。
              • 检测到误报
              • 在扫描过程中排除某些文件和文件夹的选项,尤其是当它们太大时。
              Sucuri 允许您从扫描中排除某些文件。

              强化选项卡

              “强化”选项卡列出了十种安全措施,您可以应用这些措施来防止可能的攻击。 它们将加强您的 WordPress 安装的安全性。

              例如,只需单击一下,您就可以:

              • 阻止执行 wp-content 和 wp-includes 目录中的某些 PHP 文件
              • 在您的管理界面中禁用文件编辑器,以防止黑客修改您的文件
              • 删除您的 WordPress 版本的显示
              • 检查您的 WordPress 版本是否是最新的
              Sucuri 提供了一个选项卡,其中包含提高站点安全性的建议。

              在页面底部,还可以手动排除某些已被阻止运行的 PHP 文件。

              作为一项预防措施,请备份您的站点(文件 + 数据库)以应用这些措施之一。 您可以使用备份插件,例如 UpdraftPlus。 如果可能,请在测试环境中进行,而不是在生产环境中进行

              后黑客标签

              顾名思义,“Post-Hack”选项卡提供了多种措施,可在您的网站被黑客入侵后立即应用。 所以我希望你永远不必使用它! ^^

              您可以执行以下操作:

              • 生成新的安全密钥。 它们存在于 wp-config.php 文件中,它们允许更好地加密某些信息,尤其是连接到您站点管理的用户的 cookie。 如果黑客拥有这些 cookie,即使您重设密码,他也能连接到您的网站——除非您更改安全密钥!
              • 更新用户密码
              • 重新安装您网站的插件
              • 更新您的主题和插件
              Sucuri 允许您更新您的密钥。

              Sucuri 警报选项卡

              在警报选项卡中,您可以配置与 Sucuri 将通过电子邮件发送给您的安全警报相关的设置。

              默认情况下,插件会向站点的主要管理员(在安装过程中创建的管理员)发送安全通知。 但是,您可以指定其他电子邮件地址来接收这些通知。

              您还可以管理您将收到的警报类型,并授权受信任的 IP 地址,以便它们不会生成警报。

              例如,您可以指定:

              • 每小时接收的最大警报数(从 5 小时到无限)
              • 发送电子邮件警报之前每小时失败的连接尝试次数(暴力攻击)
              • 将触发安全警报的事件(例如插件设置的更改、新登录的创建、主题或插件的停用等)
              Sucuri 通过电子邮件发送安全警报。

              为了完全全面,Sucuri 提供了另外两个设置选项卡:“API 服务通信”和“网站信息”。 这两个选项卡不管理特定设置:它们提供有关您的 API 和 WordPress 站点的信息。

              在这个广泛的概述之后,我建议我们继续阅读本文的最后一部分。 先说说Sucuri的价格,然后说说我对这个安全插件的看法。

              Sucuri Security 的费用是多少?

              Sucuri 是作为免费插件提供的,这是真的……但有限制。

              事实上,如果你想使用 Sucuri 提供的应用程序防火墙,你就必须付费。 在安全方面,强烈建议使用防火墙。

              此选项还包括对 CDN 的访问,在一个站点上的使用费为每月 9.99 美元起。

              Sucuri 防火墙的价格。

              另一方面,Sucuri 提供了一个更全面的安全包,称为网站安全平台。 单站点使用起价为每年 199.99 美元。

              这个定价计划当然包括 Sucuri 的防火墙、CDN,以及由内部专家进行的恶意软件和盗版文件清理

              Sucuri 网站安全平台的价格。

              了解如何安装和配置#WordPress #Sucuri 安全插件及其必备功能。

              点击鸣叫

              我们对 Sucuri 安全插件的最终意见

              总而言之,您应该如何看待 Sucuri? 为了回答这个问题,我将讨论选择插件时的两个关键方面:易用性和效率。

              首先,关于处理。 它不一定很复杂,因为 Sucuri 选择提供清晰的选项,并很好地分布在不同的选项卡中。
              菜单并不过分,执行操作非常容易(大多数情况下单击一次就足够了)。

              另一方面,安全领域充满了技术术语——Sucuri 与此无关——初学者并不总是能够理解他被推荐做什么或他应该做什么。 这是要指出的第一个限制。

              让我们继续讨论插件的效率。 Sucuri 首先是一个监控工具,旨在提醒您 WordPress 上的安全问题。 它会扫描您的页面是否存在异常,在出现问题时向您发送警报等。

              但是这个插件并不能真正让你解决安全问题(除了一些小方面),除非在被黑客攻击之后(但到那时就太晚了)。

              主要的安全防护措施之一是使用防火墙。 Sucuri 确实提供了一个,但仅限于付费报价。

              下载 Sucuri 插件:

              下载

              总之,如果您想有效地保护您的 WordPress 网站,我不会推荐免费插件

              你同意我的意见并且你使用 Sucuri 吗? 通过发表评论给我你的意见。