如何使用 Wordfence Security 保护 WordPress

管理 WordPress 网站意味着经历不同的情绪。 有时，会有快乐，比如当您看到您的内容在 Google 上慢慢排名时。

当您的网站在更新后崩溃时，有时会很生气。 有时，你甚至会感到恐惧。 那就是您的网站遭到黑客攻击的时候，这种不便不仅仅发生在其他人身上。

为避免将来出冷汗并保护您的网站，请使用安全插件。

官方目录中最著名的一个叫做 Wordfence Security 。 由于很难忽视，我们为您测试了它，以了解它的秘密。

到本文结束时，您将了解如何设置和使用它。

您最好的 WordPress 项目需要最好的主机！

WPMarmite 推荐 Bluehost：出色的性能，出色的支持。 一个良好的开端所需的一切。

试用 Bluehost

什么是 Wordfence 安全性？

Wordfence Security 是一个增强 WordPress 网站安全性的插件。 它提供多种功能来保护您的安装，包括应用程序防火墙、恶意软件扫描程序、双因素身份验证和防止暴力攻击。

它拥有400 万+活跃安装量，是官方插件目录中最受欢迎的安全插件，领先于 iThemes Security（100 万+活跃安装量）、All in One Security（100 万+活跃安装量）和 Sucuri 800K+活跃安装量）。

Wordfence Security 插件，也称为“Wordfence Free”，是免费的。 但是，Wordfence 还提供了几种付费选项：

• Wordfence Premium ：比免费插件更完整的版本，包括支持。
• Wordfence Care ：安全工具团队为您安装、配置、优化并监控您的站点。 如果出现与安全相关的问题，专门的团队会进行干预。
• Wordfence Response ，一项专用于停机会产生财务影响的 WordPress 网站的服务。 该服务主要用于流量大的大型网站和电子商务商店。
• Wordfence Intelligence ：主要用于想要收集一般安全数据的网络主机。

请注意，WordFence 团队还在官方目录中提供了另外两个免费插件。 Wordfence Assistant 是一个插件，如果 Wordfence 在您的站点上处于活动状态但您无法再访问您的仪表板，它将很有用。 Wordfence 登录安全包含免费插件中已经包含的一些功能：双因素身份验证、XML-RPC 保护和登录页面上的验证码。 如果您已经在使用 Wordfence Security，则无需激活它。

Wordfence Security 的主要特点是什么？

Wordfence Security 是一个全面的安全解决方案，可在多个级别上运行。 为了利用它，用户可以从几个关键选项中受益：

• Web 应用程序防火墙 (WAF) ，可识别并阻止来自您的 Web 服务器的恶意流量（而不是在云中，例如其竞争对手 Sucuri 提供的那样）
• 阻止包含恶意代码或内容的请求的恶意软件扫描程序
• 防止暴力攻击 通过限制连接到您的管理登录页面的尝试次数
• 双因素身份验证，为登录您的 WordPress 站点添加额外的安全层
• 在您的登录页面上使用reCAPTCHA以防止机器人登录并限制垃圾邮件
• 检测到安全问题时发送电子邮件警报
• 一个名为 Wordfence Central 的平台，用于在一个地方管理多个站点的安全性。 它的工作原理与 ManageWP 相同，后者允许您维护您的 WordPress 网站。

为什么要使用像 WordFence 这样的安全插件？

您可能已经知道，WordPress 是地球上使用最广泛的 CMS（内容管理系统），拥有63.7%的市场份额。

除此之外，它为全球近两分之一的站点提供支持（在接收最多流量的数百万个站点中）。

这种主导地位激起了人类黑客的胃口，尤其是自动运行的恶意机器人，例如：

• 垃圾邮件机器人
• 抓取（提取）您的内容的机器人
• 发起拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击的机器人。

总的来说， 90% 的针对 CMS 的攻击都会影响 WordPress。 每秒2,800 次攻击专门针对全球范围内的 WordPress 安装！

放心：幸运的是，WordPress 不是筛子。 根据安全专家 Patchstack 在 2021 年发布的一份报告，只有 0.58% 的安全漏洞来自 WordPress Core 。

罪魁祸首是您的插件，仅插件就占漏洞的 92.81%（相比之下，主题占 6.61%）。

Patchstack 研究的一些发现很有说服力，并呼吁非常认真地对待安全问题：

• 平均而言， 42% 的 WordPress 网站至少安装了一个易受攻击的组件（插件或主题）
• 2020 年至 2021 年间，漏洞增加了 150%
• 29% 包含严重漏洞的 WordPress 插件尚未修补

所以，您明白我的意思了：必须保护您的 WordPress 网站以加强其安全性。

为此，像 Wordfence 这样的插件可以完成这项工作。 我将在下面向您展示如何安装它。

如何分三步安装Wordfence

第 1 步：在您的 WordPress 仪表板上激活插件

第一步是从 WordPress 管理界面安装插件。

转到插件 > 添加新菜单，然后在搜索栏中键入“Wordfence”：

单击“Wordfence Security – 防火墙和恶意软件扫描”旁边的“立即安装”按钮，然后激活插件。

第 2 步：获取 Wordfence 许可证密钥

激活插件后，将弹出一个窗口，要求您获取 Wordfence 许可证。 这是利用免费插件的所有选项的必要先决条件。

单击“获取您的 Wordfence 许可证”按钮：

您将被重定向到官方网站上的 Wordfence 定价页面。 单击“获取免费许可证”按钮以获取插件免费版本的密钥：

屏幕上会打开一个新窗口。 Wordfence 询问您是否确定要使用其免费版本，并解释了其高级版本的主要优势：一旦插件团队在其防火墙或恶意软件扫描程序上部署了保护措施，它就会在付费版（与免费版 30 天后相比）。

因为我只想使用免费插件，所以我点击了“我可以等待 30 天来保护免受新威胁”：

在下一个窗口中，输入您的电子邮件地址，选中复选框，然后单击“注册”：

第 3 步：在 WordPress 上安装许可证

现在转到您的电子邮件收件箱。 您应该已经收到一封来自 Wordfence 的电子邮件。

在里面，您会找到您的许可证密钥，以便您可以手动激活它。 为了更快地移动，Wordfence 还提供自动为您激活它的功能。 为此，请单击“自动安装我的许可证”按钮：

您将被重定向到您的 WordPress 仪表板，其中已经填写了“电子邮件”和“许可证密钥”字段。单击“安装许可证”完成：

干得好：插件现在已启动并运行。 在左侧边栏中，在您的管理界面上，您现在有一个名为“Wordfence”的新菜单，其中包含插件提供的所有设置：

让我们现在看看它们，看看插件的幕后是什么。

如何设置 Wordfence 安全插件

Wordfence 安全仪表板如何工作？

该插件的核心是它的仪表板。

它提供了访问插件提供的不同选项的快捷方式，您也可以在左侧边栏的菜单中找到这些选项。

只需单击一下，您就可以利用：

• 应用防火墙
• 恶意软件扫描器
• Wordfence 中央。 要利用这项允许您从同一仪表板更新站点安全性的服务，您必须创建一个免费帐户。 如果您需要同时管理多个站点的安全性，这会很方便。 对于个人使用，请跳过它。
• 设置电子邮件警报、防火墙和扫描仪设置的常规选项
• 访问插件的文档
• 通知日志
• 对您的 WordPress 网站的阻止攻击的摘要
• 显示整个 Wordfence 网络上阻止的攻击总数的图表

仪表板清晰易懂； 通过不同的选项很容易找到自己的方式。

应用防火墙的使用方法

防止多重攻击

Wordfence 的主要功能之一是其应用程序防火墙。

它可以识别恶意流量并在黑客和其他恶意机器人访问您的网站之前阻止他们。

可以通过Wordfence > Firewall访问防火墙。 它可以保护您的站点免受以下攻击：

• SQL注入，即对你的数据库的攻击
• 跨站点脚本(XSS)：恶意代码被注入到您的页面内容中
• 恶意文件下载
• 目录遍历攻击
• 本地文件包含漏洞(LFI)，其中远程文件被添加到您的 Web 服务器

默认情况下，防火墙处于学习模式一周，从您安装插件的那一刻开始。

“这允许 Wordfence 了解您的网站，以便了解如何保护它以及如何让普通访问者通过防火墙，” Wordfence 说。 “我们建议您在激活防火墙之前让 Wordfence 保持学习模式一周。”

如果您想忽略这些建议，请在下面的下拉菜单中单击“启用和保护”：

如前所述，只要 Wordfence 团队检测到新威胁（在全球范围内，不一定是针对您网站的攻击），只有高级版本的插件会获得实时防火墙更新。 免费版本的防火墙会在检测到威胁 30 天后更新。

加入 WPMarmite 订阅者

获取最新的 WPMarmite 帖子（以及独家资源）。

现在订阅

Wordfence 安全防火墙的工作原理

默认情况下，该插件已配置基本设置以加强您网站的安全性。 但是您仍然可以通过利用其他选项来自定义稍微更多的技术设置：

其中包括：

• 将某些 IP 地址列入白名单
• 输入要被防火墙忽略的 IP 地址
• 配置免受暴力攻击的保护。 例如，您可以指定需要多少次失败的登录尝试才能阻止访问您的登录页面（以及多长时间）。
  这为您节省了使用额外的插件，如限制重新加载的登录尝试。
  

当防火墙处于工作状态时，圆圈会显示您的保护级别（百分比）。 当圆圈为灰色时，防火墙处于学习模式。

目标是达到 100%（绿色）的分数。 您可以按照提供的建议将鼠标悬停在每个圆圈上来实现此目的：

但是，使用免费版插件并不总是能达到 100% 的分数。

为此，您必须使用高级选项，例如实时阻止 IP 地址。

应用程序防火墙阻止选项卡

除了防止各种攻击的防火墙规则外，Wordfence 还具有用于额外阻止的自定义功能。 这些可以通过“阻止”选项卡访问：

您可以基于以下内容创建阻止规则：

• IP地址
• 地理区域
• 一组标准（自定义模式），例如 IP 地址网络或 Web 浏览器

有关这方面的更多信息，请观看此视频：

如何使用恶意软件扫描程序

让我们继续使用插件提供的扫描仪，可通过Wordfence > Scan访问。

扫描工具会扫描您的站点（核心文件、主题和插件）以查找以下内容：恶意软件、错误 URL、后门、远程访问您的站点、SEO 垃圾邮件、恶意重定向和其他代码注入。

在扫描过程中，该插件“将您的核心文件、主题和插件与 WordPress.org 目录中的内容进行比较，” Wordfence Security 详细说明。 “它会检查它们的完整性并通知您任何更改。”

最初，扫描的重点是检查垃圾邮件和列入黑名单的 IP 地址（仅限高级版）。 然后它会继续扫描您网站的文件并提供结果。

就我而言，该插件警告我我使用的管理员登录名（“admin”）过于不安全。 然后我可以通过单击“编辑”来解决这个问题，或者干脆忽略它：

至于防火墙，圆圈向我展示了要优化以达到 100% 分数的元素。

通过单击“扫描选项和计划”，还可以编辑更具体的设置。

要优化性能，您可以，例如：

• 选择在有限的基础上运行扫描器以节省带宽（请记住 Wordfence 在您的 Web 服务器上运行，因此它使用资源）
• 手动限制要扫描的项目数

如何启用双因素身份验证

在防火墙和站点扫描器之后，WordFence Security 建议其用户启用双因素身份验证 (Wordfence 2FA)。

双因素身份验证为登录您的 WordPress 站点添加了额外的安全措施。

输入用户名和密码后，系统会要求您使用设备（通常是智能手机或平板电脑）来验证登录过程。

当您进行在线支付时，这是银行机构已经使用的一种方法。 它在保护您免受暴力攻击方面非常有效。

要使用它，请转到Wordfence > 登录安全菜单。 总之，您需要：

• 在您的智能手机上安装一个应用程序来验证您自己，例如 Google Authenticator、Sophos Mobile Security 或 FreeOTP Authenticator。
• 在所选的身份验证应用程序 (1) 中扫描 Wordfence 提供的二维码。
• 输入二维码扫描后显示的 6 位代码以授权您的 WordPress 站点和应用程序之间的连接 (2)。

如果您想直观地查看此激活过程，请查看此资源：

可以通过“设置”选项卡为从管理员到订阅者的所有用户角色设置双因素身份验证：

仍然在“登录安全”菜单的“设置”选项卡中，您还可以启用 Google reCAPTCHA 版本 3，以防止管理员登录页面上出现垃圾邮件。 要运行此服务，需要来自 Google 的免费许可密钥。

Wordfence Security 提供的其他工具

WordFence Security 所有者的游览进展顺利。 最后，让我们深入了解 WordPress 安全插件提供的最后两个菜单。

工具菜单

工具菜单包含四个选项卡：

• “Live Traffic”实时显示您网站上发生的事情，包括用户登录、黑客攻击尝试以及被 Wordfence 防火墙阻止的请求。 颜色代码（绿色、灰色、黄色和红色）告诉您谁在尝试访问您的站点（人类或机器人）和状态（警告或阻止）：

• “Whois 查询” ，了解谁拥有访问您网站或在您网页上从事恶意活动的 IP 地址或域名
• “导入/导出选项”将您的 Wordfence 选项导出或导入到另一个 WordPress 站点
• “诊断”提供的信息可用于解决与其他插件、主题或服务器环境的冲突、配置或兼容性问题。

所有选项菜单

“所有选项”菜单包含分散在同一页面上其他菜单（例如防火墙、扫描仪或连接选项）中的所有选项。

优点是您可以在同一个地方找到所有东西。 我不会详细介绍所有选项，因为您已经看到了主要选项。

但是，有趣的是，您可以在此处设置您的电子邮件警报首选项。 例如，您有十几个复选框可以提醒您（或不提醒）：

• 当 IP 地址被阻止时
• 当某人被禁止访问您的登录页面时
• 当在您的 WordPress 网站上检测到大量攻击时

这就是完整的 Wordfence 安全功能之旅。 现在让我们仔细看看这个工具的定价。

Wordfence 的费用是多少？

Wordfence Security 最初在官方 WordPress 目录中免费提供。 当然，与任何免费版本一样，它不包括插件付费版本中提供的所有选项。

Wordfence Premium 的价格为每年 119 美元。 除了优先支持之外，与免费提供的主要区别在于 Wordfence 提供的工具的更新频率。

使用 Premium，只要 Wordfence 的服务器实时检测到威胁，它们就会立即更新您的防火墙规则、恶意软件检测和 IP 阻止列表。

使用免费插件，您必须在上线后等待 30 天才能从更新中受益。

除此之外，Wordfence 还提供两个许可证，专门的团队将为您安装、配置和管理 Wordfence：

• Wordfence 护理：490 美元/年
• Wordfence 响应： 950 美元/年。 此许可证使您可以访问与 Wordfence Care 相同的选项，但您还可以保证最多一小时的响应时间，并且每周 7 天都可以响应。

最后两个优惠主要针对大型网站和没有时间照顾网站安全的人（以及有预算委派此任务的人）。

对于您的个人网站或博客，免费或付费的 Wordfence 插件就足够了。

我们对 Wordfence 插件的最终意见

最后，让我们回顾一下自本文开始以来我们所看到的内容，并总结此安全插件的优点和缺点。

Wordfence Security 插件的优点

• 愉快和清晰的界面，这使得它易于学习
• 它会自动为您应用基本的安全设置
• 免费版提供的许多功能，包括应用程序防火墙
• 双因素身份验证
• 安全扫描器
• 电子邮件提醒，让您知道何时出现问题

插件的缺点

• 有些设置对于初学者来说太复杂了，但其他安全插件也是如此
• 事实上，检测到的威胁的最新更新仅在发布 30 天后应用
• 使用 Wordfence 会导致页面速度变慢，因为它会消耗大量服务器资源。 如果您的虚拟主机没有跟上，您网站的性能可能会受到影响。

你应该使用它吗？

总的来说， Wordfence 是一个非常优秀的安全插件。 由于它的大部分选项都是自动运行的，因此适合初学者。

更高级的用户会喜欢能够编辑更多技术和高级设置。

感谢免费插件，您将拥有一个宝贵的盾牌来阻止大多数恶意攻击，尤其是通过其应用程序防火墙。 后者已经可以有效地为您的站点提供第一级安全保护。

这是值得注意的，因为其他竞争插件（例如 Sucuri）在其免费版本中不提供防火墙。 但是，它是任何站点都必须具备的基本保护。

如果您还想保护自己免受 Wordfence 团队检测到的最新威胁（总是更好），请在预算允许的情况下切换到高级套餐。

最后，不要忘记使用安全插件并不是万能的。 首先，因为没有网站是绝对可靠的。 其次，因为您需要每天应用良好的实践。 例如，请记住定期更新和备份您的网站。

那么，您如何看待 Wordfence？ 在评论中给我你的意见。