SecuPress 是一個有價值的安全插件嗎？ 我們的測試和審查

有些話我們真的不喜歡聽。 我想到了幾個例子： “汽油價格上漲了 20 美分。” “你的房租漲了。” “你的假期申請沒有被接受。”

或者， “您的 WordPress 網站已被黑客入侵。” 當然，在這種情況下，沒有人會警告你。 如果發生這種情況，您將只剩下眼淚。

由於我不希望這種情況發生在你身上，我建議你使用安全插件（如 SecuPress）來限制風險。

這個真的值得繞道而行，不僅因為它是法國製造的。 我在本指南中對其進行了詳細審查，該指南也可作為教程使用。

在閱讀結束時，您將知道這個插件的價值，以及您是否應該在您的 WordPress 網站上使用它。

您最好的 WordPress 項目需要最好的主機！

WPMarmite 推薦 Bluehost：出色的性能，出色的支持。 一個良好的開端所需的一切。

試用 Bluehost

什麼是 SecuPress？

SecuPress 是一個 WordPress 安全插件。 在其眾多功能中，該插件能夠通過阻止惡意傳入請求來保護您的網站。 SecuPress 還憑藉其掃描儀在競爭中脫穎而出，該掃描儀能夠檢測安全問題並自動修復它們。

SecuPress（ 30K+活躍安裝）於 2016 年 8 月在官方目錄上推出，是最受歡迎的安全插件之一，其他著名競爭對手包括：

• iThemes 安全（超過 100 萬個活動安裝）
• Wordfence Security （超過400 萬個活躍安裝）
• 多合一安全（超過 100 萬個活動安裝）
• Sucuri （ 800K+活躍安裝）

SecuPress 是一個免費增值插件，這意味著它有免費版本（SecuPress 免費）和付費版本​​，稱為 SecuPress Pro（包括所有選項）。

SecuPress，100% 法國製造的插件

在 SecuPress 的背後，我們找到了自 2002 年以來的安全專家 Julio Potier 。 在與他的搭檔 Gregory Viguier 進行了 18 個月的開發之後，Julio 於 2016 年 8 月正式推出了 SecuPress。

當時，他仍在 WP Media 工作，這家法國公司發布了 WP Rocket 和 Imagify 插件等。

自 2013 年以來，Julio 就一直在考慮 SecuPress 項目，正如他在該插件專用的新聞資料袋中所解釋的那樣。

為了在競爭激烈的市場中脫穎而出，SecuPress 專注於三個主要方面：

1. 便於使用
2. 任何類型的用戶都可以理解的選項，從初學者到高級
3. 提供基本的安全選項，無需您進行任何修改或調整即可應用

所有這一切背後的主要思想：您無需成為安全專家即可使用 SecuPress 。

SecuPress 有哪些特點？

SecuPress——不是 Securpress，因為它有時會被拼寫錯誤——通過四個步驟確保您網站的安全，如其演示頁面所示：

1. 首先，它會掃描您的 WordPress 安裝以查找漏洞。 檢查了32個安全點。
2. 然後嚮導會以簡單易懂的方式顯示檢測到的問題。
3. SecuPress 繼續根據您的請求自動修復檢測到的漏洞：您所要做的就是選中與已識別漏洞關聯的框。
4. 最後，最終的安全報告允許您查看插件所做的所有更正。

以下是此 WordPress 安全插件的一些主要功能：

• 防火牆
• 防止暴力攻擊
• 網站健康掃描
• 移動登錄頁面
• 雙因素身份驗證 (2FA)
• 阻止機器人和惡意軟件
• 檢測易受攻擊的主題和插件
• 電子郵件和 Slack 警報
• 備份 WordPress 數據庫和站點文件
• 更改數據庫前綴
• 強制主要和次要的 WordPress 更新
• 將安全常量添加到 wp-config.php 文件

此外， SecuPress 是一個以處理加載時間而聞名的插件，這是一個重要的優點，不會對用戶體驗產生太大的負面影響。

為什麼保護 WordPress 很重要？

在繼續介紹 SecuPress 選項和設置之前，我想提請您注意 WordPress 網站安全的重要性。

與流行的看法相反，WordPress 是一個安全的 CMS（內容管理系統）。

正如安全專家 Patchstack 在 2021 年發布的一份報告中所述，幾乎所有檢測到的漏洞都來自主題，尤其是插件（佔漏洞總數的 99.42%）。

由於沒有網站是絕對可靠的，因此作為網站管理員，您有責任保護您的 WordPress 安裝。

因為萬一遭到黑客攻擊，後果可能非常不幸，並導致：

• 大量數據丟失和被盜，或多或少敏感（文本、圖像、支付方式等），尤其是您客戶的數據
• 浪費時間，因為你必須清理被黑網站並更新所有內容
• 計劃外的財務支出，尤其是當您請來安全專家時。 黑客入侵後，您可能還會被要求支付贖金
• 您的品牌形像下降，可能會失去當前用戶和/或未來客戶的信任
• 您在 Google 搜索結果頁面上的 SEO 排名下降，這有利於安全網站。 您甚至可能會消失，這會對您的營業額產生重大影響。

使用像 SecuPress 這樣的一體式插件的優勢在於，您可以在一個地方擁有許多與安全相關的功能——將插件想像成一個工具箱。

因此，您不需要激活多個不同的插件來執行不同的操作（例如，一個插件可以防止暴力攻擊，一個插件可以啟用雙因素身份驗證等）。

我們只是說管理更簡單，最重要的是，您可以避免使用多個插件使您的網站超載。

現在您了解了 WordPress 安全的重要性，讓我們了解如何使用 SecuPress 保護您的網站。 首先，我將詳細介紹如何安裝和激活插件。

出於本次測試的目的，我使用了 SecuPress Pro，其中包括插件提供的所有選項。 如果您使用的是插件的免費版本，您將無法使用我將在此處展示的所有功能。 我會在文末比較兩個版本的差異。

如何分兩步安裝 SecuPress Pro

第 1 步：在您的 WordPress 儀表板上激活插件

要開始，請轉到 WordPress 管理界面上的插件>添加新菜單。

在搜索欄中輸入“SecuPress”，然後單擊“SecuPress Free – WordPress Security”結果中的“立即安裝”按鈕：

繼續記住激活插件。 就是這樣：免費版本已經可以使用了。

您會注意到管理界面左側欄底部有一個新菜單。 此菜單包含三個條目：

1. “掃描儀” ，對您的網站進行掃描。
2. “模塊”在儀表板上列出了 SecuPress 提供的所有選項。
3. 如果您想利用付費版本，“更安全”鏈接到 SecuPress 定價頁面。

如果您想激活 SecuPress Pro，請轉到下面的下一步。

第 2 步：激活您的 Pro 許可證

要在您的 WordPress 網站上運行高級版的 SecuPress，請轉至SecuPress >模塊>儀表板。

然後簡單地：

• 添加您在購買專業版時提供的電子郵件地址。
• 輸入您在客戶區找到的許可證密鑰。
• 單擊相應的按鈕激活許可證。

SecuPress 現在處於活動狀態：它只在等待您的指令才能工作。 ^^ 在下一部分中了解如何做到這一點。

界面分析與處理

SecuPress，一個非常容易使用的插件

在進入細節之前，我將花一些時間看一下插件的用戶界面 (UI)，因為它真的很值得。

當您開始使用 SecuPress 時，讓您印象深刻的是該插件的簡單性和易用性。 該插件非常易於使用，原因如下：

• 界面在設計方面非常整潔。 它簡潔、美觀，而且您可以一眼就看到您需要做什麼，例如，得益於清晰可見的號召性用語按鈕。
  此外，此界面讓人聯想到WP Rocket （附屬鏈接）或 Imagify 等插件。 這是有道理的：記住，Julio Potier 在推出 SecuPress 時是 WP Media 的一部分。

• 您不會淹沒在無數菜單中。 事實上，您“只有”兩個主要選項可以使用 SecuPress 採取行動：掃描您的網站或通過模塊激活各種選項。

這兩個主要特徵將 SecuPress 與其競爭對手區分開來，後者各自的界面顯然不夠精緻，更難理解，技術術語更多。

例如，查看 Wordfence Security 的界面。 它突然看起來可讀性大大降低：

採用模塊化方法的儀表板

無論您使用免費版還是付費版的 SecuPress，插件的儀表板（可通過SecuPress >模塊訪問）都包含13 個模塊。

如果您使用 SecuPress Pro，所有選項都可用。 可以通過選中一個框來激活或停用它們。

如果您使用插件的免費版本，Pro 選項是模糊的，您無法激活它們：

現在讓我們進入正題，了解 SecuPress 提供的第一個關鍵功能：掃描您的站點。 該插件建議您在激活後立即運行掃描，所以開始吧！

安全掃描器如何工作？

運行掃描

要利用它，請轉至SecuPress >掃描儀。 然後點擊“掃描我的網站”按鈕：

幾秒鐘後，SecuPress 將掃描您的網站並為您提供一份安全報告，包括總分。

就我而言，您可以看到還有很多工作要做：我的平均成績是 C+。 在評估的 32 個安全元素中，SecuPress 認為其中 10 個是壞的。

如果我向下滾動頁面，我可以通過簡短的解釋性句子訪問每個缺陷點的描述。 我還可以通過單擊“了解更多”來獲取更多詳細信息。

如果我想糾正這些問題，我只需要點擊“下一步”按鈕。

自動糾正“壞”點

SecuPress 然後向我顯示所有需要更正的點。

您可以通過選中（將更正該項目）或取消選中您選擇的項目（不會更正）來控制每個項目的自動更正。

如果您不確定自己在做什麼，我建議您遵循插件的建議。 換句話說，保留自動選中的框並單擊“修復它”按鈕。

根據要更正的項目數量，操作最多需要三分鐘。

執行手動操作

當 SecuPress 完成其工作時，它會在出現的頁面頂部告訴您哪些模塊已被激活。

如果您沒有檢查上一步中的所有建議選項（我出於本次測試的目的自願這樣做），SecuPress 建議您手動更正（經過您的驗證）它在掃描過程中檢測到的問題。

在下面，您可以看到系統提示我在我的登錄頁面上啟用雙重身份驗證，這是一種很好的安全措施。 您可以：

• 忽略建議（不推薦）
• 修復它並繼續（推薦操作）

查看更正項目的摘要

最後，您將獲得一份解決報告，其中包含所採取措施的摘要。

就我而言，我的成績從 C+ 變成了 B+。 我還有一些項目要更正，總共8個。 同樣，不糾正所有問題並不是一個好的做法。

在您的網站上，如果可能，您應該更正所有出現的不良項目。 我在這裡沒有這樣做只是因為我正在測試插件。

為了進一步加強站點的安全性，您可以逐個模塊進行額外的調整，我將在下一節中詳細介紹。

SecuPress 提供哪些模塊？

您現在知道了：您可以通過SecuPress > Modules訪問模塊。 總共有13個，提供近百種選擇！

我將一一向您介紹它們，包括它們的基本設置。

儀表板

使用第一個模塊，您可以：

• 輸入您的 Pro 許可證
• 修改高級設置，例如在管理側欄中顯示或不顯示 SecuPress 菜單
• 導出和導入您的 SecuPress 設置。 如果您想同時在多個站點上使用該插件，這將很有用。 還有一個按鈕可以一鍵重置插件設置。

用戶和登錄

“用戶和登錄”模塊提供了幾個有用的功能。 我建議您激活以下選項：

• 移動管理和登錄頁面。 通過這樣做，您的登錄頁面將不再可供所有人通過以下 URL 之一訪問：your-site.com/wp-admin 或 your-site.com/wp-login。 然後您將能夠輸入您選擇的 URL（例如 yoursite.com/Ui78vcF45）。 選擇一些複雜的東西來解密。
• 限制嘗試連接到管理的次數，包括暴力攻擊。 您可以輸入禁止前的嘗試次數，並設置惡意人員或機器人無法訪問登錄頁面的時間段。

• 使用雙重身份驗證，尤其是使用無密碼方法。 在這種情況下，用戶在登錄頁面輸入地址後，必須單擊通過電子郵件收到的鏈接才能登錄。
• 在登錄頁面上使用驗證碼，以限制機器人的登錄嘗試。
• 強制使用強密碼。

插件和主題

如果您打算讓客戶控制您的站點，則主題和插件模塊非常有用。 它包含幾個選項來禁止添加、停用或刪除插件。

如果您想確保您的客戶或網站管理員沒有做錯任何事，請勾選您感興趣的方框。

如果您是唯一一個管理該站點的人，並且您知道自己在做什麼，那麼您就不必在此處進行太多操作。

我仍然建議您無論如何都選中以下兩個框：

• 檢測不良插件
• 檢測不良主題

在這些情況下，當啟用已知易受攻擊的插件或主題時，您會收到通知（感謝 Patchstack 日常安全監控服務）。

WordPress 核心

在本模塊中，我建議您首先激活以下選項：

• 次要更新，如果它們被禁用（例如通過插件），則強制在後台進行次要更新

• 更改數據庫前綴。 默認情況下，前綴wp_會在安裝 WordPress 時分配給您的數據庫表。 這意味著很容易在代碼中檢測到您的站點正在 WordPress 下運行，以便對其進行攻擊。 將此前綴更改為更複雜的內容（例如 fgd56mld90_）。
• 禁用文件編輯器，以防止直接從 WordPress 界面編輯插件和主題文件。
• 為您的 WordPress 安裝創建安全密鑰。 這些密鑰位於wp-config.php文件中，並允許更好地加密某些信息，例如登錄到您站點管理的用戶的 cookie。 如果黑客擁有這些 cookie，他將能夠登錄到您的站點，即使您重置了密碼……除非您更改了安全密鑰。

SecuPress 還允許您為主要的 WordPress 版本啟用自動更新。 事實上，這是一個很好的做法，但我個人更喜歡在發布幾天后手動執行我的主要更新，部分原因是為了避免可能出現的兼容性問題（儘管這種情況很少見）。 但是，如果您是那種忘記更新的人，請選中相應的框。

加入 WPMarmite 訂閱者

獲取最新的 WPMarmite 帖子（以及獨家資源）。

現在訂閱

敏感數據

在“敏感數據”模塊中，可以先保持默認設置：

• PHP版本公開
• WordPress 版本披露

那麼，我特別推薦你：

• 禁用 XML-RPC 協議，如果你不使用它
• 保護您的媒體免受盜鏈
• 禁用文件夾中文件的顯示
• 禁止訪問 readme.txt 或 changelog.md 文件

防火牆

使用防火牆模塊，您有七個選項來阻止惡意請求：

• 錯誤的用戶代理（例如互聯網瀏覽器）
• 錯誤的請求方法
• 虛假的 SEO 機器人
• 網址中的不良內容
• 阻止來自一個或多個國家的惡意活動

在這裡，我建議您選中所有復選框。

反垃圾郵件

SecuPress 允許您激活反垃圾郵件以對抗不需要的評論。

如果您還沒有使用像 Akismet 這樣的反垃圾郵件插件，請選中“我需要在我的網站上發表評論，打擊垃圾評論”框。

請注意，如果您願意，SecuPress 還允許您刪除所有評論功能。

惡意軟件掃描器

使用惡意軟件掃描程序，您可以：

• 掃描您的文件和數據庫是否有病毒，即與原始 WordPress 核心文件不同的文件（找出哪些已被修改）
• 阻止訪問上傳文件夾中的文件，以防止在您受病毒影響時使用它們（選中此框）

日誌和IP

“日誌和 IP”模塊允許您手動輸入 IP 地址以禁止或允許。

多虧了日誌，您還可以：

• 跟踪在您的站點上執行的操作（更新密碼、更改電子郵件地址、重要角色登錄等）。 如果您有興趣，請選中“是的，保留 WordPress 操作日誌”框。
• 查看您的404 錯誤。 但是，SecuPress 不允許您執行重定向以“刪除”您的 404（該插件不能做所有事情）。 為此，請使用重定向插件。

插件

該模塊允許您安裝兩個附加組件：

• WP Activity Log ，記錄您網站上發生的修改。
• BackWPup ，備份您的站點。

由您決定是否需要它們。

備份

在出現安全問題時，對您的網站進行最近的備份是必不可少的。 SecuPress 了解這一點並提供了一個專用模塊。

多虧了這個模塊，您可以手動備份您的文件和數據庫，並可以選擇排除您選擇的文件和表格。

這絕對有用，但仍然不如專用備份插件能夠為您提供的廣泛。

使用 SecuPress，您無法將備份保存在遠程存儲空間（如 Google Drive、Dropbox 或 Amazon S3）上，這仍然是一個很好的做法。

並且您需要記住盡快下載並刪除每個備份，否則您最終會用完託管公司分配的存儲空間。

警報

使用“警報”模塊，您可以選擇在發生重要事件（例如檢測到漏洞）時通過電子郵件或 Slack 收到通知。

您還可以收到包含重要事件摘要的每日報告。

時間表

最後，最後一個模塊與時間表有關：

• 備份
• 掃描
• 文件監控

您可以選擇每天的最大頻率（例如每天）。 例如，不可能安排每小時備份。

嗯，就是這樣！ 您現在對 SecuPress 安全插件的所有模塊有了一個非常完整的概述。

讓我們通過查看插件的價格來繼續我們的旅程。

SecuPress 的價格是多少？

SecuPress 首先在官方 WordPress 目錄中免費提供。 然而，要利用所有這些功能，您需要選擇付費版本 SecuPress Pro。

價格根據您要激活插件的網站數量而浮動。 這裡有一些例子可以給你一個想法：

• 在一個網站上使用每年 60 歐元（約 65 美元）
• 160 歐元/年（約合 173 美元），用於 5 個站點
• 260 歐元/年（約合 280 美元），用於 10 個站點
• 1180 歐元/年（約合 1280 美元），用於 100 個站點

免費版或專業版：您應該選擇哪個？

您是否對 SecuPress 感興趣，但在免費版和高級版之間猶豫不決？ 要做出決定，這完全取決於您擁有的網站類型以及您打算使用插件的用途。

正如 SecuPress 所說， “免費版本可用於小型網站，例如沒有收入的博客。”

另一方面，如果您收到定期流量、擁有會員區或管理電子商務商店，請選擇專業版。

在這種情況下， “您將需要更多安全性並需要節省時間。 例如，SecuPress Pro 可以安排您的主要任務並在必要時向您發送警報。”

無論如何，您始終可以先激活免費版本，看看是否足夠。 另外，請隨時查看 SecuPress 提供的兩個版本之間的比較。

現在是時候進行最後的審查和我們對插件的意見了！

我們對 SecuPress 的最終意見

SecuPress 是一個非常全面的插件，結合了多種優點：

• 易於使用：無需技術知識即可使用該插件
• 人體工程學和用戶界面，明顯優於競爭對手
• 許多功能的存在加強了您網站的安全性，即使是在免費版本中也是如此。 例如，SecuPress 提供防火牆，如 Wordfence（iThemes Security 和 Sucuri 不免費提供此選項）。
• 模塊化方法，您可以方便地只激活您需要的選項
• 掃描儀級配置嚮導，從頭到尾手把手教你
• 自動應用設置和安全補丁（除了複選框之外，您無需執行任何操作）
• 每個功能的簡單而有用的解釋
• 頻繁的更新
• 它的價格比其主要競爭對手（Wordfence Security、iThemes Security、Sucuri 等）便宜得多（對於相同的功能）

就個人而言，我非常喜歡這個插件，我沒有看到任何重大缺點。

SecuPress：為誰？

最後，問題是您是否應該使用它，尤其是考慮到競爭對手提供的產品。

我不打算比較 SecuPress 與 Wordfence，或 SecuPress 與 iThemes Security。

為了形成您自己的意見，我邀請您閱讀我們專門針對這些插件的教程：

• Wordfence 安全教程
• iThemes 安全教程
• Sucuri教程

在這四個旁邊，SecuPress 沒有什麼可恥的，遠非如此。 對我來說，它是界面和用戶體驗方面設計最好的插件。

它非常易於使用，非常適合初學者，當然也適合更有經驗的用戶。

在選項方面，我發現它比 Sucuri 和 iThemes Security 更全面。 另一方面，Wordfence 防火牆對我來說似乎更強大。

下載 SecuPress 插件：

最後，SecuPress 是一個我會閉著眼睛安裝的插件，以加強 WordPress 網站的安全性。

對你來說，你在你的網站上使用它嗎？ 讓我們在評論中繼續討論。