Sucuri:你應該緊急安裝的安全插件?

已發表: 2022-12-07

張大嘴巴。 鋒利的尖牙隨時準備咬碎一隻可憐的小動物。 一個沒有盡頭的身體,必須接近 30 英尺長。

在 Google 上輸入“sucuri”,您會發現自己面對面的是一些非常可怕的蛇的圖片。 但事實上,為什麼呢? 好吧,僅僅因為你在搜索引擎中輸入的詞是 anaconda 的葡萄牙語翻譯。

一條蛇正試圖催眠某人。
小心別被催眠了……

您應該意識到,起初,我只是在尋找有關WordPress 安全插件 Sucuri的更多信息。

幸運的是,這並沒有什麼不好的。 激活後它不會吃掉你。 呼,你可以深吸一口氣了!

相反,此插件旨在幫助您根除其他掠奪者:可惡的黑客以及可能感染您網站的其他文件和惡意軟件。

到本文結束時,您將知道 Sucuri 是如何工作的(插件,而不是蛇),更重要的是如何逐步設置它。 準備好安全步行了嗎? Ssss,按照指南進行操作。

概述

  1. 什麼是蘇庫裡?
    1. 為什麼保護您的 WordPress 網站很重要?
      1. 如何安裝 Sucuri
        1. 如何設置和使用 Sucuri Security
          1. Sucuri Security 的費用是多少?
            1. 我們對 Sucuri 安全插件的最終意見

              您最好的 WordPress 項目需要最好的主機!

              WPMarmite 推薦 Bluehost:出色的性能,出色的支持。 一個良好的開端所需的一切。

              試用 Bluehost
              CTA Bluehost WPMarmite

              什麼是蘇庫裡?

              WordPress 的 Sucuri 安全插件。

              Sucuri Security 是一個 WordPress 安全插件,它提供了一套工具來幫助您保護您的網站:審核 WordPress 核心文件(PHP、CSS、JavaScript)、惡意軟件和程序分析、安全實施、電子郵件警報、黑客攻擊後安全措施、等等

              Sucuri 由 Daniel Cid 於 2012 年創立,於 2017 年被美國託管巨頭 GoDaddy 收購,此後一直維護和開發它。

              在 2014 年之前提供高級插件後,該插件現在完全免費。

              Sucuri擁有超過 80 萬個活躍安裝量,是官方目錄中最受歡迎的 WordPress 安全插件之一,與 Wordfence(超過400 萬個活躍安裝量)、iThemes Security(超過 100 萬活躍安裝量)和 All-in-One Security(超過 100 萬活躍安裝量)等競爭對手並駕齊驅.

              Sucuri,一個由優質服務支持的免費插件

              雖然它有一個專用於 WordPress CMS 的安全插件,但 Sucuri 公司提供了多種基於雲的高級服務來保護您的網站,無論它運行在什麼 CMS(內容管理系統)上:WordPress、Joomla、Magento、Drupal,購物等

              在這些服務中,有:

              • 一種 Web 應用程序防火牆 (WAF) ,可保護您的 Web 服務器免受各種攻擊:DDOS 攻擊(拒絕服務)、暴力攻擊、惡意軟件、網絡釣魚、勒索軟件等。此防火牆帶有 CDN(內容交付網絡),以提升你的頁面加載速度。
                WAF 可以單獨使用,也可以與 Sucuri 插件一起使用。
              • Sucuri 安全平台(Sucuri Website Security)。 除了防火牆和 CDN 之外,Sucuri 還提供多種服務來監控您網站的安全性,並可以為您提供專門的團隊來清理您的 WordPress,以防遭到黑客攻擊。

              雖然這些服務是獨立的並且可以彼此獨立使用,但 Sucuri 在官方目錄上聲明其插件“補充了您現有的安全工具 它並非旨在取代 Sucuri 網站安全或防火牆產品。”

              換句話說,如果您想盡可能地保護您的 WordPress 網站,僅使用插件是不夠的。

              為什麼保護您的 WordPress 網站很重要?

              在檢查 Sucuri 提供的功能和其他設置之前,讓我們停下來考慮一下安全對 WordPress 安裝的重要性。

              使用專用插件來保護自己是最起碼的,因為沒有 WordPress 網站是萬無一失的。 作為地球上使用最廣泛的 CMS(內容管理系統),WordPress 自然成為每天無數攻擊的目標。

              據說每秒有 2,800 次攻擊針對全球的 WordPress 安裝!

              一個男人很震驚。

              但是,不要驚慌。 WordPress 是一個安全的 CMS。 在其 WordPress 生態系統安全報告中,安全專家 Patchstack 解釋說,96% 的安全漏洞來自第三方代碼(插件和第三方主題),而 WordPress 核心中的這一比例為 4%。

              這就是為什麼必須保護您的網站的原因。 黑客攻擊的後果可能是災難性的,並導致:

              • 大量數據的丟失和被盜,或多或少是敏感的,尤其是您客戶的數據。
              • 浪費時間,因為您將不得不清理被黑網站並更新所有內容。
              • 計劃外的財務支出,尤其是當您請來安全專家時。
              • 您的品牌形像下降,可能會失去當前用戶和/或未來客戶的信任。

              您明白了:不要忽視站點的安全方面。 讓我們繼續詳細介紹 Sucuri。

              如何安裝 Sucuri

              第 1 步:在 WordPress 上激活 Sucuri 插件

              首先,通過插件 > 添加新菜單從管理界面安裝插件。 點擊“立即安裝”:

              Sucuri 可以從您的 WordPress 儀表板安裝。

              記得激活插件。 然後,您會在 WordPress 後台的左側欄中找到一個名為“Sucuri Security”的新菜單:

              Sucuri 安全插件菜單。

              第 2 步:生成 API 密鑰

              為了激活插件提供的一些附加工具,Sucuri 建議您生成一個 API 密鑰。

              API代表應用程序編程接口。 正如本文中非常清楚地解釋的那樣,“API 是使兩個軟件組件能夠使用一組定義和協議相互通信的機制。”

              為此,請單擊儀表板頂部的“生成 API 密鑰”按鈕:

              使用 Sucuri 生成 API 密鑰。

              在屏幕上明亮彈出的窗口中,選擇與您的帳戶關聯的電子郵件地址,然後接受服務條款(如果您同意)。 準備好後點擊“提交”。

              您可以選擇與 API 密鑰關聯的管理員帳戶。

              你有它! Sucuri 準備工作。 正如它在生成 API 密鑰後告訴您的那樣, 這不是滿足您的安全需求的快速解決方案它不是 Sucuri Website Security 或 Firewall 的替代品,但它可以讓您提高安全意識並採取更好的立場,以降低風險為目標。”

              現在讓我們逐個菜單地了解如何設置插件。

              加入 WPMarmite 訂閱者

              獲取最新的 WPMarmite 帖子(以及獨家資源)。

              現在訂閱
              WPMarmite 英文時事通訊

              如何設置和使用 Sucuri Security

              Sucuri 儀表板概述

              Sucuri Security 提供的第一個主菜單是儀表板。 在這裡您可以找到插件在您網站上進行的審核結果。

              具體來說, Sucuri 會檢查您的 WordPress 安裝是否對基本 WordPress 文件(您每次下載 CMS 時都會找到的文件)進行任何更改

              Sucuri 自動掃描根目錄、wp-admin 和 wp-includes 目錄中的文件,然後將它們與您站點上安裝的 WordPress 主要版本(6.1.1,在我的例子中)分發的文件進行比較。

              一旦 Sucuri 檢測到不一致的文件,它就會將其顯示在您的儀表板上。

              如果出現問題,則會出現一個紅色的“X”,並伴隨著一條不太令人放心的相同顏色的消息:“核心 WordPress 文件已被修改”。

              Sucuri 可以讓您知道您的 WordPress 核心文件是否已被編輯。

              文件可能已被黑客入侵。 就我而言,Sucuri 在 .txt 文件和 error.log 文件中報告了兩個假定的異常。

              後者列出了您網站上發生的錯誤日誌(尤其是 PHP 錯誤)。 然後我有幾種選擇來解決這些問題:

              • 將文件標記為 false positive ,例如,如果它是我自己添加的文件。 Sucuri 將在以後的掃描中忽略它。
              • 如果您認為它是惡意的,請刪除該文件
              • 恢復文件的原始版本
              有幾個選項可以解決 Sucuri 發現的問題。

              這種掃描很方便,但有一個主要問題:對於初學者來說,仍然很難知道所謂的異常文件是否在您的站點上引起了真正的安全問題。

              結果,我們真的不知道該怎麼辦。 保持文件原樣? 恢復原來的版本? 即使冒著刪除重要數據的風險也要刪除它? 這並不容易弄清楚。

              在專門用於分析 WordPress 核心的插頁下,除了審計日誌之外,您還會發現幾個選項卡,指示已發生的更改:

              • 內嵌框架(HTML 標籤)
              • 鏈接
              • 腳本

              最後,Sucuri 還提出了一些建議來加強我安裝的安全性,例如,建議我刪除未使用的插件或禁用管理中的文件編輯器:

              Sucuri 還給出了安全建議。

              應用防火牆:防火牆(WAF)

              Sucuri 的第二個子菜單用於 Sucuri 防火牆。 要從中受益,您必須選擇 Sucuri 提供的保費計劃之一

              如果您想執行此步驟,只需在提供的框中添加您的 API 密鑰即可。

              啟用此防火牆後,Sucuri 可確保您的網站免受攻擊,並防止惡意軟件感染和再次感染。

              此外,防火牆“將阻止 SQL 注入嘗試、暴力攻擊、XSS(站點到站點腳本)、RFI(在您的服務器上嵌入遠程文件)、後門程序(遠程訪問您的站點)和許多其他威脅到你的網站。”

              通過設置選項卡,您還可以:

              • 通過手動輸入某些 IP 地址來阻止它們,這樣他們就無法訪問您的站點。
              • 啟用緩存,這將提高您的 WordPress 網站的性能。
              Sucuri 防火牆設置。

              與登錄相關的菜單:上次登錄

              讓我們轉到 Sucuri 插件的第三個菜單:“上次登錄”。 有四個選項卡可用:

              • 所有用戶”顯示所有成功登錄到您的 WordPress 管理員的用戶
              • 管理員”顯示在您的站點上擁有“管理員”帳戶的所有人員
              • Logged-in Users”詳細列出了當前登錄的所有用戶
              • 失敗的登錄”顯示您登錄頁面的登錄嘗試失敗。 例如,如果您是暴力攻擊的受害者,這將幫助您快速查看。
              Sucuri 上的“登錄失敗”選項卡。
              呸,還沒有人攻擊我的網站!

              Sucuri 設置菜單

              最後,最後一個菜單也是最豐富的。 在這裡您會發現 Sucuri 的幾個主要功能,我們將逐個選項卡對其進行詳細分解。

              常規設置選項卡

              General Settings 選項卡有幾個插件。 它們包括以下一些您可以修改的元素:

              • 包含所有安全日誌的目錄(“數據存儲”)
              • 日誌導出器
              • 您可以激活的反向代理
              • 將 Sucuri 設置導入和導出到另一個 WordPress 站點的模塊
              Sucuri 上的日誌導出器。

              掃描儀選項卡

              “掃描儀”選項卡包括 Sucuri 提供的名為 SiteCheck 的免費工具。 此工具將掃描您的網站以查找以下內容:

              • 惡意軟件
              • 您的 WordPress 網站上的錯誤
              • 過時的軟件
              • 安全異常

              特別是,Sucuri 向您展示:

              • 掃描期間計劃的任務(“計劃任務”)。 默認情況下,掃描每天進行一次。
              • “WordPress Integrity Diff”實用程序,用於將服務器上的文件與站點的原始文件(根目錄、主題、插件和 WP 核心文件)進行比較。
              • 檢測到誤報
              • 在掃描過程中排除某些文件和文件夾的選項,尤其是當它們太大時。
              Sucuri 允許您從掃描中排除某些文件。

              強化選項卡

              “強化”選項卡列出了十種安全措施,您可以應用這些措施來防止可能的攻擊。 它們將加強您的 WordPress 安裝的安全性。

              例如,只需單擊一下,您就可以:

              • 阻止執行 wp-content 和 wp-includes 目錄中的某些 PHP 文件
              • 在您的管理界面中禁用文件編輯器,以防止黑客修改您的文件
              • 刪除您的 WordPress 版本的顯示
              • 檢查您的 WordPress 版本是否是最新的
              Sucuri 提供了一個選項卡,其中包含提高站點安全性的建議。

              在頁面底部,還可以手動排除某些已被阻止運行的 PHP 文件。

              作為一項預防措施,請備份您的站點(文件 + 數據庫)以應用這些措施之一。 您可以使用備份插件,例如 UpdraftPlus。 如果可能,請在測試環境中進行,而不是在生產環境中進行

              後黑客標籤

              顧名思義,“Post-Hack”選項卡提供了多種措施,可在您的網站被黑客入侵後立即應用。 所以我希望你永遠不必使用它! ^^

              您可以執行以下操作:

              • 生成新的安全密鑰。 它們存在於 wp-config.php 文件中,它們允許更好地加密某些信息,尤其是連接到您站點管理的用戶的 cookie。 如果黑客擁有這些 cookie,即使您重設密碼,他也能連接到您的網站——除非您更改安全密鑰!
              • 更新用戶密碼
              • 重新安裝您網站的插件
              • 更新您的主題和插件
              Sucuri 允許您更新您的密鑰。

              Sucuri 警報選項卡

              在警報選項卡中,您可以配置與 Sucuri 將通過電子郵件發送給您的安全警報相關的設置。

              默認情況下,插件會向站點的主要管理員(在安裝過程中創建的管理員)發送安全通知。 但是,您可以指定其他電子郵件地址來接收這些通知。

              您還可以管理您將收到的警報類型,並授權受信任的 IP 地址,以便它們不會生成警報。

              例如,您可以指定:

              • 每小時接收的最大警報數(從 5 小時到無限)
              • 發送電子郵件警報之前每小時失敗的連接嘗試次數(暴力攻擊)
              • 將觸發安全警報的事件(例如插件設置的更改、新登錄的創建、主題或插件的停用等)
              Sucuri 通過電子郵件發送安全警報。

              為了完全全面,Sucuri 提供了另外兩個設置選項卡:“API 服務通信”和“網站信息”。 這兩個選項卡不管理特定設置:它們提供有關您的 API 和 WordPress 站點的信息。

              在這個廣泛的概述之後,我建議我們繼續閱讀本文的最後一部分。 先說說Sucuri的價格,然後說說我對這個安全插件的看法。

              Sucuri Security 的費用是多少?

              Sucuri 是作為免費插件提供的,這是真的……但有限制。

              事實上,如果你想使用 Sucuri 提供的應用程序防火牆,你就必須付費。 在安全方面,強烈建議使用防火牆。

              此選項還包括對 CDN 的訪問,在一個站點上的使用費為每月 9.99 美元起。

              Sucuri 防火牆的價格。

              另一方面,Sucuri 提供了一個更全面的安全包,稱為網站安全平台。 單站點使用起價為每年 199.99 美元。

              這個定價計劃當然包括 Sucuri 的防火牆、CDN,以及由內部專家進行的惡意軟件和盜版文件清理

              Sucuri 網站安全平台的價格。

              了解如何安裝和配置#WordPress #Sucuri 安全插件及其必備功能。

              點擊鳴叫

              我們對 Sucuri 安全插件的最終意見

              總而言之,您應該如何看待 Sucuri? 為了回答這個問題,我將討論選擇插件時的兩個關鍵方面:易用性和效率。

              首先,關於處理。 它不一定很複雜,因為 Sucuri 選擇提供清晰的選項,並很好地分佈在不同的選項卡中。
              菜單並不過分,執行操作非常容易(大多數情況下單擊一次就足夠了)。

              另一方面,安全領域充滿了技術術語——Sucuri 與此無關——初學者並不總是能夠理解他被推薦做什麼或他應該做什麼。 這是要指出的第一個限制。

              讓我們繼續討論插件的效率。 Sucuri 首先是一個監控工具,旨在提醒您 WordPress 上的安全問題。 它會掃描您的頁面是否存在異常,在出現問題時向您發送警報等。

              但是這個插件並不能真正讓你解決安全問題(除了一些小方面),除非在被黑客攻擊之後(但到那時就太晚了)。

              主要的安全防護措施之一是使用防火牆。 Sucuri 確實提供了一個,但僅限於付費報價。

              下載 Sucuri 插件:

              下載

              總之,如果您想有效地保護您的 WordPress 網站,我不會推薦免費插件

              你同意我的意見並且你使用 Sucuri 嗎? 通過發表評論給我你的意見。