如何使用 Wordfence Security 保護 WordPress

管理 WordPress 網站意味著經歷不同的情緒。 有時，會有快樂，比如當您看到您的內容在 Google 上慢慢排名時。

當您的網站在更新後崩潰時，有時會很生氣。 有時，你甚至會感到恐懼。 那就是您的網站遭到黑客攻擊的時候，這種不便不僅僅發生在其他人身上。

為避免將來出冷汗並保護您的網站，請使用安全插件。

官方目錄中最著名的一個叫做 Wordfence Security 。 由於很難忽視，我們為您測試了它，以了解它的秘密。

到本文結束時，您將了解如何設置和使用它。

您最好的 WordPress 項目需要最好的主機！

WPMarmite 推薦 Bluehost：出色的性能，出色的支持。 一個良好的開端所需的一切。

試用 Bluehost

什麼是 Wordfence 安全性？

Wordfence Security 是一個增強 WordPress 網站安全性的插件。 它提供多種功能來保護您的安裝，包括應用程序防火牆、惡意軟件掃描程序、雙因素身份驗證和防止暴力攻擊。

它擁有400 萬+活躍安裝量，是官方插件目錄中最受歡迎的安全插件，領先於 iThemes Security（100 萬+活躍安裝量）、All in One Security（100 萬+活躍安裝量）和 Sucuri 800K+活躍安裝量）。

Wordfence Security 插件，也稱為“Wordfence Free”，是免費的。 但是，Wordfence 還提供了幾種付費選項：

• Wordfence Premium ：比免費插件更完整的版本，包括支持。
• Wordfence Care ：安全工具團隊為您安裝、配置、優化並監控您的站點。 如果出現與安全相關的問題，專門的團隊會進行干預。
• Wordfence Response ，一項專用於停機會產生財務影響的 WordPress 網站的服務。 該服務主要用於流量大的大型網站和電子商務商店。
• Wordfence Intelligence ：主要用於想要收集一般安全數據的網絡主機。

請注意，WordFence 團隊還在官方目錄中提供了另外兩個免費插件。 Wordfence Assistant 是一個插件，如果 Wordfence 在您的站點上處於活動狀態但您無法再訪問您的儀表板，它將很有用。 Wordfence 登錄安全包含免費插件中已經包含的一些功能：雙因素身份驗證、XML-RPC 保護和登錄頁面上的驗證碼。 如果您已經在使用 Wordfence Security，則無需激活它。

Wordfence Security 的主要特點是什麼？

Wordfence Security 是一個全面的安全解決方案，可在多個級別上運行。 為了利用它，用戶可以從幾個關鍵選項中受益：

• Web 應用程序防火牆 (WAF) ，可識別並阻止來自您的 Web 服務器的惡意流量（而不是在雲中，例如其競爭對手 Sucuri 提供的那樣）
• 阻止包含惡意代碼或內容的請求的惡意軟件掃描程序
• 防止暴力攻擊 通過限制連接到您的管理登錄頁面的嘗試次數
• 雙因素身份驗證，為登錄您的 WordPress 站點添加額外的安全層
• 在您的登錄頁面上使用reCAPTCHA以防止機器人登錄並限制垃圾郵件
• 檢測到安全問題時發送電子郵件警報
• 一個名為 Wordfence Central 的平台，用於在一個地方管理多個站點的安全性。 它的工作原理與 ManageWP 相同，後者允許您維護您的 WordPress 網站。

為什麼要使用像 WordFence 這樣的安全插件？

您可能已經知道，WordPress 是地球上使用最廣泛的 CMS（內容管理系統），擁有63.7%的市場份額。

除此之外，它為全球近兩分之一的站點提供支持（在接收最多流量的數百萬個站點中）。

這種主導地位激起了人類黑客的胃口，尤其是自動運行的惡意機器人，例如：

• 垃圾郵件機器人
• 抓取（提取）您的內容的機器人
• 發起拒絕服務 (DoS) 或分佈式拒絕服務 (DDoS) 攻擊的機器人。

總的來說， 90% 的針對 CMS 的攻擊都會影響 WordPress。 每秒2,800 次攻擊專門針對全球範圍內的 WordPress 安裝！

放心：幸運的是，WordPress 不是篩子。 根據安全專家 Patchstack 在 2021 年發布的一份報告，只有 0.58% 的安全漏洞來自 WordPress Core 。

罪魁禍首是您的插件，僅插件就佔漏洞的 92.81%（相比之下，主題佔 6.61%）。

Patchstack 研究的一些發現很有說服力，並呼籲非常認真地對待安全問題：

• 平均而言， 42% 的 WordPress 網站至少安裝了一個易受攻擊的組件（插件或主題）
• 2020 年至 2021 年間，漏洞增加了 150%
• 29% 包含嚴重漏洞的 WordPress 插件尚未修補

所以，您明白我的意思了：必須保護您的 WordPress 網站以加強其安全性。

為此，像 Wordfence 這樣的插件可以完成這項工作。 我將在下面向您展示如何安裝它。

如何分三步安裝Wordfence

第 1 步：在您的 WordPress 儀表板上激活插件

第一步是從 WordPress 管理界面安裝插件。

轉到插件 > 添加新菜單，然後在搜索欄中鍵入“Wordfence”：

單擊“Wordfence Security – 防火牆和惡意軟件掃描”旁邊的“立即安裝”按鈕，然後激活插件。

第 2 步：獲取 Wordfence 許可證密鑰

激活插件後，將彈出一個窗口，要求您獲取 Wordfence 許可證。 這是利用免費插件的所有選項的必要先決條件。

單擊“獲取您的 Wordfence 許可證”按鈕：

您將被重定向到官方網站上的 Wordfence 定價頁面。 單擊“獲取免費許可證”按鈕以獲取插件免費版本的密鑰：

屏幕上會打開一個新窗口。 Wordfence 詢問您是否確定要使用其免費版本，並解釋了其高級版本的主要優勢：一旦插件團隊在其防火牆或惡意軟件掃描程序上部署了保護措施，它就會在付費版（與免費版 30 天后相比）。

因為我只想使用免費插件，所以我點擊了“我可以等待 30 天來保護免受新威脅”：

在下一個窗口中，輸入您的電子郵件地址，選中復選框，然後單擊“註冊”：

第 3 步：在 WordPress 上安裝許可證

現在轉到您的電子郵件收件箱。 您應該已經收到一封來自 Wordfence 的電子郵件。

在裡面，您會找到您的許可證密鑰，以便您可以手動激活它。 為了更快地移動，Wordfence 還提供自動為您激活它的功能。 為此，請單擊“自動安裝我的許可證”按鈕：

您將被重定向到您的 WordPress 儀表板，其中已經填寫了“電子郵件”和“許可證密鑰”字段。單擊“安裝許可證”完成：

幹得好：插件現在已啟動並運行。 在左側邊欄中，在您的管理界面上，您現在有一個名為“Wordfence”的新菜單，其中包含插件提供的所有設置：

讓我們現在看看它們，看看插件的幕後是什麼。

如何設置 Wordfence 安全插件

Wordfence 安全儀表板如何工作？

該插件的核心是它的儀表板。

它提供了訪問插件提供的不同選項的快捷方式，您也可以在左側邊欄的菜單中找到這些選項。

只需單擊一下，您就可以利用：

• 應用防火牆
• 惡意軟件掃描器
• Wordfence 中央。 要利用這項允許您從同一儀表板更新站點安全性的服務，您必須創建一個免費帳戶。 如果您需要同時管理多個站點的安全性，這會很方便。 對於個人使用，請跳過它。
• 設置電子郵件警報、防火牆和掃描儀設置的常規選項
• 訪問插件的文檔
• 通知日誌
• 對您的 WordPress 網站的阻止攻擊的摘要
• 顯示整個 Wordfence 網絡上阻止的攻擊總數的圖表

儀表板清晰易懂； 通過不同的選項很容易找到自己的方式。

應用防火牆的使用方法

防止多重攻擊

Wordfence 的主要功能之一是其應用程序防火牆。

它可以識別惡意流量並在黑客和其他惡意機器人訪問您的網站之前阻止他們。

可以通過Wordfence > Firewall訪問防火牆。 它可以保護您的站點免受以下攻擊：

• SQL注入，即對你的數據庫的攻擊
• 跨站點腳本(XSS)：惡意代碼被注入到您的頁面內容中
• 惡意文件下載
• 目錄遍歷攻擊
• 本地文件包含漏洞(LFI)，其中遠程文件被添加到您的 Web 服務器

默認情況下，防火牆處於學習模式一周，從您安裝插件的那一刻開始。

“這允許 Wordfence 了解您的網站，以便了解如何保護它以及如何讓普通訪問者通過防火牆，” Wordfence 說。 “我們建議您在激活防火牆之前讓 Wordfence 保持學習模式一周。”

如果您想忽略這些建議，請在下面的下拉菜單中單擊“啟用和保護”：

如前所述，只要 Wordfence 團隊檢測到新威脅（在全球範圍內，不一定是針對您網站的攻擊），只有高級版本的插件會獲得實時防火牆更新。 免費版本的防火牆會在檢測到威脅 30 天后更新。

加入 WPMarmite 訂閱者

獲取最新的 WPMarmite 帖子（以及獨家資源）。

現在訂閱

Wordfence 安全防火牆的工作原理

默認情況下，該插件已配置基本設置以加強您網站的安全性。 但是您仍然可以通過利用其他選項來自定義稍微更多的技術設置：

其中包括：

• 將某些 IP 地址列入白名單
• 輸入要被防火牆忽略的 IP 地址
• 配置免受暴力攻擊的保護。 例如，您可以指定需要多少次失敗的登錄嘗試才能阻止訪問您的登錄頁面（以及多長時間）。
  這為您節省了使用額外的插件，如限制重新加載的登錄嘗試。
  

當防火牆處於工作狀態時，圓圈會顯示您的保護級別（百分比）。 當圓圈為灰色時，防火牆處於學習模式。

目標是達到 100%（綠色）的分數。 您可以按照提供的建議將鼠標懸停在每個圓圈上來實現此目的：

但是，使用免費版插件並不總是能達到 100% 的分數。

為此，您必須使用高級選項，例如實時阻止 IP 地址。

應用程序防火牆阻止選項卡

除了防止各種攻擊的防火牆規則外，Wordfence 還具有用於額外阻止的自定義功能。 這些可以通過“阻止”選項卡訪問：

您可以基於以下內容創建阻止規則：

• IP地址
• 地理區域
• 一組標準（自定義模式），例如 IP 地址網絡或 Web 瀏覽器

有關這方面的更多信息，請觀看此視頻：

如何使用惡意軟件掃描程序

讓我們繼續使用插件提供的掃描儀，可通過Wordfence > Scan訪問。

掃描工具會掃描您的站點（核心文件、主題和插件）以查找以下內容：惡意軟件、錯誤 URL、後門、遠程訪問您的站點、SEO 垃圾郵件、惡意重定向和其他代碼注入。

在掃描過程中，該插件“將您的核心文件、主題和插件與 WordPress.org 目錄中的內容進行比較，” Wordfence Security 詳細說明。 “它會檢查它們的完整性並通知您任何更改。”

最初，掃描的重點是檢查垃圾郵件和列入黑名單的 IP 地址（僅限高級版）。 然後它會繼續掃描您網站的文件並提供結果。

就我而言，該插件警告我我使用的管理員登錄名（“admin”）過於不安全。 然後我可以通過單擊“編輯”來解決這個問題，或者乾脆忽略它：

至於防火牆，圓圈向我展示了要優化以達到 100% 分數的元素。

通過單擊“掃描選項和計劃”，還可以編輯更具體的設置。

要優化性能，您可以，例如：

• 選擇在有限的基礎上運行掃描器以節省帶寬（請記住 Wordfence 在您的 Web 服務器上運行，因此它使用資源）
• 手動限制要掃描的項目數

如何啟用雙因素身份驗證

在防火牆和站點掃描器之後，WordFence Security 建議其用戶啟用雙因素身份驗證 (Wordfence 2FA)。

雙因素身份驗證為登錄您的 WordPress 站點添加了額外的安全措施。

輸入用戶名和密碼後，系統會要求您使用設備（通常是智能手機或平板電腦）來驗證登錄過程。

當您進行在線支付時，這是銀行機構已經使用的一種方法。 它在保護您免受暴力攻擊方面非常有效。

要使用它，請轉到Wordfence > 登錄安全菜單。 總之，您需要：

• 在您的智能手機上安裝一個應用程序來驗證您自己，例如 Google Authenticator、Sophos Mobile Security 或 FreeOTP Authenticator。
• 在所選的身份驗證應用程序 (1) 中掃描 Wordfence 提供的二維碼。
• 輸入二維碼掃描後顯示的 6 位代碼以授權您的 WordPress 站點和應用程序之間的連接 (2)。

如果您想直觀地查看此激活過程，請查看此資源：

可以通過“設置”選項卡為從管理員到訂閱者的所有用戶角色設置雙因素身份驗證：

仍然在“登錄安全”菜單的“設置”選項卡中，您還可以啟用 Google reCAPTCHA 版本 3，以防止管理員登錄頁面上出現垃圾郵件。 要運行此服務，需要來自 Google 的免費許可密鑰。

Wordfence Security 提供的其他工具

WordFence Security 所有者的遊覽進展順利。 最後，讓我們深入了解 WordPress 安全插件提供的最後兩個菜單。

工具菜單

工具菜單包含四個選項卡：

• “Live Traffic”實時顯示您網站上發生的事情，包括用戶登錄、黑客攻擊嘗試以及被 Wordfence 防火牆阻止的請求。 顏色代碼（綠色、灰色、黃色和紅色）告訴您誰在嘗試訪問您的站點（人類或機器人）和狀態（警告或阻止）：

• “Whois 查詢” ，了解誰擁有訪問您網站或在您網頁上從事惡意活動的 IP 地址或域名
• “導入/導出選項”將您的 Wordfence 選項導出或導入到另一個 WordPress 站點
• “診斷”提供的信息可用於解決與其他插件、主題或服務器環境的衝突、配置或兼容性問題。

所有選項菜單

“所有選項”菜單包含分散在同一頁面上其他菜單（例如防火牆、掃描儀或連接選項）中的所有選項。

優點是您可以在同一個地方找到所有東西。 我不會詳細介紹所有選項，因為您已經看到了主要選項。

但是，有趣的是，您可以在此處設置您的電子郵件警報首選項。 例如，您有十幾個複選框可以提醒您（或不提醒）：

• 當 IP 地址被阻止時
• 當某人被禁止訪問您的登錄頁面時
• 當在您的 WordPress 網站上檢測到大量攻擊時

這就是完整的 Wordfence 安全功能之旅。 現在讓我們仔細看看這個工具的定價。

Wordfence 的費用是多少？

Wordfence Security 最初在官方 WordPress 目錄中免費提供。 當然，與任何免費版本一樣，它不包括插件付費版本中提供的所有選項。

Wordfence Premium 的價格為每年 119 美元。 除了優先支持之外，與免費提供的主要區別在於 Wordfence 提供的工具的更新頻率。

使用 Premium，只要 Wordfence 的服務器實時檢測到威脅，它們就會立即更新您的防火牆規則、惡意軟件檢測和 IP 阻止列表。

使用免費插件，您必須在上線後等待 30 天才能從更新中受益。

除此之外，Wordfence 還提供兩個許可證，專門的團隊將為您安裝、配置和管理 Wordfence：

• Wordfence 護理：490 美元/年
• Wordfence 響應： 950 美元/年。 此許可證使您可以訪問與 Wordfence Care 相同的選項，但您還可以保證最多一小時的響應時間，並且每週 7 天都可以響應。

最後兩個優惠主要針對大型網站和沒有時間照顧網站安全的人（以及有預算委派此任務的人）。

對於您的個人網站或博客，免費或付費的 Wordfence 插件就足夠了。

我們對 Wordfence 插件的最終意見

最後，讓我們回顧一下自本文開頭以來我們所看到的內容，並總結一下此安全插件的優缺點。

Wordfence Security 插件的優點

• 愉快和清晰的界面，這使得它易於學習
• 它會自動為您應用基本的安全設置
• 免費版提供的許多功能，包括應用程序防火牆
• 雙因素身份驗證
• 安全掃描儀
• 電子郵件提醒，讓您知道何時出現問題

插件的缺點

• 有些設置對於初學者來說太複雜了，但其他安全插件也是如此
• 事實上，檢測到的威脅的最新更新僅在發布 30 天后應用
• 使用 Wordfence 會導致頁面速度變慢，因為它會消耗大量服務器資源。 如果您的虛擬主機沒有跟上，您網站的性能可能會受到影響。

你應該使用它嗎？

總的來說， Wordfence 是一個非常優秀的安全插件。 由於它的大部分選項都是自動運行的，因此適合初學者。

更高級的用戶會喜歡能夠編輯更多技術和高級設置。

感謝免費插件，您將擁有一個寶貴的盾牌來阻止大多數惡意攻擊，尤其是通過其應用程序防火牆。 後者已經可以有效地為您的站點提供第一級安全保護。

這是值得注意的，因為其他競爭插件（例如 Sucuri）在其免費版本中不提供防火牆。 但是，它是任何站點都必須具備的基本保護。

如果您還想保護自己免受 Wordfence 團隊檢測到的最新威脅（總是更好），請在預算允許的情況下切換到高級套餐。

最後，不要忘記使用安全插件並不是萬能的。 首先，因為沒有網站是絕對可靠的。 其次，因為您需要每天應用良好的實踐。 例如，請記住定期更新和備份您的網站。

那麼，您如何看待 Wordfence？ 在評論中給我你的意見。