Wordfence是WordPress热门的安全类插件,如果你想提升你网站的安全级别,那么你可以安装一个Wordfence防火墙插件。
WordPress安全插件Wordfence介绍
Wordfence是在WordPress上出名的安全插件,带有一个防火墙和一个恶意软件扫描程序。如果你想详细了解Wordfence的工作方式,请点击这篇文章查看。
简单说就是Wordfence可以阻止你安装恶意插件或者包含恶意代码的文件,可以扫描你网站上所有文件然后发现恶意代码。
还可以阻止暴力破解密码、检查文件更改、漏洞检查等。
Wordfence有两个功能我觉得比较好用。
一、文件扫描
Wordfence的扫描程序可以对服务器上的所有文件进行扫描,如果你是高级版还会链接云端数据库进行文件对比扫描,效果更好。例如下图,给我扫出来一个空白的php文件,
文件名:wp-admin / .php
文件类型:核心
详细信息:此文件位于WordPress核心位置,但不与此版本的WordPress一起分发。这通常是由于它从之前的WordPress更新中遗留下来,但也可能是由攻击者添加的其他插件或恶意文件添加的。
如果你网站被人入侵了,那么在文件改动上肯定会留下痕迹,早发现早处理,避免更大的损失。
二、防火墙功能
如果你的网站碰到有人攻击,或者有垃圾爬虫抓取你的资源,你没有办法人工盯着网站日志去封禁ip,但是使用Wordfence的防火墙功能,可以自动为你拦截达到一定条件的IP。
例如我建站笔记就经常被那些探测网站后门文件的垃圾爬虫骚扰,装上Wordfence后,防火墙自动为我拦截了很多。
还有更多的功能你可以装上后自行体验。
Wordfence插件下载地址
Wordfence分为免费版和高级版,两者的区别在于高级版多了一个API权限,可以连接到他们的服务器上获取新版规则更新,其中包括实时IP黑名单,防火墙规则和恶意软件签名。还包括高级支持,国家阻止,更频繁的扫描以及垃圾邮件和垃圾邮件检查。
下载地址
Wordfence专业版获取方法
其实个人博客,使用免费版功能也够用了,不过正好前段时间在唯心寒辞那看到了Wordfence专业版的key方法,所以就顺带分享出来吧。
首先安装好Wordfence插件,WordPress插件安装教程。
然后运行插件会有下图这样的提示,输入你的邮箱。
按钮那选择NO(不接收他们的广告邮件),勾选使用协议,然后CONTINUE继续。
到下面输入key的界面,直接No Thanks。
然后,通过FTP(宝塔面板的话直接使用文件编辑功能),打开wp-content/plugins/wordfence/lib/wordfenceClass.php这个文件。
搜索下面这串代码
if (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) {然后在这行代码下面的$siteurl = wfUtils::wpSiteURL();代码下放,添加上下面这4行代码
wfConfig::set(isPaid, 1); wfConfig::set(keyType, wfAPI::KEY_TYPE_PAID_CURRENT); !!wfConfig::set(isPaid, 1); !!wfConfig::set(keyType, wfAPI::KEY_TYPE_PAID_CURRENT);
最后效果如下图:
然后保存文件覆盖就可以了。
一万多天,不知道下次更新方法会不会失效,我这里测试的版本为Wordfence 7.4.1版本
Wordfence使用提醒
如果您经济条件允许,请支持正版插件。
安装Wordfence后会增加一定的服务器负担,如果你觉得网站变卡了,可以考虑需要扫描文件安全的时候再启用Wordfence,平时关闭插件。
任何WordPress安全插件都只是辅助,关键的是自己要做好服务器的安全防护,有钱买正版主题插件用,没钱也不要找盗版主题插件用,不上传来路不明的文件跟代码,设置一个复杂的密码,一般情况下没有那么容易被人入侵。
然后就是Wordfence还有一个优化选项,是写入php.ini文件的(Nginx下),看你自己需要是否写入,我没打算长期用这个插件,所以没写入,写入后防护能力应该会更强一点。(如果写入不了,就参考此文:修改.user.ini文件权限添加Wordfence高防火墙等级)