网站安全的重要性不言而喻,特别是WP这种主流的网站系统,时不时的会有自动扫描器来扫一扫,之前也尝试在WP后台安装体验过几款防护插件,比如大名鼎鼎的WordFence,iThemes Security等等,但用了一段时间后都删除了。因为一般现在的云主机,比如腾讯云或者阿里云,自由度非常高,可以自己安装面板和安防软件,像宝塔面板后台就自带nginx/apache的防火墙,设置非常简单,保护也很到位。还可以干脆在云服务器安装Linux版的安全狗、云锁等安防软件,这些软件的防注入、防篡改的功能和 WordFence 这类插件的功能重叠非常多,没有必要重复安装。而且,这几款插件,感觉和CDN配置上有一些相冲突的地方,占用的资源也不低,总会多多少少使网站出现一些异常问题,所以都试用了几天后就卸载了。

直到用了这款 All In One WP Security 插件,感觉终于找到合适我的东西了!

WP后台插件里,直接搜索名字安装,完毕后启用。整个插件95%以上的汉化度让人使用起来很顺手,相比一些英文的插件更适合国人吧。这个软件严格来说不是一个纯粹的安防插件,应该是一个WP安全小工具集合+简易防火墙的插件。我勾选了几个自己觉得很不错的设置点,给大家参考下:设置、文件系统安全、防火墙、暴力破解、其他。

1、设置:移除WP版本信息,目的是让扫描器不能发现网站系统是WP构建的,防止被攻击。

2、文件系统安全:设置敏感文件的读写权限,禁止后台直接编辑PHP文件,禁止访问WP默认文件。

3、防火墙:关于xmlrpc的问题,如果你的网站不用wordpress手机客户端(这APP挺好用的,还是比较推荐的,之前文章有写过)维护的话,可以直接勾选完全禁止访问xmlrpc,使用这个APP则和我一样勾选下一个功能即可。

4、暴力破解:更改后台地址,这个功能很实用,而且设置非常简单,更改后足以阻挡90%以上的普通攻击了。强烈建议一定要设置!!!

5、最后的其他选项,也是一些比较实用的功能,可按需设置。

以上是我根据自己情况设置的情况,你可以作为参考,包括用户注册、登陆的一些限制,前提是要和主题兼容,比如注册、登陆时使用验证码等等,有些主题未必能出现,自己尝试下就知道了,别小看这些零零碎碎的小功能,对WP的安全性整体提升还是有比较大的帮助的,希望你能喜欢~