All in One WP安全和防火墙插件教程

WBOLT_COM 7 月 11, 2022 1.8k+ 0

安全性是运行WordPress网站的重要因素之一。幸运的是，有许多免费和付费服务可用于保护您的网站并防止黑客和恶意攻击。

在本文中，我们将讨论如何使用All in One WP Security & Firewall插件保护您的WordPress网站。

为什么All in One WP Security & Firewall插件？

有许多流行的安全插件可用，但“All in One WP Security & Firewall”是唯一一个完全免费提供大部分所需功能的插件。

该插件有超过400k的活动安装。
定期更新并与最新的WordPress版本兼容。
来自450多名用户的近5星评级。
论坛上体面的在线支持。

安装和激活插件

导航到WordPress管理仪表盘上的“插件 > 安装插件”部分，然后搜索“All in one WP Security”以找到插件。

查找All in One WP Security & Firewall插件

安装并激活插件后，它将创建一个名为“WP Security”的菜单项。它在不同类别下提供详尽的选项来保护您的WordPress网站。

仪表盘
设置
用户帐户
用户登录
用户注册
数据库安全
文件系统安全
WHOIS查询
黑名单管理器
防火墙
蛮力
垃圾邮件预防
扫描器
维护
各种各样

这个怎么运作？

该插件适用于积分系统，并为每个安全设置提供积分。它总共增加了470分，并且更多的分增加了您的WordPress网站的安全性。通过启用复选框，只需单击鼠标即可启用大多数选项。您可以单击“更多信息”框以查看该选项的更多详细信息和示例。

启用任何选项之前的注意事项

尽管安全性很重要，并且该插件会试图增加强度计上的分数，但每个设置都可能对您网站的可读性产生不利影响。如果错误启用该选项，也有可能与其他插件发生冲突并锁定您自己的IP。强烈建议在启用任何安全设置之前准备以下内容：

备份整个站点和数据库。
由于插件在.htaccess文件中创建条目，备份.htaccess文件将有助于恢复原始设置。
备份wp-config.php文件。
确保您可以通过FTP访问您的托管服务器。这将有助于在紧急情况下替换文件。

总之，备份您的所有站点内容并仅启用您需要的安全选项。也建议在启用防火墙、用户注册审批等功能后验证网站的可访问性。

仪表盘

仪表盘显示指示站点安全点的强度计。这些点也显示在明细表中，指示选项之间的权重和分布。

All in One WP Security & Firewall插件仪表盘

您可以直接从仪表盘启用一些选项，例如维护模式、禁用“管理员”用户名、启用基本防火墙等。我们建议不要直接在仪表盘上启用任何设置。转到个人设置页面并仅在需要时启用。

以下是仪表盘选项卡上可用的其他详细信息：

系统信息——显示您的WordPress安装、PHP版本和活动插件详细信息的完整详细信息。
锁定的IP地址– 如果在“User Login”选项卡下启用该选项，则显示锁定的 IP 地址列表。
永久阻止列表– 显示因垃圾评论而永久拦截的IP地址列表。该选项可以在“SPAM Prevention > Comment SPAM IP Monitoring”下启用。
AIOWPS日志– 您可以在此处查看插件的安全日志文件。

设置选项卡

“设置”选项卡提供备份和高级选项，例如导入/导出插件的所有设置。

AIOWPS设置选项卡

常规设置 – 在这里您可以一键禁用插件的所有安全功能和防火墙设置。当您的网站因插件设置而损坏时，这将是必需的。您还可以启用/禁用插件的调试选项。
.htaccess文件– 如上面的预防措施部分所述，强烈建议在启用任何安全和防火墙设置之前备份.htaccess文件。您还可以从备份中恢复.htacess文件。
wp-config.php文件– 类似于.htaccess文件，在此选项卡下您可以备份和恢复 wp-config.php 文件。
WP版本信息– WordPress自动生成版本号并使用元标记在每个页面上显示。当您使用最新的WordPress版本时，显示版本号不是问题。但是，如果您没有更新到最新版本并使用任何旧版本，那么黑客可以通过查找版本号轻松定位您的网站。您可以在此选项卡下隐藏版本。
导入/导出– 导入或导出整个插件设置。

用户帐户

您在用户帐户部分有三个选项。

WP用户名 – 在这里您可以将名称为“admin”的用户更改为所需的名称。
显示名称– 检查具有相同登录名和显示名称的用户列表。一般不建议使用相同的显示名和登录名，以免黑客猜测登录名。这不是一个重要的设置，因为只需检查文章作者就很容易找到登录名。
密码– 检查您的密码强度，仪表将显示黑客猜出您的密码需要多长时间。

用户登录

用户登录部分允许使用以下设置控制用户登录到您的站点：

AIOWPS插件用户登录设置

登录锁定– 在一定次数的不成功尝试后启用锁定用户。此功能有助于停止所有机器人并在某些用户 ID 被锁定时发送电子邮件通知。
登录失败记录– 查看失败的登录尝试以及IP地址和用户名。
强制注销– 启用此选项可在一定时间后强制注销所有用户。
帐户活动日志– 查看登录到您网站的最后50个用户ID的列表。
登录用户– 查看当前登录您网站的用户。

用户注册

在此部分下，您可以手动批准尝试在您的网站上注册的用户，并在默认的WordPress注册表单上添加验证码。当您有电子商务插件用于在您的网站上销售商品并进行用户注册时，启用此功能将阻止实际客户，因为他们将无法自动注册。因此，当您出于任何其他目的需要具有自动注册功能时，请勿启用此功能。

数据库安全

默认情况下，WordPress为所有数据库表添加前缀“wp_”。在此部分下，您可以将默认值更改为随机前缀，这将提高您网站的安全性。您还可以定期安排数据库备份和电子邮件备份。

据我们检查，电子邮件功能似乎不适用于此插件。因此，不要回复此插件进行备份，还有许多其他可用于WordPress的专用备份解决方案。

文件系统安全

您在文件系统安全部分有以下四个选项。

文件权限– 检查您的WordPress安装的所有文件和文件夹是否具有读/写访问权限并设置正确的权限。
PHP文件编辑– 从仪表盘禁用文件编辑。此选项将删除“编辑器”菜单以直接从仪表盘编辑主题和插件文件。
WP文件访问——黑客可以使用readme.html、licence.txt和wp-config-sample.php文件获取有关WordPress安装的更多信息。启用此选项将禁用对这些文件的直接访问。
主机系统日志– 查看您的托管服务器的错误日志文件。

WHOIS查询

虽然WHOIS查询不是一项安全功能，但它可以在管理仪表盘中查看IP地址或域名的详细信息。

黑名单管理器

拦截IP地址和用户代理访问您的站点。可以使用通配符输入IP地址，例如 195.*.*.* 或 195.47.*.*。用户代理部分只有在它有单词的情况下才会起作用，如果用户代理名称有带有 \ 的单词，那么插件似乎不起作用。

防火墙

这是您需要仔细启用的部分，并检查它是否会影响您网站的可访问性。查看我们关于使用带有AIOWPS插件的防火墙选项的单独详细文章。

暴力破解

暴力破解是一种尝试通过试错法访问受密码保护的页面的方法。AIOWPS插件有多个选项可以阻止对您的WordPress网站的暴力攻击。我们有一篇详细的文章解释了如何使用AIOWPS和Jetpack插件来阻止暴力攻击。

垃圾评论拦截

AIOWPS插件有助于阻止机器人提交的垃圾评论，并允许在评论表单上添加验证码。了解有关使用AIOWPS插件拦截评论垃圾邮件的更多信息。

扫描器

在此部分下您有两个选项——一个是免费使用的，另一个是付费的附加组件。