WordPress网站安全防护插件配置：All In One WP Security（wordpress维护插件）

1 WP安全登录插件推荐

• 1.1 用户帐户安全
• 1.2 用户登录安全
• 1.3 用户注册安全
• 1.4 数据库安全
• 1.5 文件系统安全
• 1.6 HTACCESS和WP-CONFIG.PHP文件备份和恢复
• 1.7 黑名单功能
• 1.8 防火墙功能
• 1.9 蛮力登录攻击预防
• 1.10 WHOIS查询
• 1.11 安全扫描器
• 1.12 评论垃圾邮件安全
• 1.13 前端文本复制保护
• 1.14 定期更新和增加新的安全功能
• 1.15 适用于最流行的WORDPRESS插件
• 1.16 附加功能
• 2 常见问题
• 3 提示服务暂时无法使用

 

有些新媒体人想要做好WordPress网站安全防护，抱怨这2款WP安全插件：

• 1）Wordfence
• 2）iThemes Security

就连最基本的导出导入设定功能，都要付费专业版功能，才能使用，呵呵！

WP安全登录插件推荐

我们在WP官方仔细搜索，很快就找到这款WP插件：

• 3）All In One WP Security & Firewall

和前2者的主要区别在于，免费用户也能使用功能全面的网站防护设置。

最重要的是，可以免费使用导入导出设定的功能 ▼

想要设定 All In One WP Security & Firewall 插件的导入导出功能，请点击WP安全的选项 “设置”  ▼

以下是该插件提供的WordPress安全防护和防火墙功能列表：

用户帐户安全

• 检测是否存在具有默认“admin”用户名的用户帐户，并轻松将用户名更改为你选择的值。
• 该插件还将检测你是否有任何WordPress用户帐户具有相同的登录名和显示名称。考虑到显示名称与登录名相同的地方是不好的安全做法，因为你已经知道登录名了。
• 密码强度工具，使你可以创建非常强大的密码。
• 停止用户页面。所以用户/机器人不能通过作者永久链接发现用户信息。

用户登录安全

• 使用登录锁定功能防止“强力登录攻击”。具有特定IP地址或范围的用户将根据配置设置被锁定在系统外一段预定的时间，并且你也可以选择通过电子邮件通知，由于登录尝试过多而被锁定的人员。
• 作为管理员，你可以查看所有被锁定的用户列表，这些列表显示在易于阅读和导航的表格中，也可以通过单击按钮来解锁单个或批量IP地址。
• 在可配置的时间段之后强制注销所有用户
• 监视/查看失败的登录尝试，显示用户的IP地址，用户名/用户名和失败的登录尝试的日期/时间
• 通过跟踪用户名，IP地址，登录日期/时间和注销日期/时间，监控/查看系统上所有用户帐户的帐户活动。
• 能够自动锁定尝试使用无效用户名登录的IP地址范围。
• 能够查看当前登录到你的网站的所有用户的列表。
• 允许你在特定的白名单中指定一个或多个IP地址。列入白名单的IP地址将可以访问你的WP登录页面。
• 将验证码添加到WordPress登录表单。
• 添加验证码到你的WP登录系统的忘记密码表单。

用户注册安全

• 启用WordPress用户帐户的手动审批。如果你的网站允许用户通过WordPress注册表创建自己的帐户，那么你可以通过手动批准每个注册来最大限度地减少垃圾邮件或伪造注册。
• 能够将验证码添加到WordPress的用户注册页面，以防止垃圾邮件用户注册。
• 能够将WordPress添加到WordPress的用户注册表单中，以减少机器人的注册尝试。

数据库安全

• 轻轻点击一个按钮，即可将默认的WP前缀设置为你所选择的值。
• 安排自动备份和电子邮件通知，或者只要点击一下即可进行即时数据库备份。

文件系统安全

• 识别具有不安全权限设置的文件或文件夹，并通过单击按钮将权限设置为推荐安全值。
• 通过从WordPress管理区域禁用文件编辑保护你的PHP代码。
• 从单一菜单页面轻松查看和监控所有主机系统日志，并随时了解服务器上发生的任何问题或问题，以便快速解决问题。
• 防止用户访问你的WordPress网站的readme.html，license.txt和wp-config-sample.php文件。

HTACCESS和WP-CONFIG.PHP文件备份和恢复

• 轻松备份你的原始.htaccess和wp-config.php文件，以防你需要使用它们来恢复损坏的功能。
• 只需点击几下，即可从管理控制面板修改当前活动的.htaccess或wp-config.php文件的内容

黑名单功能

• 禁止用户通过指定IP地址或使用通配符指定IP范围。
• 通过指定用户代理来禁止用户。

防火墙功能

如果你导入的是其它网站的设定，同时勾选了“Enable 404 IP Detection and Lockout（启用404 IP检测和锁定）”：

请务必在 “防火墙” 选项里，设置 “404 Lockout Redirect URL（404锁定重定向URL）”网址，不然会重定向到其它网站 ▼

这个插件允许你通过htaccess文件轻松地为你的网站添加大量的防火墙保护。在你网站上的任何其他代码运行之前，你的Web服务器会先运行htaccess文件。

因此，这些防火墙规则将阻止恶意脚本，以免有机会到达你网站上的WordPress代码。

• 访问控制设施。
• 立即激活一系列从基本，中级和高级的防火墙设置。
• 启用着名的“5G黑名单”防火墙规则。
• 禁止代理评论发布。
• 阻止访问调试日志文件。
• 禁用跟踪和跟踪。
• 拒绝恶意或恶意的查询字符串。
• 通过激活全面的高级字符串过滤器来防止跨站点脚本（XSS）。
  或者在浏览器中没有特殊cookie的恶意机器人。你（网站管理员）将知道如何设置这个特殊的cookie，并能够登录到你的网站。
• WordPress PingBack漏洞保护功能。此防火墙功能允许用户禁止访问xmlrpc.php文件，以防止pingback功能中的某些漏洞。这也有助于阻止漫游器不断访问xmlrpc.php文件并浪费你的服务器资源。
• 能够阻止虚假的Googlebots抓取你的网站。
• 能够防止图像盗链。使用这个来防止他人盗链你的图片。
• 能够记录你网站上的所有404个事件。你也可以选择自动阻止太多404的IP地址。
• 能够添加自定义规则来阻止访问你的网站的各种资源。

蛮力登录攻击预防

• 通过我们特殊的基于Cookie的暴力登录预防功能即时阻止暴力登录攻击。此防火墙功能将阻止所有来自人类和机器人的登录尝试。
• 能够添加一个简单的数学验证码到WordPress的登录表单来抵御暴力登录攻击。
• 能够隐藏管理登录页面。重命名你的WordPress登录页面的URL，以便机器人和黑客无法访问你真正的WordPress登录URL。该功能允许你将默认登录页面（wp-login.php）更改为你配置的内容。
• 能够使用登录蜜罐，这将有助于减少机器人的蛮力登录尝试。

WHOIS查询

• 执行可疑主机或IP地址的WHOI查询并获取完整详细信息。

安全扫描器

• 文件更改检测扫描程序可以提醒你，如果你的WordPress系统中有任何文件已经改变。然后，你可以调查，看看这是一个合法的变化，或者一些错误的代码被注入。
• 数据库扫描器功能可用于扫描数据库表。它会查找任何常见的可疑字符串，JavaScript和一些WordPress核心表中的html代码。

评论垃圾邮件安全

• 监控持续产生最多垃圾评论的最活跃的IP地址，并立即通过单击按钮来阻止它们。
• 如果评论不是来源于你的域名，则可以阻止提交评论（这会减少你网站上的某些垃圾评论发布）。
• 添加一个验证码到你的WordPress评论表格，以增加对评论垃圾邮件的安全性。
• 自动和永久阻止超过了一定数量的标记为垃圾评论的IP地址。

前端文本复制保护

• 能够为你的前端禁用右键单击，文本选择和复制选项。

定期更新和增加新的安全功能

• WordPress的安全是随着时间的推移而发展的。插件作者将定期更新All In One WP安全插件，并提供新的安全功能（如果需要，还会进行修复），以便你放心，让你的站点将处于安全防护技术的前沿。

适用于最流行的WORDPRESS插件

• 它应该与最流行的WordPress插件顺利工作。

附加功能

• 能够从你的网站的HTML源代码中删除WordPress生成器元信息。
• 能够从JS和CSS文件中删除WordPress版本信息包括你的网站。
• 能够阻止人们访问readme.html，license.txt和wp-config-sample.php文件
• 在执行各种后端任务（调查安全性攻击，执行站点升级，执行维护工作等）时，能够暂时锁定站点的前端和普通访问者。
• 能够导出/导入安全设置。
• 防止其他网站通过框架或iframe显示你的内容。

常见问题

问1：我启用了这个安全插件各种防火墙功能，但现在我被锁定在我的网站之外。我如何解决它？答1：恢复你的WordPress网站的htaccess文件。这将删除任何防火墙，并允许你从头开始。问2：我启用了维护模式，现在我被锁定在我的网站之外。我该怎么办？答2：首先，恢复.htaccess文件，然后登录你的网站。问3：我有一个WordPress多站点（WPMS）安装。我没有看到我的子网站上的这个插件的一些菜单。这是为什么？答3： WordPress多站点为你的所有子站点使用一个单一的文件系统。所以只需要在你的MAIN站点上启用一些安全功能。子站点不会显示这些功能的菜单。你可以从WPMS安装的主站点配置这些设置。问4：如何删除All In One WordPress Security and Firewall 插件答4：在WP后台，点击“插件”，在插件列表里找到 “All In One WP Security” ，点击 “删除” 即可。

提示服务暂时无法使用

错误︰ 出于安全考虑，你的IP地址的访问权限已被阻止。 请与管理员联系。

如果登录网站时，出现以上 “服务暂时无法使用” 的提示消息，说明你的IP地址访问受到了限制。

请尝试通过FTP重命名该插件，取消激活插件后，应该可以登录。

如果FTP重命名该插件，还是无法登录：

1. 请确保你的所有其他插件已停用。
2. 然后安装新的副本并启用插件，但不要重新插入规则。
3. 然后开始启用你的网站所需的功能。

为了避免网站被骇客入侵，现在就开始安装All In One WP Security & Firewall安全插件吧！

点此前往 All In One WordPress Security and Firewall 插件下载页面

希望我们网站（ https://www.wordpressx.com/ ） 分享的《WordPress网站安全防护插件配置：All In One WP Security & Firewall》，对您有帮助。