轉自我的個人博客https://blognas.hwb0307.com吞彤。歡迎關注!
前言
如果你的博客要長期運營胀蛮,并且有可能被其它人訪問的話水醋,你可能就需要做一些安全防護。畢竟互聯(lián)網的世界里什么人都有倒脓,不乏惡意攻擊者。
說到WordPress安全含思,我遠不是專家把还。我只是做一些普通用戶可以做的事。安全是降低風險茸俭,而不是消除風險。如果你的網站非常重要的話安皱,還是讓專業(yè)的團隊幫忙維護吧调鬓!
我主要是通過插件來實現(xiàn)WordPress站點的安全防護的,而且還不止一個插件酌伊。下面我會介紹這些插件腾窝,它們是:Wordfence缀踪、Login LockDown、WPS Hide Login虹脯。Akismet 反垃圾評論勉強也算是安全插件吧驴娃,只不過我們此前已經討論過它,就不再重復了循集。我的博客站點安裝這些插件已經有一段時間了唇敞,不過并未感覺到它們對WordPress站點的性能造成明顯不良影響(比如訪問卡頓)。所以放心食用咒彤!
另外疆柔,對于國內的VPS用戶來說,WP-China-Yes可能是一個很重要的插件镶柱,主要功能是增強對大陸用戶的wordpress支持旷档,比如加快插件下載的速度。如果你下載插件時特別慢歇拆,可以先安裝WP-China-Yes鞋屈。我測試時用的是騰訊云VPS,但是不裝WP-China-Yes插件也不覺得下載插件很慢故觅。所以厂庇,你可以按需安裝啟用WP-China-Yes!
Wordfence
經典的WordPress安全插件之一逻卖。
Wordfence的詳細設置還是有點復雜的宋列,你可以看一下這個視頻來進行一步一步地設置:B站:WordFence Security 教程:強大 WordPress 網站安全插件(完整設定) 。雖然Up主有點灣灣腔评也,但希望大家不要介意吧炼杖!
如果你完全不懂Wordfence怎么設置的話,可以按照默認的設置盗迟。我這里主要說一些我覺得比較重要的設置坤邪。
安裝
沒什么特別,直接在插件頁面搜索罚缕、安裝并啟用艇纺。用的人確實蠻多的:
初始化時會要求輸入一個郵箱,平時用來發(fā)送安全相關信息邮弹。填一個常用郵箱即可黔衡。
當然,一般插件都會問你要不要購買高級版腌乡。我們直接謝謝即可盟劫。以后覺得它好用了,再買高級版也不遲嘛与纽!
一般這種經典插件不太可能有兼容性問題侣签,所以我直接啟用自動更新:
一般我們是通過左側菜單欄進入設置wordfence的:
修改設備后都要按保存更改妥粟。這種常規(guī)操作應該知道的吧好港!
全局設置
這里我給出一些全局設置的建議垄琐「习溃可以從這里進入:
在需要通過電子郵件通知的選項中,改動:
- 只報告中度及以上的安全選項猴娩。
- 登陸提醒:一般用新的設置登陸時才會有風險的阴幌,所以這將提醒等級調低一些。
掃描
我們可以去做第一次安全掃描胀溺。一般要幾分鐘的時間:
一般新站點裂七,你沒做過什么事的話,都是蠻安全的仓坞。有問題你就按提示去修正即可背零。
在掃描選項和計劃中,一般默認的是標準掃描无埃。雖然它可調的參數很多徙瓶,但我覺得默認即可。
Login Security
這里有一個兩步驗證的設置嫉称。不過我自己就沒這么夸張侦镇,要搞這個了。我主要是通過bitwarden設置了一個100多位的強密碼來保證登陸安全织阅。所以我應該不太需要這個二次驗證壳繁。有需要的話你可以了解一下。
在Setting中荔棉,我主要使用的一個東西是:Enable reCAPTCHA on the login and user registration pages闹炉。
reCaptcha是谷歌運行的互聯(lián)網機器人檢測儀,就是那個惡心的我不是機器人的驗證润樱,哈哈渣触!不過,如果你使用 recaptcha v3 的網站上輸入一個表單時壹若,你只能在登陸后臺右下角看到一個小小的圖標:
不過關于它的使用嗅钻,也有人討論過它的弊端。你可以看看:《谷歌reCaptcha不再需要點驗證按鈕店展,但你的隱私暴露了》养篓。或者咨詢一些專業(yè)人士的意見赂蕴【踔粒總之要不要用看你自己喔!
你如果要用的話睡腿,按它的提示去申請一個即可语御。也不難。
Login LockDown
登錄鎖定記錄每次失敗登錄嘗試的 IP 地址和時間戳席怪。如果在短時間內從同一IP范圍內檢測到超過一定次數的嘗試应闯,則對該范圍內的所有請求禁用登錄功能。這有助于防止暴力破解密碼發(fā)現(xiàn)挂捻。
它對于某個人想要登陸你的后臺時碉纺,可以起防御作用。不過Login LockDown對于防護DDoS應該沒有什么作用刻撒。
Login LockDown對WordPress版本的兼容性測試不夠及時骨田,所以Login LockDown插件可以不啟用自動更新。
安裝
沒什么好說的:
安裝好后自己從設置——Login LockDown登陸声怔。
使用
我用的都是默認設置态贤,因為它已經很貼近我的使用習慣。你自己有需要就改吧醋火!看不懂英文用Google機翻悠汽。
WPS Hide Login
安裝
直接上圖:
從設置——WPS Hide Login里面進去。
使用
我們可以先產生一個毫無意義的字符芥驳,比如:
然后填入下面的空格柿冲,保存更改:
以后就用https://url/v5fl2evvh登陸。注意兆旬,都是小寫字母喔假抄!
當然,你要好好地保管這個地址丽猬,比如保存在chrome的收藏夾里宿饱。如果你不小心忘了,評論區(qū)留言吧宝鼓!通過MYSQL的操作應該也是可以找回這個地址的刑棵。
Cloudflare
如果你使用Cloudflare,并且是通過Proxy代理了你的網站愚铡,其實你也有一些來自cloudflare的提示和防護蛉签。只不過我也不知道這個效果如何。有經驗的小伙伴歡迎分享一下沥寥!
數據分析
DDoS
不了解DDoS的話碍舍,可以看一下:百度百科-分布式拒絕服務攻擊。還記得2019年新冠疫情那會邑雅,大家短時間內訪問服務號去預約疫苗片橡,這會造成非惡意的DDoS效果,從而導致服務器癱瘓』匆埃現(xiàn)在防疫常態(tài)化了捧书,比如廣東這邊吹泡,一般都有個粵核酸1-8之類的,就是為了緩解這種集中訪問的壓力经瓷。
如果你的網站遭遇了DDoS攻擊爆哑,基本上是沒有什么好的辦法解決的。我注意到Cloudflare有DDoS防御的相關設置:
但自己沒用過舆吮,不知道效果怎么樣揭朝。你也可以了解一下。
小結
我覺得個人用戶可以用好Wordfence色冀、Login LockDown潭袱、WPS Hide Login等插件,再加上一些域名托管商的安全服務锋恬,WordPress博客站點應該是蠻安全的了屯换。這篇文章你也可以看一下:《WordPress安全指南:19個步驟讓您的WordPress安全防線堅如磐石》,我覺得講得不錯伶氢。
WordPress站點安全暫時就這些趟径。以后有什么其它發(fā)現(xiàn)再補充吧!
參考
本文使用 文章同步助手 同步
