WordPress 安全插件 – All In One WP S

WordPress 需要提高安全等级，来避免日常的黑客攻击，今天来介绍下 WordPress 安全插件 All In One WP Security 的使用。

All In One WP Security 有很多安全配置，但是并不需要把每项都用到网站上，因为不是所有的安全配置都是必须的，有些选项也有可能会导致其他问题，比如性能问题，和其他安全规则冲突等问题。所有防御应该讲究一个平衡，把重要的安全选项做到平衡就可以了。所以文章只会讲几点比较重要的配置，不会把所有的配置都详细介绍。

安装完成后，仪表盘会展示一些基本信息，安全强度表、安全点分析、关键功能状态等。

1.png

设置

• 隐藏 WordPress 版本信息，WordPress 是一个开源项目，在升级版本的过程中，难免会带入 bug，如果能够隐藏版本，那么让攻击者就无法确定网站使用的版本号，从而能够在一定程度上降低风险。

2.png

用户账号

• 建站完成，WordPress 会生成一个默认的账户：admin，很多攻击者会利用默认账户，发起攻击。所以修改默认账户是很有必要的。

• 修改密码，简单的密码往往会使攻击者有机可乘，一个复杂的密码相当有必要，那么什么是一个好的密码呢？好的密码必须符合以下规则：

• 密码长度至少 8 位

• 密码包含数字、字母、字母区分大小写、特殊字符

• 密码最好采用软件生成，或者随机输入，不要采用特定意义的字母

例如：tHb76$()7d6y76

3.png

用户登录

• 登录锁定，攻击者最常使用的是采用暴力破解，那么在短时间内监控和阻止重复登录失败所涉及的 IP 地址是阻止这些类型攻击的一种非常有效的方法。

4.png

数据库安全

• 数据库最重要的是经常做备份，可以参考宝塔面板备份站点和数据库。如果你的网站只能本地访问，那么可以不用修改 wp_ 前缀，如果你对这块不是非常了解，那么也不建议你修改。

5.png

文件系统安全

• 文件系统安全是指网站是以一个特定的用户的权限运行的，比如有的网站会以 www 用户的权限运行。勾选 All In One WP Security 推荐的权限就可以了。

6.png

防火墙

• 防火墙的规则有很多，这里我只勾选了「启用基本防火墙保护」选项，其他规则可以根据自己需要自己配置，如果对规则不是非常了解，切记不要胡乱勾选。

7.png

暴力破解

• 重命名登录页面，WordPress 默认后台地址为：/wp-admin/，这容易导致攻击者对后台地址发起恶意攻击。登录地址建议采用复杂的地址，采用数字、字母组合的长字符，这样让攻击者难以找到攻击入口。

8.png

扫描器

• 黑客有可能会将恶意代码放到服务器上，通常是 js、php 文件，扫描器功能可以对文件进行扫描，也可以配置自动扫描。

9.png