wordpress 常用插件
防黑客攻击:让你的WordPress网站更安全的5款插件
有一个普遍的误解认为小型网站不会受到网络犯罪的威胁。事实上,现在网络犯罪比以往任何时候都要多。根据调查显示,2018年企业主因网络犯罪损失了3900万美元,这比2017年增长了161%。
如果你经营一家小型电子商务商店,你的WordPress网站很可能会成为黑客的攻击对象,其带来的结果可能是毁灭性的。2017年,60%的网络犯罪受害者在事件发生后不到6个月就被迫关闭了自己的公司。诈骗者的一次攻击就有可能会危害你的网站、你的品牌声誉和你的客户数据。黑客还可能得到你的订阅列表,并向你的客户发送垃圾邮件,这会使你失去客户的信任。
市场上有50000个WordPress插件和几十种不同的安全工具,该如何选择呢?下文列出了2019年5个适用于WordPress网站的安全插件。
1、Sucuri
Sucuri是一款易于使用的WordPress安全解决方案,这款集所有功能于一身的工具为你提供了保护网站安全所需的一切。
首先,你可以访问其高级网站监控功能。Sucuri可以跟踪和删除网站上的恶意软件,或保护网站免受未来的实时黑客攻击,如果发现病毒或恶意软件,你将会收到通知。
你还可以使用此插件备份网站副本以备不时之需,并在发生网络攻击时获得帮助。Sucuri提供了各种各样的计划,旨在帮助中小型和大型企业业务的健康发展。
2、WordFence Security
目前,WordFence插件在WordPress上有300万个活跃的安装数。大多数其他安全解决方案都是通过云端,这意味着你可能会面临新的漏洞。但WordFence的工作原理是所谓的“端点防火墙”,这意味着它可以从服务器运行而不是云端。
你可以完全访问网站上的实时流量,包括访问者的来源和IP地址。如果发现与你有关的网络,或者在实时扫描程序中识别出该网络,你可以手动阻止这个IP地址,以阻止垃圾邮件机器人和恶意软件连接到你的网站。
WordFence同时提供免费版和高级版,你可以从WordPress网站上下载并使用这个插件。
3、VaultPress
VaultPress具有备份服务,可以每天自动存储网站的帖子、评论、媒体和设计,此功能能为你备份提供无限的存储空间。
此插件的其他主要功能还包括文件扫描软件。VaultPress可以无缝地检测病毒、恶意软件和其他安全漏洞,并在受到攻击时保护网站。
VaultPress最近加入了JetPack插件,可以帮助加快并保护网站。总体而言,对于希望保护其电子商务网站或博客免受危害的卖家而言,此高级安全工具是一个很好的选择。
4、iThemes Security
iThemes旨在帮助WordPress网站的安全。首先,你可以通过扫描监视垃圾邮件机器人,尝试在你的网站上找到漏洞。
你还可以访问一套工具,通过该工具你可以在WordPress登录页面上自由创作。iThemes还有一个可以改变登录URL的功能,如果骗子试图进入你的登录页面时,他们会受到阻拦。
iThemes插件还可以锁定那些试图不良利用你的网站的用户,或者将他们列入机器人黑名单,该插件的所有工具都能让你始终密切关注网站。
5、 All in One WP Security & Firewall
All in One WP Security & Firewal是这个五个插件中100%免费的那个。如果你正在寻找一个有用的安全插件并且预算紧张,那此插件是一个很好的选择。All in One WP Security & Firewal在WordPress网站上易于安装,甚至更容易使用。
安装此插件后,你可根据自己的喜好自定义安全性和防火墙。如果用户多次密码尝试失败后,你可以通过锁定用户来防范暴力攻击。甚至还可以添加通知,这样就可以准确了解黑客攻击的时间。
此插件还允许你将Google reCaptcha添加到网站,所以没有机器人可以通过并访问你的评论或数据。如果你不确定某个IP地址,还可以将其锁定,以防止该用户在一段时间内访问你的网站,而且不会减慢网站的加载速度。
结论
如果你正在寻找付费插件,Sucuri是目前为止功能较丰富的安全插件,且性价比高。如果你正在寻找一个免费的插件,All in One WP Security & Firewal是一个很好的选择,它为你提供了WordPress网站上安全措施所需的所有工具。
(编译/雨果网 吕晓琳)
【特别声明】未经许可同意,任何个人或组织不得复制、转载、或以其他方式使用本网站内容。转载请联系:editor@cifnews.com
9款WordPress暴力登录保护插件保护网站安全
WordPress是世界上使用人数最多的博客平台,它可以搭建博客、CMS、商城等各种形式的网站,你可能会觉得自己的网站流量小,安全无关紧要。但是你不知道的是,有很多黑客会用软件自动扫描互联网上的网站。
有30%的网站都是由WordPress搭建,所以很多黑客都瞄准了使用WordPress安装的网站。一些僵尸程序和黑客会利用网上泄露的数据库来不断尝试登录你的网站,他们会一遍又一遍的更换不同的用户信息登录你网站,当登录成功后,僵尸程序和恶意人员可以窃取您的数据,安装恶意软件,甚至删除您网站上的所有内容。
一旦你使用了弱口令被黑客扫描出来,你的网站就会被黑客利用了。确保您的站点远离暴力攻击者并保持其安全非常重要。虽然您可以尝试其他解决方案,例如设置强密码或保护admin目录的密码,但安装暴力保护插件是一种更为简单的方法。您需要做的就是选择最合适的插件,并让它处理工作。
什么是暴力攻击在互联网中,暴力攻击是一种使用特定词典和组合来破解网站密码的方式,黑客会使用软件自动重复尝试不同的密码来匹配你网站的密码,直到密码被匹配成功。
几乎每一个网站每天都有被机器人扫描密码,只不过你自己不知道。
9款WordPress暴力登录保护插件LoginizerLimit Login Attempts ReloadedWP Limit Login AttemptsLimit Attempts by BestWebSoftLimit Login AttemptsWPS Limit LoginJetpackBrute Force Login ProtectionBotnet Attack BlockerLoginizerLoginizer是WordPress最好的开源和免费暴力登录保护插件之一。Loginizer拥有800,000多个有效安装。它分为免费版和专业版,免费版功能也可以保护您的网站免受任何恶意攻击。
登录程序中的功能包括:
允许最大重试后阻止IP允许最大锁定后的扩展锁定最大锁定后向管理员发送电子邮件通知黑名单IP / IP范围白名单IP / IP范围检查失败尝试的日志创建IP范围删除IP范围在GNU GPL第3版下获得许可安全可靠下载地址
Limit Login Attempts ReloadedLimit Login Attempts Reloaded(限制登录尝试重新加载)只需通过正常登录和正确的cookie限制登录尝试。停止暴力攻击限制登录尝试重新加载的插件使用该技术,以便不真实的用户可以获得站点的访问权限。
特征:
登录时限制重试次数(每个IP)。这是完全可定制的。限制使用授权cookie以相同方式登录的次数。通知用户登录页面上的剩余重试次数或锁定时间。可选日志和可选电子邮件通知。可以将IP和用户名列入白名单/黑名单。Sucuri网站防火墙兼容性。XMLRPC网关保护。Woocommerce登录页面保护。具有额外MU设置的多站点兼容性。符合GDPR标准。启用此功能后,所有记录的IP都会被混淆(md5-hashed)。自定义IP源支持(Cloudflare,Sucuri等)下载地址
WP Limit Login AttemptsWP Limit Login Attempts是另一个功能强大的WordPress强力保护插件。目前有4万多次的有效安装,评分也有4.5分。
限制登录尝试登录保护,保护站点免受暴力攻击.Brute Force Attack旨在成为获取站点访问权限的最简单方法:它一遍又一遍地尝试用户名和密码,直到它进入.WP Limit登录尝试暂时限制登录尝试次数和阻止IP。它通过验证码验证来检测机器人。
去吧Settings > WP Limit Login。
特征
登录安全 – 限制登录尝试并跟踪用户登录尝试验证码轻量级插件减缓蛮力攻击的机制重定向到主页,当异常请求时(它将停止黑客工具)符合GDPR标准。启用此功能后,所有记录的IP都会被混淆(md5-hashed)。下载地址
Limit Attempts by BestWebSoftLimit Attempts插件是WordPress的安全解决方案,可以保护您的网站免受垃圾邮件和暴力攻击。限制每个用户登录尝试失败次数,并根据您的设置阻止用户IP一段时间。这将停止自动脚本生成大量不同的组合并破解您的网站。
管理黑名单和白名单,接收电子邮件通知,隐藏被阻止或列入黑名单的IP的网站表单以及其他保证数据安全的高级功能。
特征:
此插件将自动阻止尝试登录的IP地址并超过登录尝试次数。允许手动将IP标记为WhiteList和Blacklist。您可以隐藏阻止的IP中的信息,例如登录,注册。您可以向被阻止的用户显示任何自定义的Captcha错误消息以及无效的尝试。多语言支持。下载地址
Limit Login AttemptsLimit Login Attempts(限制登录尝试)是另一个流行的WordPress登录保护插件,此插件的主要目标是为暴力攻击提供庇护。
特征 :-
登录安全 – 限制登录尝试并跟踪用户登录尝试
暴力攻击保护 – 限制允许的登录尝试次数并保护用户帐户免受攻击。
反垃圾邮件 – 谷歌reCAPTCHA,以保护用户免受垃圾邮件。
IP限制 – 限制IP或IP范围以防止无效登录攻击。
重命名或更改登录页面URL – 将默认的wordpress登录URL(slug)重命名为与原始wp-login.php或wp-admin不同的内容,以防止自动暴力攻击。
显示登录页面上的剩余尝试 – 它将提供一个选项,通知用户他们在登录页面上的剩余尝试。
垃圾邮件防护 – 提供垃圾邮件保护,并在进行一定次数的尝试后禁用/阻止IP地址。
禁用XML-RPC – 在WordPress中简单禁用XML-RPC的选项。大多数WordPress用户不需要XML-RPC,可以禁用它以防止自动暴力攻击。
非活动用户注销 – 如果用户未在指定的时间内执行任何操作,则自动注销。
管理员电子邮件警报 – 通过电子邮件警报通知用户帐户的IP阻止和异常活动。
下载地址
Limit Login Attempts还有一个专业版:Brute Force Login Security, Spam Protection & Limit Login Attempts
WPS Limit Login
WPS Limit Login是WordPress的全功能强力登录保护插件。默认情况下,WordPress允许无限次登录尝试,这使得暴力攻击变得有些容易。有WPS限制登录以拯救您的网站。
通过登录页面和使用身份验证cookie限制可能的连接尝试次数。默认情况下,WordPress允许通过登录页面或发送特殊cookie进行无限制的登录尝试。这允许密码(或散列)相对容易地通过强力破解。
WPS限制登录限制登录尝试并在达到指定限制后阻止对Internet地址的进一步尝试,使暴力攻击变得困难或不可能。
产品特点:
限制登录期间的重试次数(对于每个IP)。这是完全可定制的。
以相同方式使用授权cookie限制登录尝试次数。
通知用户登录页面上的剩余尝试次数或锁定时间。
记录和可选的电子邮件通知。
管理反向代理后面的服务器。
可以将IP地址列入白名单/黑名单。
与Sucuri网站的防火墙兼容。
XMLRPC网关保护。
对登录页面的Woocommerce保护。
多站点兼容其他MU设置。
下载地址
Jetpack由WordPress.com提供的Jetpack提供了一个完整的解决方案(国内服务器不要使用,因为你无法打开),可以保护您的WordPress网站免受僵尸程序和恶意软件的破坏,这些僵尸程序试图破解弱登录密码。它被称为暴力保护领域中最大的插件。
该插件还有助于垃圾邮件过滤和停机时间监控。最重要的是,您可以扫描恶意软件并记录对站点的更改。您网站上被阻止的垃圾邮件评论或恶意攻击的数量将存储在“ 蛮力攻击和恶意软件防护-按需备份和还原设置”页面中。
除了暴力保护之外,Jetpack还支持站点性能和管理。它涉及图像优化,移动响应式设计以及高级网站统计信息和分析功能,以了解您的受众。
优点
提供除安全性之外的众多功能,包括性能优化和站点管理提供两因素身份验证(2FA)缺点
需要升级以使用高级功能国内用户无法使用下载地址
Brute Force Login Protection与其他登录尝试限制插件类似,Brute Force Login Protection阻止自动脚本和坏人反复向您的WordPress登录页面输入用户名和密码。
该插件安装在20,000多个站点上,并获得4.1星评级,显然可以解决该问题。
几乎不需要任何配置该插件就可以工作,并且你可以从“设置”页面查看被拦截的IP列表或者手动阻止IP,并且支持IP白名单。
与Limit Login Attempts Reloaded类似,此插件允许您在失败的尝试后延迟登录,从而有助于减缓暴力攻击。在两次失败的登录尝试之间,用户有5至10分钟的短时间间隔。
如果您的管理员IP地址被阻止,则需要编辑.htaccess文件(如果您具有FTP访问权限-文件传输协议访问权限),然后删除“ deny from abcd ”行(abcd是您自己的IP地址)以登录到您的网站。如果您没有FTP访问权限怎么办?您只能通过其他IP地址访问管理面板,然后将其从“ 阻止的IP”列表中删除。
优点
减慢蛮力攻击暂时禁止IP地址时,向管理员发送电子邮件简单易用缺点
该插件仅通过2.7.0 WordPress发行版进行了测试最新更新是在2年前,可能会导致网站的安全风险(该插件已经更新)下载地址
Botnet Attack Blocker
Bonet Attack Blocker采取了另一个方向来保持WordPress网站免受暴力攻击者和网络犯罪的侵害。从插件开发人员的角度来看,IP地址和位置阻止的效率不足以将机器人拒之门外。
例如,通过使用1,000台计算机同时输入登录信息,并在锁定之前在每个设备上接受5次登录尝试,一个人最多可以尝试5,000个不同的密码。
为了避免这种限制,Bonet Attack Blocker基本上会忽略IP地址的差异。在特定时间内看到5次不成功的尝试(默认情况下)后,它仅阻止所有管理员登录尝试。
但是,插件的运行方式可能会引起一些问题。在总共连续5次失败尝试后,Bonet Attack Blocker阻止了所有来自不同IP地址的管理员登录尝试。结果,这可能会误导许多不打算入侵该网站的用户。
优点
允许部分IP地址添加密钥以绕过锁定缺点
容易误伤正常登录的用户3年未更新下载地址
你该使用哪款插件?介绍了这9款增强WordPress登录安全的插件,那么你可能会有些疑惑,我应该安装哪款插件呢?
实际上每款插件都可以起到登录保护功能,你只需要研究下哪款的功能满足你更多的安全需求。