外贸建站安全防护插件--- All In One WP Security & Firewall

All In One WP Security & Firewall网站安全防护插件

 

本章继续讲网站安全防护方面的知识,在陆续讲解了wordfence和iThemes Security这两款性能卓越的网站安全防护插件之后,今天Jack老师推出一款全新的安全防护插件All In One WP Security & Firewall.有些同学会问,Jack老师你是江郎才尽还是黔驴技穷了?老是写同类型的安全防护插件类型的文章,这是要灌水吗?

嗯,某种程度上是有这方面的嫌疑,但是我们通过多个同类型的网站安全防护插件的相关工作原理和设置,能够让我们更好的理解这些安全防护插件的运行机制和针对重点。通过对比,才能发现什么样的安全防护插件更适合我们自己的网站(因为每个人的网站都不一样,内容和设置都有很大的差别,所以建议选择适合自己的各款不同的安全防护插件,而不是靠某个安全防护插件的安装使用量去抉择)。好了,废话不多说,我们来看具体的实操讲解内容。

 

一.All In One WP Security & Firewall插件的简介

点击此处,查看 All In One WP Security & Firewall插件官网


All In One WP Security & Firewall官网

 

先来讲一下All In One WP Security & Firewall的母公司Tips and Tricks HQ,它可不仅仅只研发了All In One WP Security & Firewall这一款安全防护插件,它的旗下还包含了Wordpress eStore Plugin、WP Affiliate Platform、WP eMember、WP PDF Stamper (single site)、WP PDF Viewer、WP Lightbox Ultimate、WP Photo Seller (single site)等多款实用性非常强的wordpress插件,而且各款插件的下载安装使用量都还比较高,相关的评价也比较不错,可能就WP eMember这款插件的好评率相对来说差一点,其他的都还过得去。

包括我们今天要讲的主角, All In One WP Security & Firewall也已经累计有80万+的下载安装使用量,五星好评988个!(如果排除这里面有类似刷信誉的丑恶手段,那么这个好评率=好评数量/下载数量已经是非常高了,毕竟很多人都是默默地白嫖而不做任何评论)。

 

二.All In One WP Security & Firewall的安装和使用

 

All In One WP Security & Firewall的安装和使用

 

如上图所示,我们在自己网站的wordpress后台点击“安装插件”按钮,在右侧的搜索框中输入关键词“All In One WP Security & Firewall”,等出现上图的搜索结果之后,再点击“现在安装”按钮即可,安装完成之后点击“启用”按钮,这样就完成了All In One WP Security & Firewall安全防护插件的整个安装过程。下面我们来看一下具体的插件设置过程。

步骤一:在所有的设置开始之前,请备份自己网站的 .htaccess 文件, 数据库和 wp-config.php 文件
这三个文件是对自己网站至关重要的三个文件,有了这三个文件,哪怕网站 有一天突然出问题奔溃了,我们也能够利用这三个文件进行恢复。有的同学可能会说,我不太懂这方面的技术知识,不知道该如何去备份这三个文件。不用担心, All In One WP Security & Firewall安全防护插件已经为你设置了一键式快速备份按钮功能,如下图所示。

All In One WP Security & Firewall的安全备份功能

在安装All In One WP Security & Firewall插件之前,我猜绝大部分的同学网站后台都存在不止一个wordpress插件,这些插件的某些特定功能可能会因为All In One WP Security & Firewall插件的启用而遭到禁止,如果你想要继续使用这些特定功能,那么可以通过禁用All In One WP Security & Firewall的安全功能来实现,但要做好取舍,毕竟鱼与熊掌不可兼得。同理,某些网站当前的防火墙规则可能与All In One WP Security & Firewall的防火墙规则发生冲突。

 

我们也可以通过禁用All In One WP Security & Firewall的防火墙规则来实现,具体操作是在.htacess文件中进行。当然,如果你的技术足够的话,可以自行在.htacess文件中编写网站的防火墙规则。万一出现了.htacess文件在编辑过程中发生了不可逆的错误或者想替换会原来的.htacess文件,那么在All In One WP Security & Firewall插件的设置菜单中选择.htacess文件,点击回复即可回到备份的文件状态,如下图所示:


All In One WP Security & Firewall的.htaccess文件备份


步骤二:移除网站的wordpress版本信息
在很多的wordpress网站安全漏洞案例中,集中出现了破坏者利用软件抓取某个网站的wordpress版本信息,利用现有已知的对该版本漏洞进行破坏性侵入的情况。针对这种情况,All In One WP Security & Firewall也提供了相应的安全防护措施,如下图所示。


All In One WP Security & Firewall的wp版本信息移除功能


因为配置All In One WP Security & Firewall的相关设置比较繁琐,所以它提供了一键导出设置功能。这个功能的作用就是当你完成了某个网站的该插件安全防护设置之后,你通过保存并导出这些相关安全设置并在新的网站中一键导入它的安全设置文件,这样就避免了再次重复设置和编写防火墙规则等重复性事情,能够让你更加的省心省力!


步骤三:更改wordpress后台的登录账户名
很多人并没有意识到一个独特的wordpress后台登录账户对网站安全防护的重要性。即使在不断强调网站安全防护的今天也依然有很多人在用admin或者wp-admin之类的烂大街账户作为自己的网站后台登录账户,这样的设置很容易被网站破坏者侵入而造成不必要的损失。所以All In One WP Security & Firewall插件提供了更改登录账户名的功能,让这样的不必要风险隐患彻底消失。


步骤四:用户登录的相关设置
在某些不知道的情况下,你或者其他网站使用者的账号已经被泄露了,这样的情况即使你再去操作步骤三的过程也没有办法挽救,你要做的是对用户登录情况的相关设置。因为当前的情况下,网站破坏者只获得了若干登录账户而没有得到密码,那么如果没有安装All In One WP Security & Firewall之类的安全防护插件,他们可以不受限制的进行试错登录尝试。

 

但是安装了安全防护插件之后,这个试错性登录的次数就有限制了,这个次数可以自行设置,比方说3次或者5次,如果连续超过这个限制次数,那么该网站破坏者的ip就会被锁定,从而在某段时间内禁止登录和访问。当然这个时间段也是能够在All In One WP Security & Firewall安全防护插件中根据自己的需要进行自定义设置的。


如果有些同学非要嘴犟说自己记性不好,也不经常登录,而且密码也没有进行记录,但自己是网站所有者想登录后台,一旦超过了预设的登录失败限制次数,那不是同样要被圈禁在小黑屋中无法访问了吗?不用担心,All In One WP Security & Firewall早就为你们贴心的考虑到了这一点,你可以在它的设置中将自己的ip添加到后台的访问ip白名单中,这样即使你试错了100次也能够正大光明的进行再次登录尝试。如下图所示。


All In One WP Security & Firewall插件的登录锁定IP白名单设置


步骤五:用户注册的审核机制
我们都知道外链是网站优化过程中不可避开的一个重要环节,所以很多时候我们会开放一个注册账号进行内容评论的功能。有过这方面经验的同学都知道,很多评论都和狗屎一样非常恶心,纯粹是为了做外链而做外链,一点技术含量都没有。所以All In One WP Security & Firewall提供了相对于的用户注册审核机制。所有的新注册账号都将成为待激活状态,除非你审核允许,否则这些账号都将永远处在待激活状态而不能进行正常的评论或者其他相关操作。如果你看某些账号很像“潜在的网站破坏分子”,那么直接删除这些账号就可以了,简单而又干脆!(手握生杀大权的感觉是不是非常不错?哈哈哈)


但是我们要注意到一点,现在越来越多的网站新账号注册采用的软件注册而非人工,这样的注册更加具有隐蔽性,软件根据事先写好的脚本进行逻辑性操作很难被发现,所以All In One WP Security & Firewall安全防护插件又给我们添加了另外一层安全防护叫做注册验证,当某个账号注册软件进行账号注册的时候会遇到All In One WP Security & Firewall插件给出的一道验证码数学题,比方说1+*=6,只有当填入的数据是5的时候才会被验证通过放行,但市面上绝大多数账号注册软件是不可能存在这种逻辑脚本的,这样就为我们的网站添加了更多的安全防护属性!


此外,All In One WP Security & Firewall插件还设置了注册账号软件的钓鱼陷阱。这些钓鱼陷阱在网页前端是看不到的,因为被隐匿了,但是软件不一样啊,它是通过抓取注册代码来进行操作的,结果这些钓鱼陷阱的代码通过设定一个特殊的值,让账号注册软件去填充,一填充就落入了陷阱,All In One WP Security & Firewall这个安全防护插件就知道当前在注册账号的肯定是个软件机器人,好嘛,等你小子多时了,直接将它重定向引导到本地主机地址http://127.0.0.1


步骤六:数据库、文件系统安全、黑名单管理的相关设置
这两个项目没有什么特别好说的。数据库安全防护更多的是修改数据库数据表前缀;而文件系统安全的防护更多的是集中在文件读写权限,一般设置成0755就可以了。黑名单管理设计到前面我们说的暴力破解和试错登录,因为All In One WP Security & Firewall这个安全防护插件已经在事前采集到了这些违规的ip,那么它会直接添加到这个ip黑名单中来。当然了还有些人不想让某些人(同行或者竞争对手)、某些国家和地区;那么也可以添加对应的代码段来进行操作。比方说我添加一个美国的ip段,那么这些憨憨就不能看到我大中华的社会主义建设新气象了,哈哈哈(我好像有那么一丝愚蠢)!


步骤七:防火墙规则设置和暴力破解安全防范
事实求是的讲我不会写网站防火墙规则,承认这个不丢人,不承认还非要装出一副很懂的样子就非常恶心了。需要写对应的网站防火墙规则的同学自行去谷歌搜索一下吧,应该会有你们想要的答案!至于说暴力破解防范,可以通过更改默认的网站登录页面url实现,改变之后登录页面的url就不再是example.com/wp-admin了,也有可能是example.com/dajisodjaidjkoxanuwhb,这样也能够不免很多不必要的暴力破解的疯狂攻击。这和盗墓一样,连盗墓入口都没找到,盗个锤子!


步骤八:扫描器功能
假设某个很厉害的高手已经程度侵入了你的网站,并且已经将某些破坏性文件植入了你的网站后台,而你在网页前端根本看不到异样,这就非常尴尬了。所以All In One WP Security & Firewall插件为我们提供了文件扫描功能,一键点击扫描我们网站后台的核心文件和以.php和.js之类不太经常改动的文件,如果有异常会进行警示,当然你也可以启用它的自动扫描功能,选择某个星期中的一天进行定期扫描,这样的好处就是,一旦侦测到有可疑情况,All In One WP Security & Firewall插件会给你的联系邮箱发送一份检查警示报告,让你及时知晓并采取对应的措施。


除了上面的这些几个重要步骤之外,还有一些七七八八的防护功能没有介绍,主要是天气热不想写了,写太长反正又没人愿意看,看了的人也不会转发这篇文章,还是写短一点好,毕竟懒婆娘的裹脚布又长又臭,大家都不喜欢。
最后说一下All In One WP Security & Firewall这个安全防护插件的仪表盘,如下图所示:


All In One WP Security & Firewall安全防护插件仪表盘


很简单,根据上面写的步骤一点点的去完善网站安全的各个方面,将站点安全分数尽可能的提高就够了。
好了,以上就是本章关于外贸建站安全防护插件— All In One WP Security & Firewall的全部内容,如果还有不理解的地方,没关系,解决方案如下:


点击此处,查看更多外贸建站和谷歌SEO优化免费教程


QQ:3233269705


QQ群:645296397


微信公众号:
微信公众号二维码