《Wordfence Security》是一套 WordPress 上最熱門的網站安全防護的外掛程式,可以透過即時的防火牆規則更新,封鎖網路上已知的惡意攻擊,也能自訂登入防護規則,來避免駭客或機器人程式暴力破解管理員帳號密碼,同時也能夠檢查 WordPress 網站上的檔案內容是否被竄改?外掛是否定期進行更新?透過 Email 隨時通知站長最新動態,大幅提高網站的安全性與穩定性。

Wordfence Security - 最多Wordpress站長使用的網站安全防火牆外掛

Loading...

●Wordfence 安全性防護外掛程式(plugin) – 簡介

目前網路上選用 WordPress 來架站的個人或公司,通常都是比較小型規模的公司,或是一些略懂技術的站長們居多。因此我們難以像一般大型公司可以做到全面性的網站安全防護,如果架設一個 WordPress 網站後,每天都要做「外掛更新檢查、網站檔案檢查、防止惡意登入、清除惡意或廣告留言…等」各種 MIS 在做的例行性安全工作的話,怎麼還會有多餘的時間來寫文章、設計網頁呢?

因此,《Wordfence Security》就是為了幫助小型網站,能夠在經營初期可以快速發展,而設計出來的 WordPress 網站防火牆外掛程式,它具備下列一些常見的安全性防護功能:

  • 網站掃描:基本及排程式掃描、可疑代碼程式檢查、惡意URL檢測、使用者密碼強度檢查
  • 防火牆防護:基本及進階防護、學習模式、網路限速、爬蟲限制、暴力防護、白名單管理
  • 封鎖黑名單:自訂「國家/地區」的連線限制 (※付費的進階版才可使用)
  • 即時流量監控:即時監測網站的流量動態,以提早發現網站的異常連線情形
  • 登入安全控制:二次身份驗證設定、各種登入安全性規則設定

 

●Wordfence Security 安全系統功能特色

1. 功能齊全的安全性掃瞄系統

Wordfence Security - WordPress 網站完整安全性檢查

Wordfence 的安全性掃描,能夠檢查「伺服器狀態、檔案變更、惡意程式、內容安全、公開檔案、密碼強度、網站漏洞」,如果升級為付費的進階版,還能夠檢查網站的「聲譽狀態」,以確保網站在全球伺服器之間,是否被列為黑名單,而導致無法順利發送電子報…等細部檢測。檢查完成後會取得下方圖片的網站掃描結果的列表:

Wordfence Security - 安全性掃描結果

當然這些掃描的結果也會透過 Email 寄到管理員的電子郵件信箱,管理員可以透過 Email 中描述的各種結果,前往各項設定或報告結果去檢視網站的運作情形。

 

2. 最安全防護的網站防火牆安全性設定

Wordfence Security - WordPress 網站防火牆安全設定

網站管理員可以透過 Wordfence 所提供的防火牆設定,針對網站來進行全面性的免費基本防護,像是對於機器人暴力帳密破解程式來說,就可以針對「網站登入」進行細部的登入防護規則設定,如:「登入失敗次數、嘗試忘記密碼次數鎖定、失敗週期判定標準、鎖定時長、特定使用者名稱登入時立即鎖定、防止管理員帳號因資料洩漏而洩密」,所以在基礎的登入保護中,就可以有效防止被暴力破解。

Wordfence Security - 暴力防護以防止機器人程式破解帳號密碼

Loading...

另外,有時候我們在經營網站時,可能會辦一些活動而設置了一個專屬的「限時活動頁面」,像是「整點搶購、限量商品」這類的活動頁面,都可能遇到使用者經常大量刷新頁面的操作行為,人少的時候可能影響不大,但是使用者瞬間爆量且同時操作時,就會造成網站因瞬間流量而崩潰,因此透過下面的「網路限速」功能,就可以針對過於頻繁刷新頁面的使用者進行鎖定,通常這裡每次鎖定 5 分鐘,對於參加活動的影響就會很大,所以也可以評估降為 1 分鐘,讓使用者知道有警告,而減少刷新網頁的行為操作,確保網站能夠順利運作。

Wordfence Security - 避免過於頻繁刷新頁面導致網站崩潰的網路限速設定

3. 滴水不漏的即時流量安全監控

Wordfence Security - 即時流量安全性監控

如果遇到自己的網站速度異常,或是突然發現各種異常留言等現象時,就可以透過 Wordfence 的「即時流量」功能,來監控網站上所有的即時流量行為,包含使用者來自於哪個國家/地區、訪問的頁面、發生時間及IP,以及伺服器回應的錯誤代碼…等等,若該筆流量行為有異常時,也可以點選「查看」按鈕,了解該操作的細節,倘若發現是異常操作,也可以立即封鎖該IP,或透過 whois 進行反向檢查。

 

4. 更安全的雙重登入驗證機制

Wordfence Security - 更安全的雙重登入驗證機制

通常在只有少數人管理的網站時,比較少有帳號密碼管理的安全性問題,但要是網站上有多名作者、管理者的情況下,有時就會遇到少部分擁有「編輯、管理」權限的使用者,為了方便登入而使用了簡單且容易被破解的密碼,此時就會成為駭客侵入網站的破口!因此,管理員可以在 Wordfence 的後台,強制給特定的角色或帳號啟用雙重登入驗證機制,來提高網站的安全性。

 

5. 週期性透過 Email 寄送網站概況

Wordfence Security - 週期性透過 Email 寄送網站概況

Wordfence 會在定期的排程掃描中,檢查網站的健康情況,包含「惡意攻擊排名、外掛版本更新、管理員登入通知、異常登入狀態…等」,透過這些資訊,可以快速了解目前所經營的網站現況,若遇到重大異常事件,也可以透過 Email 所提供的快速連結,返回到網站特定管理後台,加速異常狀態的檢查與處理流程。

 

● 雙胞胎拔拔的 Wordfence Security 使用心得

起初 Kiwi LIFE 在還沒有安裝 WordPress 安全防護外掛的時候,常常因為部分外掛的重大缺失,而給駭客留了縫…,後來透過 硬是要學 的站長兄弟分享後,決定來試試看這一套免費的 WordPress 安全防火牆。一開始使用 Wordfence 時,想說大幅度加上安全掃描的項目與範圍,沒想到卻因此吃掉網站許多資源,導致執行效能下降,後來透過「即時流量報表」,以及「掃描檢查報告」的實際情況來調整後,就可以適度使用各種防護功能,同時又可以保有穩定的網站資源。

Loading...

以前每年都會被駭客搞一次,後來安裝了 Wordfence 之後,曾經發現過有異常攻擊的行為,但因為在 Wordfence 的細部防護規則設定下,都順利地把駭客擋在門外,所以如果有朋友也是使用 WordPress 架站,又沒有多餘的心力去管理系統安全時,可以使用這個免費的 WordPress 防火牆看看,並且依照下方建議的設定,進行階段性安全及效能優化。

  • 優化防火牆:首先進入 Wordfence 後台,套用它預設建議的防火牆設定,並且備份好 .htaccess.user.ini 兩個重要的檔案。
  • 啟用防火牆學習模式:建議初次安裝時,都先開啟「學習模式」,讓系統可以知道網站的實際安全現況,完成後就可以改回「啟用與防護」模式。
  • 執行完整掃描:防火牆進入學習模式後,就可以到「掃描」功能進行一次完整的系統掃描,以便取得網站的完整檢查報告,同時可以邊觀察掃描的情況,假設您在網站上有自行建立了特殊用途的資料夾,且已經做好防護,可以將該目錄加入略過掃描的清單中,以利提升掃描的速度。
  • 分析報告並進行修正:透過初次掃描的分析報告,可以得知網站哪些檔案資料被修改,或是哪些帳號使用了低安全性的密碼,以及哪些重要的Wordpress核心檔案或外掛已經過時。藉由實際的報告結果,配合過去自行修改的網站檔案紀錄,就可以清楚判斷哪些是正常或異常,對於自訂的檔案內容,也可以加入排除名單,避免每次掃描都會有錯誤提醒。但拔拔比較建議核心檔案即使自行修改過,也不要略過掃描,畢竟有時候還是會遇到這些檔案被修改的可能性,多一分提醒會更安全。

 

●相關連結:

 

Wordfence 中文化語言包下載檔案資訊

5 1 投票
文章評分

Loading...