Wordfence Security - Wordpress最佳網站安全防火牆外掛

《Wordfence Security》是一套 WordPress 上最熱門的網站安全防護的外掛程式，可以透過即時的防火牆規則更新，封鎖網路上已知的惡意攻擊，也能自訂登入防護規則，來避免駭客或機器人程式暴力破解管理員帳號密碼，同時也能夠檢查 WordPress 網站上的檔案內容是否被竄改？外掛是否定期進行更新？透過 Email 隨時通知站長最新動態，大幅提高網站的安全性與穩定性。

●Wordfence 安全性防護外掛程式(plugin) – 簡介

目前網路上選用 WordPress 來架站的個人或公司，通常都是比較小型規模的公司，或是一些略懂技術的站長們居多。因此我們難以像一般大型公司可以做到全面性的網站安全防護，如果架設一個 WordPress 網站後，每天都要做「外掛更新檢查、網站檔案檢查、防止惡意登入、清除惡意或廣告留言…等」各種 MIS 在做的例行性安全工作的話，怎麼還會有多餘的時間來寫文章、設計網頁呢？

因此，《Wordfence Security》就是為了幫助小型網站，能夠在經營初期可以快速發展，而設計出來的 WordPress 網站防火牆外掛程式，它具備下列一些常見的安全性防護功能：

網站掃描：基本及排程式掃描、可疑代碼程式檢查、惡意URL檢測、使用者密碼強度檢查
防火牆防護：基本及進階防護、學習模式、網路限速、爬蟲限制、暴力防護、白名單管理
封鎖黑名單：自訂「國家/地區」的連線限制 (※付費的進階版才可使用)
即時流量監控：即時監測網站的流量動態，以提早發現網站的異常連線情形
登入安全控制：二次身份驗證設定、各種登入安全性規則設定

請支持《Kiwi LIFE》原創文章。原文標題：Wordfence Security – WordPress最佳網站安全防火牆外掛，原文網址：https://kiwislife.com/wordfence-security-wordpress-protection-plugin/

●Wordfence Security 安全系統功能特色

1. 功能齊全的安全性掃瞄系統

Wordfence 的安全性掃描，能夠檢查「伺服器狀態、檔案變更、惡意程式、內容安全、公開檔案、密碼強度、網站漏洞」，如果升級為付費的進階版，還能夠檢查網站的「聲譽狀態」，以確保網站在全球伺服器之間，是否被列為黑名單，而導致無法順利發送電子報…等細部檢測。檢查完成後會取得下方圖片的網站掃描結果的列表：

當然這些掃描的結果也會透過 Email 寄到管理員的電子郵件信箱，管理員可以透過 Email 中描述的各種結果，前往各項設定或報告結果去檢視網站的運作情形。

2. 最安全防護的網站防火牆安全性設定

網站管理員可以透過 Wordfence 所提供的防火牆設定，針對網站來進行全面性的免費基本防護，像是對於機器人暴力帳密破解程式來說，就可以針對「網站登入」進行細部的登入防護規則設定，如：「登入失敗次數、嘗試忘記密碼次數鎖定、失敗週期判定標準、鎖定時長、特定使用者名稱登入時立即鎖定、防止管理員帳號因資料洩漏而洩密」，所以在基礎的登入保護中，就可以有效防止被暴力破解。

另外，有時候我們在經營網站時，可能會辦一些活動而設置了一個專屬的「限時活動頁面」，像是「整點搶購、限量商品」這類的活動頁面，都可能遇到使用者經常大量刷新頁面的操作行為，人少的時候可能影響不大，但是使用者瞬間爆量且同時操作時，就會造成網站因瞬間流量而崩潰，因此透過下面的「網路限速」功能，就可以針對過於頻繁刷新頁面的使用者進行鎖定，通常這裡每次鎖定 5 分鐘，對於參加活動的影響就會很大，所以也可以評估降為 1 分鐘，讓使用者知道有警告，而減少刷新網頁的行為操作，確保網站能夠順利運作。

3. 滴水不漏的即時流量安全監控

如果遇到自己的網站速度異常，或是突然發現各種異常留言等現象時，就可以透過 Wordfence 的「即時流量」功能，來監控網站上所有的即時流量行為，包含使用者來自於哪個國家/地區、訪問的頁面、發生時間及IP，以及伺服器回應的錯誤代碼…等等，若該筆流量行為有異常時，也可以點選「查看」按鈕，了解該操作的細節，倘若發現是異常操作，也可以立即封鎖該IP，或透過 whois 進行反向檢查。

4. 更安全的雙重登入驗證機制

通常在只有少數人管理的網站時，比較少有帳號密碼管理的安全性問題，但要是網站上有多名作者、管理者的情況下，有時就會遇到少部分擁有「編輯、管理」權限的使用者，為了方便登入而使用了簡單且容易被破解的密碼，此時就會成為駭客侵入網站的破口！因此，管理員可以在 Wordfence 的後台，強制給特定的角色或帳號啟用雙重登入驗證機制，來提高網站的安全性。

5. 週期性透過 Email 寄送網站概況

Wordfence 會在定期的排程掃描中，檢查網站的健康情況，包含「惡意攻擊排名、外掛版本更新、管理員登入通知、異常登入狀態…等」，透過這些資訊，可以快速了解目前所經營的網站現況，若遇到重大異常事件，也可以透過 Email 所提供的快速連結，返回到網站特定管理後台，加速異常狀態的檢查與處理流程。

● 雙胞胎拔拔的 Wordfence Security 使用心得

起初 Kiwi LIFE 在還沒有安裝 WordPress 安全防護外掛的時候，常常因為部分外掛的重大缺失，而給駭客留了縫…，後來透過 硬是要學 的站長兄弟分享後，決定來試試看這一套免費的 WordPress 安全防火牆。一開始使用 Wordfence 時，想說大幅度加上安全掃描的項目與範圍，沒想到卻因此吃掉網站許多資源，導致執行效能下降，後來透過「即時流量報表」，以及「掃描檢查報告」的實際情況來調整後，就可以適度使用各種防護功能，同時又可以保有穩定的網站資源。

以前每年都會被駭客搞一次，後來安裝了 Wordfence 之後，曾經發現過有異常攻擊的行為，但因為在 Wordfence 的細部防護規則設定下，都順利地把駭客擋在門外，所以如果有朋友也是使用 WordPress 架站，又沒有多餘的心力去管理系統安全時，可以使用這個免費的 WordPress 防火牆看看，並且依照下方建議的設定，進行階段性安全及效能優化。

優化防火牆：首先進入 Wordfence 後台，套用它預設建議的防火牆設定，並且備份好 .htaccess、.user.ini 兩個重要的檔案。
啟用防火牆學習模式：建議初次安裝時，都先開啟「學習模式」，讓系統可以知道網站的實際安全現況，完成後就可以改回「啟用與防護」模式。
執行完整掃描：防火牆進入學習模式後，就可以到「掃描」功能進行一次完整的系統掃描，以便取得網站的完整檢查報告，同時可以邊觀察掃描的情況，假設您在網站上有自行建立了特殊用途的資料夾，且已經做好防護，可以將該目錄加入略過掃描的清單中，以利提升掃描的速度。
分析報告並進行修正：透過初次掃描的分析報告，可以得知網站哪些檔案資料被修改，或是哪些帳號使用了低安全性的密碼，以及哪些重要的Wordpress核心檔案或外掛已經過時。藉由實際的報告結果，配合過去自行修改的網站檔案紀錄，就可以清楚判斷哪些是正常或異常，對於自訂的檔案內容，也可以加入排除名單，避免每次掃描都會有錯誤提醒。但拔拔比較建議核心檔案即使自行修改過，也不要略過掃描，畢竟有時候還是會遇到這些檔案被修改的可能性，多一分提醒會更安全。