WordPress 資訊安全防護外掛 All In One WP Security & Firewall 安裝介紹

WordPress 資訊安全防護外掛 All In One WP Security & Firewall 安裝介紹

使用 WordPress 架站最好要安裝資安防護外掛會比較好,因為網路上的攻擊真的很多,而且 WordPress 本身也存在一些安全性漏洞,使用安全外掛可以防止駭客入侵到網站裡面。

比較常見需要保護的例如登入、註冊頁面還有留言區,只要是輸入的地方都容易遭受機器人惡意攻擊。還有一些不需要用到的功能,例如 XML-RPC 服務,也可以透過外掛停用,以防止駭客入侵。

接下來我會介紹一款我喜愛的安全防護外掛 All In One WP Security & Firewall,這是一款免費的資安外掛,主要的功能如下:

  1. 防護登入暴力攻擊
  2. 查看登入失敗記錄
  3. 封鎖惡意來源 IP 地址
  4. 資料庫備份
  5. 文件保護
  6. 防火牆防護
  7. 垃圾廣告留言防護
  8. 禁用複製、框架、API 等功能

All In One WP Security & Firewall 提供的功能很多,但我不會一一介紹,而是會挑選一些我認為必要的功能啟用而已喔。

安裝外掛

在安裝外掛頁面輸入「All In One WP Security & Firewall」,找到外掛後安裝並啟用外掛。

在安裝外掛頁面輸入「All In One WP Security & Firewall」

安裝之後,在左邊選單會出現「WP Security」,初始安裝畫面會顯示目前保護的分數,開始是 20 分,會依照你所開啟的防護功能來增加分數。

WP Security

這是 All In One WP Security & Firewall 選單功能。

All In One WP Security & Firewall 選單功能

開啟登入防護

初次安裝的時候,我先不開啟登入防護,直接等待一個晚上,就發現有許多的惡意程式在攻擊我的登入頁面。
在選單的「User Login > Failed Login Records」可以看到登入記錄。

在選單的「User Login > Failed Login Records」可以看到登入記錄

反向查詢 IP 來源,都是一些國外的 IP 地址。
將上面的頁籤切換到「Login Lockdown」,將「Enable Login Lockdown Feature:」的選項勾選起來就可以有基本的防護,包含失敗次數鎖定、鎖定時間功能。

Login Lockdown

當我把登入防護勾選起來之後,過了一個晚上,被登入攻擊的次數就降下來許多,有些攻擊來源會自動被封鎖起來。

更換登入頁面網址

開啟選單「Brute Force > Rename Login Page」,可以修改登入頁面網址。

更換登入頁面網址,預設是 https://{你的網址}/wp-login,因為預設網址很容易被攻擊,更換網址之後,駭客因為不知道新網址是什麼,可以避免被攻擊的機率。

但我還是要提醒一下,不是換了新網址就不會被攻擊,像我的登入頁面已經更換過新網址,初期確實沒有出現暴力登入攻擊,但幾個月後,我還是發現我的新網址出現了暴力登入攻擊,所以除了更換網址之外,還需要做其他的防護才行。

新的登入網址可以自行決定,加一些個人的英文或數字都可以,但更換之後,記得記錄下來,可以將新網址加入書籤,以免之後忘記。

Rename Login Page

修改存檔之後,你的新登入網址就會改變喔,在上方會有你的新登入網址,記得另存起來。

Rename Login Page

防止垃圾廣告留言

在我們文章的留言區可以提供讀者回覆留言,可是通常會出現許多垃圾廣告留言。

垃圾廣告留言

大多數都是廣告留言,少數可能有木馬或病毒網站,通常這種留言連結都不要點喔,以免中毒。

開啟選單的「SPAM Prevention > Comment SPAM」可以勾選防止文章遭到機器人留言垃圾評論。

防止垃圾廣告留言

如果勾選之後,在文章留言區會出現要求輸入驗證碼,它預設的驗證是數字加減結果,但會使用到英文字母,如果你擔心你的使用者英文能力不好的話,可以不啟用這功能,
可以改用 Google reCAPTCHA 做留言防護,可參考我另一篇文章教學:如何在 WordPress 設定 Google reCAPTCHA 保護(登入、留言、聯絡)表單,免遭惡意攻擊

要求輸入驗證碼

我自己是使用 Google reCAPTCHA 來做垃圾留言防護的,對使用者的體驗比較好。

開啟防火牆防護

左邊選單開啟「Firewall」,可以開啟基本的防火牆防護,將「Basic Firewall Settings」的「Enable Basic Firewall Protection」打勾。

Enable Basic Firewall Protection

此基本防護是啟用以下功能:

  1. 通過拒絕訪問來保護您的 htaccess 文件。
  2. 禁用服務器簽名。
  3. 製文件上傳大小(10MB)。
  4. 通過拒絕訪問來保護您的 wp-config.php 文件。

禁止 XMLRPC

如果您沒有使用到 WP XML-RPC 及 Jetpack 功能的話,我建議就勾選停用此兩者的連線服務。
在「WordPress XMLRPC & Pingback Vulnerability Protection」的區塊就勾選這兩個選項。

禁止 XMLRPC

勾選之後,可以有效防止駭客利用 XML-RPC API 入侵系統內部,也可以防止 Dos 攻擊。

我之前實測是發現 XML-RPC 服務會一直有暴力登入攻擊,所以這個服務沒用到的話,要停用比較好。

關於 XML-RPC 實測可參考我另一篇文章: WordPress 如何關閉 XML-RPC 服務,避免資安攻擊風險

總結

All In One WP Security & Firewall 的功能很多,啟用一些基本的防護功能,就可以相對安全許多,其他的功能你也可以了解一下,再啟用適合你的功能。

除了安裝防護外掛,WordPress 的版本也需要維持最新版本,WordPress 更版除了升級功能,也會修補漏洞,持續保持最新版本,也是資安防護的一環。

All In One WP Security & Firewall 有資料庫備份功能,但是我沒有提到,因為我已經有另外備份資料庫了,如果你沒有定期備份資料庫的話,建議可以勾選 All In One WP Security & Firewall 提供的定期備份資料庫功能喔。

相關學習文章

如果你在學習上有不懂的地方,需要諮詢服務,可以參考站長服務,我想辨法解決你的問題
如果文章內容有過時、不適用或錯誤的地方,幫我在下方留言通知我一下,謝謝

加入社團一起討論

關注我的 IG