这个网站运行起来也才几个月,我建站也是从一个小白开始,一步一步开始,在建站的过程中,发现了一些问题,于是尝试去解决,在解决的过程中,也做过一些尝试。
这个文章就从安全的角度,推荐几个入门者就能使用的插件。不需要改动代码,也不需要复杂的设置,而且是完全免费。有了这些,相信你的网站已经比大多数网站安全很多了。
1. Wordfence (防火墙)
这是第一个推荐的。有免费版和收费版。只使用免费版即可。
除了基本的漏洞扫描外,有了它,你可以查看是不是有爬虫在一直扫描端口。事实上,网络上的爬虫非常的多,会无时无刻的扫描暴露在Internet上的主机,有的甚至还会尝试用暴力破解密码登录。
因此有了这个防火墙的记录,起码我们知道是不是有熟悉的IP在针对性的对我们的主机攻击,而且主机自带的防火墙也可以自动屏蔽频繁访问的机器人攻击。
官方网站:wordfence.com/help/
注意这个插件不能直接在线安装,需要从官方下载zip档文件后,手动导入安装。
2. hCaptcha for WP
下边的那个绿色的图标不陌生吧。主要的作用是,防止有机器人模拟人类的行为做攻击的时候,比如频繁刷新页面,频繁提交表单,会自动识别成为机器人从而减轻网站的压力。
不推荐Google recaptcha的原因是,Google的服务在国内无法访问。如果有人使用国内网络打开一个表单,会发生无法验证通过而一直提交失败的情况。甚至我自己使用的时候,在网络不好的情况下,登录wordpress的时候也被卡过几次。差点把我识别成机器人。这个hcaptcha在国内和国外都可以用。
3. WPS Hide Login(修改默认登录后缀)
默认情况下,wordpress 的登录后缀都是 https://主机名/wp-login.php。网络中的爬虫会尝试登录登录这个后缀并用爬取的账号名登录。因此有必要将默认的后缀修改掉,比如下图
官网如下:
4. Akismet (屏蔽垃圾评论)
没有安装这个插件的时候,发现几次俄语评论出现在我的文章里,翻译了一下才知道是推广他们自己的网站,网站地址可疑,没有点进去看。后来装了这个插件,基本没看到垃圾评论了。
官网如下:
总结:保持更新
永远记得要多加一把锁
网络安全不是部署一次就万事大吉了。而是一个需要不停更新的工作。尽量保持常常检测是否有异常访问,并且保持插件是更新的状态。就能最低程度的把漏洞留给别人利用。