WordPress 是非常知名的开源建站程序,全球范围内高达40%的网站使用WP搭建,这就导致很多不法分子盯上了 WordPress 想搞点破坏或者黑客之类的动作。
每天都有无数程序自动扫描全球WordPress搭建的网站,有的是发垃圾邮件,有的是植入木马做坏事,有的是盗取优质文章之类。防火墙插件是一定要安装的,除了保障安全外还可以拦截一些不友善的机器人程序大大降低服务器负担以及保护文章内容不被盗取。
Wordfence官网数据↓
其实最强大的Wordpress安全插件是付费版Sucuri,有CDN级别防火墙。不过它没有GPL版本,原版价格很高,而且它会减慢加载速度。iThemes Security 和All In One WP Security也不错,不过功能没有Wordfence强大、全面。
Wordfence 是最适合大众,性价比最高,功能最全面,防护效果最好的安全插件之一。可以限制登录尝试次数、拦截恶意机器人爬虫、屏蔽固定IP/地区访问、拦截恶意流量、启用2FA登录验证功能等,安全性max!
下图是网站受到SQL注入攻击,被Wordfence发现并且成功拦截后发送给管理员的通知邮件。
自动拦截恶意爬虫。
WORDPRESS防火墙
Web 应用程序防火墙可识别并阻止恶意流量。由一个 100% 专注于 WordPress 安全性的大型团队构建和维护。
[Premium] 通过 Threat Defense Feed 实时更新防火墙规则和恶意软件签名(免费版延迟 30 天)。
[Premium] 实时 IP 阻止列表阻止来自最恶意 IP 的所有请求,在减少负载的同时保护您的站点。
在端点保护您的站点,实现与 WordPress 的深度集成。与云替代方案不同,它不会破坏加密、无法绕过且不会泄露数据。
集成的恶意软件扫描程序会阻止包含恶意代码或内容的请求。
通过限制登录尝试来防止暴力攻击。
WORDPRESS安全扫描器
恶意软件扫描程序检查核心文件、主题和插件是否存在恶意软件、不良 URL、后门、SEO 垃圾邮件、恶意重定向和代码注入。
通过 Threat Defense Feed 实时更新恶意软件签名。
将您的核心文件、主题和插件与 WordPress.org 存储库中的内容进行比较,检查它们的完整性并向您报告任何更改。
通过用原始的原始版本覆盖它们来修复已更改的文件。删除任何不属于 Wordfence 界面的文件。
检查您的站点是否存在已知的安全漏洞并提醒您任何问题。当插件被关闭或放弃时,还会提醒您潜在的安全问题。
通过扫描文件内容、帖子和评论中的危险 URL 和可疑内容来检查您的内容安全。
检查您的网站或 IP 是否因恶意活动、生成垃圾邮件或其他安全问题而被列入黑名单。
登录安全
双因素身份验证 (2FA),一种最安全的远程系统身份验证形式,可通过任何基于 TOTP 的身份验证器应用程序或服务获得。
登录页面 CAPTCHA 阻止机器人登录。
禁用或添加 2FA 到 XML-RPC。
使用已知的泄露密码阻止管理员登录。
WORDFENCE中心
Wordfence Central 是一种在一个地方管理多个站点的安全性的强大而有效的方法。
在一个视图中有效地评估您所有网站的安全状态。无需离开 Wordfence Central 即可查看详细的安全发现。
强大的模板使配置 Wordfence 变得轻而易举。
高度可配置的警报可以通过电子邮件、SMS 或 Slack 传递。通过利用严重性级别选项和每日摘要选项来提高信噪比。
跟踪重要的安全事件并发出警报,包括管理员登录、密码泄露使用和攻击活动激增。
免费用于无限的网站。
安全工具
使用实时流量,实时监控其他分析包中未显示的访问和黑客尝试;包括来源、他们的 IP 地址、一天中的时间和在您的网站上花费的时间。
通过 IP 阻止攻击者或基于 IP 范围、主机名、用户代理和引用者构建高级规则。
Wordfence Premium 提供国家/地区阻止功能。
什么是GPL插件
Wordfence属于GPL授权产品,安全合法。点击了解什么是GPL协议,点击了解WordPress官网关于GPL的说明。简单的说采用GPL协议的插件/主题源代码开源共享,可以被合法地自由更改、使用、分发。
插件安全性
直接从国外正规渠道购买,不修改源代码。所有插件我们自用建站,在多个站点使用过,安全、稳定、可靠。
- 通过Virustotal杀毒验证;
- 通过Wordfence源代码审核;
- 通过Sucuri安全杀毒扫描。
Wordfence更新方法/记录
此插件能在后台在线更新,有新版本时直接点击更新升级。
Wordfence下载(Premium)购买条款
本站插件购自国外网站,购买价格为4.99美金/个,有效期2年。迪亚莫统一售卖价格为19元人民币/个,终生有效,并且花费巨大精力制作了使用教程还提供人工答疑服务,绝对物超所值。插件仅供学习交流研究使用,虚拟产品具有可复制性,一经售出概不退款,详情请移步服务条款。
迪亚莫为购买用户提供售后服务,插件使用过程有任何疑问请在下方评论留言,有问必答。
Wordfence安装/ 启用方法
因为可以在线更新,所以我们没有上传最新版本安装包。请安装完插件后先禁用,然后启用,会提示更新版本。在线更新插件后再配置防火墙。
直接安装下载的安装包,启用插件。
安装方法1:上传安装
在网站后台左侧菜单栏目找到并且点击“插件”>“安装插件”,然后点击左上角的“上传插件”,上传下载好的zip安装包点击“立即安装”,安装好后点击“启用插件”完成安装。
安装方法2:FTP安装
解压插件压缩包,将解压获得的文件夹上传至plugins目录(xxx.com/wp-content/plugins)。
在网站后台左侧菜单栏目找到并且点击“插件”>“已安装插件”,在插件列表中找到该插件,点击“启用”。
Wordfence启用、配置防火墙
安装插件后网站顶部会出现下图中提示,需要配置后防火墙才能启用。点击“点击这里配置”按钮。
安装方法1
数字1那里会自动根据服务器情况选好相应类型,不用管。依次点击数字2,3步骤操作。
一般情况下会提示安装成功,清理缓存刷新后完成防火墙启用。如果安装失败提示下面内容,是因为.user.ini文件权限被锁定,导致写不进内容。
有2个办法可以解决这个问题,1是手动编辑.user.ini文件添加内容,2是使用SSH登陆后解除.user.ini文件写入限制(2个方法选1个就行,建议选手动编辑),然后回到网站后台按Wordfence插件提示再启用防火墙即可。
手动编辑.user.ini(推荐):
通过管理面板或者FTP进入网站根目录,找到并且打开编辑.user.ini文件
。默认情况下只有下图所示一行内容。
把下面3行代码复制下来,把xxx.com改成你.user.ini文件上图黄色框中的网址,然后把3行代码粘贴到.user.ini里面,点保存修改。
; Wordfence WAF
auto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'
; END Wordfence WAF下图是粘贴3行代码后的样子↓。
回到网站后台刷新页面,此时显示100%,防火墙防护已经启用。刷新后没有启用的话是缓存导致,清理所有缓存刷新。
SSH解除.user.ini写入限制(不推荐,安全性降低):
使用SSH登录,直接输入下面内容按enter回车键即可解除限制。
把xxx.com改成你站点的域名
。
chattr -i /www/wwwroot/xxx.com/.user.ini这是粘贴后的样子
这是按回车键后的样子
最后去宝塔面板,进入站点根目录文件夹,找到.user.ini文件 
,点击“权限” 
。勾选全部权限,点“确定”。
此时再按上面教程重新启用防火墙会提示安装成功↓。
刷新网站缓存,再刷新页面后防火墙已经100%启用。
注意:一定要回去宝塔面板,按下图把.user.ini文件权限改回去,改成644,有时网站可能修改不成功,忽略。
安装方法2(不推荐,安全性降低)
注意:这个方法主要适合共享(托管)服务器或者只有一个网站的VPS服务器。如果VPS服务器存放了多个网站需要把其它网站的“防跨站攻击”关闭(会降低网站安全性),不然的话其它网站无法打开。建议还是采用方法1安装。
如果是共享(托管)服务器,按上图操作后应该自动激活了。如果是VPS Nginx会提示安装 auto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'
以宝塔面板为例,在PHP管理里面 > “配置文件”,大概在698行左右找到“auto_prepend_file =”这个内容,在后面补上界面提示的代码'/www/wwwroot/xxx.com/wordfence-waf.php' (这代码只是示例别直接复制粘贴!),然后刷新宝塔面板内存,回到网站后台刷新页面缓存,高级防火墙已经启用(显示100%)。
开启2FA安全登录验证
2FA是双重因素验证,登录时需要输入验证码(无需翻墙),功能类似于银行U盾或者电子密码器。建议开启2FA安全登录验证,大大提高安全性。
点击后台左侧Wordfence里面的“Login Security”,再点击顶部的"Settings"。这里设置什么角色可以启用2FA安全登录验证,可选是强制开启登录认证还是自由开启(Optional)。一般只有自己公司后台管理员之类才开启安全登录,客户之类不建议开启。
点击勾选下图功能,点“SAVE”保存。这样在新设备第一次登录需要验证,往后30天无需验证。
点击顶部的“Two-Factor Authentication”进入绑定验证器界面。手机先去谷歌Paly或者苹果Store下载谷歌身份验证器软件(下图),如果打不开谷歌商店点击这个链接下载安卓APK安装包。
回到Wordfence的“Two-Factor Authentication”界面(下图)。打开刚安装的谷歌验证器软件,点击软件右下角那个彩色的圆形+号,选择“扫描二维码”,扫码Wordfence界面中的二维码完成网站绑定。此时谷歌验证器会显示一行信息:Wordfence(xxx.com),(可能需要先点击“Click to reveal PIN”)会显示一个6位数验证码,输入下图红色框中“ACTIVE”。
会提示下载恢复密匙,点击下载后完成绑定。恢复密匙作为备用方案可以在没有验证码的情况下登录网站,妥善保管。
下次登录后台时会提示输入2FA Code,打开手机验证器软件,输入软件里面的6位数字点“Log In”登录。勾选“Remember for 30 days” 30天内在同一个设备登录不需要输入验证码。
Wordfence设置、使用教程
设置方法点击查看Wordfence设置教程。
如果扫描提示下图内容,点击展开详情。
源文件不存在下图中的红色代码,所以提示有毒。那是移除license key验证,不是病毒,点忽略就行。
常见问题 & 解决方法
很多时候扫描失败提示下面文字错误,是因为服务器卡顿,资源不足无法支持扫描。解决好服务器问题后继续扫描即可。
"There was an error connecting to the Wordfence scanning servers: cURL error 28: Resolving timed out after 10001 milliseconds"
常见问题1:如果扫描过程自动暂停并且提示下图内容,一般是因为服务器忙扫描超时。
解决方法:
1- 在宝塔面板把PHP设置>配置修改的max_execution_time改为1000或更多;
2- 在网站根目录的wp-config.php 添加下面代码后保存文件。
define('WORDFENCE_SCAN_FAILURE_THRESHOLD', 600);
3- 在Wordfence插件>“扫描”>“扫描选项和计划”(中间位置右边),扫描等级选“高灵敏度”。找到“性能选项”设置,把最大执行时间改为25。如果服务器配置很低很卡就勾选“使用低资源扫描”,不然的话别勾选。
操作完上面3步刷新页面点重新扫描应该恢复正常。如果还是扫描失败,应该是服务器卡,配置低于1H2G或者太多页面之类。修改“扫描选项和计划”,取消勾选下面内容减少扫描量试下。
如果扫描过程自动暂停并且提示下图内容,是innodb_log_file_size过小导致(默认为5M)。
进入宝塔面板 > “MySQL” >“配置修改” > 大概51行位置,把 innodb_log_file_size的值改为30M。保存后重启数据库。刷新页面重新扫描恢复正常。
常见问题2:如果遇到无法保存文章、产品或者一些插件设置等,可能是被安全插件拦截,开启学习模式解决问题。点击Wordfence > “防火墙”。下图红色框提示“阻止复杂的攻击”证明不是处于学习模式,点击“管理WAF”。
选择学习模式,勾选自动启用,选择一个自动启用日期。点右上角“保存更改”。
回到防火墙,显示“目前处于学习模式”
常见问题3:扫描后可能会发现很多标记黄色的问题(下图),表示插件的某些文件的代码跟源文件的有差异,可是处于安全范围内,大部分情况下可以直接点击“总是忽略”,建议查看代码差异后根据情况操作。
造成这个现象一般是更新了插件/主题,最新版代码跟上个版本的代码有点差异。还有一个原因是使用了GPL或者破解版的插件,源文件被写入license key 激活或者添加一些代码屏蔽验证步骤之类。
点击“查看差异”可以查看有差异的代码。
例如下图是文件差异对比,左边是源文件,右边是新文件,红色背景部分表示新文件比源文件少了一些代码。从下图可以看出新文件少了几行CSS代码(9-23行)。css代码不影响安全性之类,可点击“总是忽略”。
下图橙色背景部分表示GPL插件新文件跟源文件的代码有部分差异,新文件添加了“PAID CURRENT”绕过插件激活验证,文件是安全的,可点击“总是忽略”。
下图绿色背景部分表示新文件比源文件新增的代码,代码的意思是密匙key 365天后过期,也是为了绕过插件激活验证,文件是安全的,可点击“总是忽略”。
如果提示的问题是是红色圆圈,很大概率被挂马,需要删除/恢复文件。具体情况要看哪个文件出问题,被添加了什么代码。如果是readme之类文件直接删除,如果是index.php, login.php之类文件被挂马直接下载一个全新的wordpress安装包解压出来,把里面的相应文件粘贴覆盖掉被挂马文件,同时清理所有缓存。
常见问题4:如果出现下面图情况,是被防火墙误判拦截。直接打勾“I am certain this is a false positive”, 再点击“Allowlist This Action”,最后刷新页面即可恢复正常。
如果出现下图情况,直接刷新页面一般会恢复正常。刷新不行的话按下图步骤输入网站绑定的邮箱,点击发送解封邮件。查收邮件点击里面链接解封IP。如果你网站发信功能异常,将不会收到邮箱,通过FTP或者宝面板把插件禁用,登录后台后再启用即可。
建议把常用IP地址加入wordfence防火墙白名单避免被误拦截。
常见问题5:扫描超时、经常提示插件需要更新
一般服务器配置卡或者卡顿会导致资源不够扫描暂停或者失败,解决服务器卡顿问题是关键,同时优化下扫描任务减少压力。
点击“扫描”↓
点击“扫描选项和计划”↓
选择“标准扫描”↓
下面2个↓不要勾选,扫描压力小点,插件新版本代码不一样不会提示。不要随便安装不知来源插件!
不要勾选↓,有插件/主题更新Wordfence不会提示(后台还是会提示)。有新插件要及时更新!
勾选↓,安全性大大提高。
勾选↓,降低服务器压力。
修改参数↓
点右上角保存更改。
常见问题6:如果提示下图内容:“Wordfence Web应用防火墙的最后一次规则更新不成功...”,点击“Manually Update”。
点击“手动刷新规则”↓。
提示更新成功↓。
网站被黑案例分享
案例1:
一个访客在我们买了这个Wordfence插件,一直问我是否安全、有没有后门之类,直觉告诉我他有故事。聊开才知道他网站被黑瘫痪中,想购买我们Wordfence插件拯救。如果他旧网站一开始就安装Wordfence,大概率不会发生被黑这件事。
案例2:
曾经一个建站客户网站被挂马出现Malicious Redirects的案例,仅供大家参考。一个2C客户网站被挂马,打开后台登录页面和前台所有页面会自动跳转到下图网站。无法登陆后台,打不开页面,同服务器另外2个网站也受牵连。
后台登陆由wp-login.php文件控制,登录不上去第一时间去网站根目录查看这个文件源码,发现被添加了十多行恶意代码。从健康站点复制wp-login.php过来覆盖掉,登录页面恢复正常。
首页是由wp-index.php文件控制, 去网站根目录查看这个文件源码发现也被挂马,从健康站点复制wp-index.php文件过来覆盖掉,页面正常打开不再跳转。
使用WordFence插件扫描整站,结果:
提示wp-load.php有病毒,对比源文件发现107行开始被添加了恶意代码,删掉即可。
提示wp-content/plugins/wordfence/readme.md有病毒,查看最新插件安装包源文件发现不存在这个文件,而且readme.md文件一般是说明性文件不具备功能可删掉,所以直接删掉这个文件。
处理完威胁后再用Wordfence扫描整站,提示Wp Rocket缓存文件有病毒,应该是定期更新缓存时缓存了有毒文件。直接进入宝塔面板把整个缓存文件夹删掉,让缓存插件重新缓存。
再用WordFence扫描整站,提示安全,威胁解除。马上修改后台登录地址、登录用户名、密码。
复盘这次事件应该是客户其中一个网站的登录账号和密码太简单被破解导致。客户当初找别人搭建WP后台,自己搞前端页面。别人随便给他设置了一个4个数字的管理员登录名,密码也很简单,还没安装防火墙插件,安全性非常低。
这件事也不能怪第三方,他只负责安装后台自然不会主动安装防火墙之类,随便弄个简单管理员账号只是为了让客户登录后台,按理来说客户应该新建账号删掉旧账号。客户自己搞前端搞不定才找我们搭建,我们也不想多管闲事就没理其它内容。
网站被黑后我们免费帮客户清理病毒,设置新账户,安装wordfence防火墙插件。也算吃一点长一智,以后遇到这种事情先建议客户把安全性提高,虽然出安全问题不是我们的过错可还是要我们处理,干脆一开始弄好。
不建议小白自己搭建网站原因之一就在这里,使用WP搭建一个网站很简单,可是要方方面面做到位需要丰富经验才行。安全方面安装设置好Wordfence插件基本就OK了。
网上很多扫描器自动扫描网站漏洞,枚举登录后台之类,然后挂挖矿程序或者木马跳转到赌博/病毒网站。后台登录地址一定要修改不能使用默认地址,用户名和密码尽量设复杂点。建议安装WordFence之类安全插件可以大大增强网站安全性,还能增加2FA安全登录验证。
WordPress 很多插件经常被曝出有重大安全漏洞,就连知名的Elementor插件也被几次曝出有严重安全漏洞,官方紧急发布新版本修复。尽量安装知名度比较高的插件/主题,代码一般比较规范,背后团队实力可靠。插件、主题一定要及时更新到最新版本。
