首页 » 插件下载 » 安全插件Wordfence Premium下载, v7.5.11 (GPL开心版)
最新Wordfence Premium下载

安全插件Wordfence Premium下载, v7.5.11 (GPL开心版)

¥
19
终生
¥310
,
此内容查看价格为19元,VIP免费,请先
请登录后购买,可永久查看/下载
文章目录

WordPress 是非常知名的开源建站程序,全球范围内高达40%的网站使用WP搭建,这就导致很多不法分子盯上了 WordPress 想搞点破坏或者黑客之类的动作,因此wp安全性比其它建站系统低。网站一定要安装防火墙插件,做好安全措施!

其实最强大的Wordpress安全插件是付费版Sucuri,有CDN级别防火墙。不过它没有GPL版本,原版价格很高。iThemes Security 和All In One WP Security也不错,功能没有Wordfence强大、全面。

Wordfence 是最适合大众,性价比最高,功能最全面,防护效果最好的安全插件之一。可以限制登录尝试次数、限制爬虫抓取频率、屏蔽固定IP、地区访问、拦截恶意访问、启用2FA登录验证功能等,安全性max!

 

什么是GPL插件

Wordfence属于GPL授权产品,安全合法。点击了解什么是GPL协议,点击了解WordPress官网关于GPL的说明。简单的说采用GPL协议的插件/主题源代码开源共享,可以被合法地自由更改、使用、分发。

国内破解版,直接从国外购买,不修改源代码。通过Virustotal杀毒验证以及Wordfence源代码审核。所有源代码插件我们自用建站,在多个站点使用多年,安全、稳定、可靠。

本站安装了该插件,下图是Sucuri扫描结果

Sucuri 扫描结果

 

Wordfence更新方法/记录

此插件能在后台在线更新,有新版本时直接点击更新升级。

点击查看该插件更新记录(Changelog)

 

Wordfence Premium下载购买条款

本站插件购自国外网站,购买价格为4.99美金/个,有效期2年。迪亚莫统一售卖价格为19元人民币/个,终生有效,并且花费巨大精力制作了使用教程还提供人工答疑服务,绝对物超所值。插件仅供学习交流研究使用,虚拟产品具有可复制性,一经售出概不退款,详情请移步服务条款

迪亚莫为购买用户提供售后服务,插件使用过程有任何疑问请在下方评论留言,有问必答。

 

Wordfence安装/ 启用方法

直接安装下载的安装包,启用插件。

安装方法1:上传安装

在网站后台左侧菜单栏目找到并且点击“插件”>“安装插件”,然后点击左上角的“上传插件”,上传下载好的zip安装包点击“立即安装”,安装好后点击“启用插件”完成安装。

上传插件

安装方法2:FTP安装

解压插件压缩包,将解压获得的文件夹上传至plugins目录(xxx.com/wp-content/plugins)。
在网站后台左侧菜单栏目找到并且点击“插件”>“已安装插件”,在插件列表中找到该插件,点击“启用”。

启用插件

 

配置防火墙

安装插件后网站顶部会出现下图中提示,需要配置后防火墙才能启用。点击“点击这里配置”按钮。

Pasted 51

下图红色框1选“手工配置”点继续。

Pasted 62

如果是托管式主机之类,按上图操作后应该自动激活了。如果是Nginx会提示安装 auto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'

Pasted 63

以宝塔面板为例,在PHP管理里面 > “配置文件”,大概在698行左右找到“auto_prepend_file =”这个内容,在后面补上界面提示的代码'/www/wwwroot/xxx.com/wordfence-waf.php' (这代码只是示例别直接复制粘贴!),然后刷新宝塔面板内存,回到网站后台刷新页面缓存,高级防火墙已经启用(显示100%)。

Pasted 57

 

开启2FA安全登录验证

2FA是双重因素验证,登录时需要输入验证码(无需翻墙),功能类似于银行U盾或者电子密码器。建议开启2FA安全登录验证,大大提高安全性。

点击后台左侧Wordfence里面的“Login Security”,再点击顶部的"Settings"。这里设置什么角色可以启用2FA安全登录验证,可选是强制开启登录认证还是自由开启(Optional)。一般只有自己公司后台管理员之类才开启安全登录,客户之类不建议开启。

Pasted 44

点击勾选下图功能,点“SAVE”保存。这样在新设备第一次登录需要验证,往后30天无需验证。

Pasted 45 Pasted 46

 

点击顶部的“Two-Factor Authentication”进入绑定验证器界面。手机先去谷歌Paly或者苹果Store下载谷歌身份验证器软件(下图),如果打不开谷歌商店点击这个链接下载安卓APK安装包

Pasted 47

回到Wordfence的“Two-Factor Authentication”界面(下图)。打开刚安装的谷歌验证器软件,点击软件右下角那个彩色的圆形+号,选择“扫描二维码”,扫码Wordfence界面中的二维码完成网站绑定。此时谷歌验证器会显示一行信息:Wordfence(xxx.com),点击“Click to reveal PIN”会显示一个6位数验证码,输入下图红色框中“ACTIVE”。

Pasted 59

会提示下载恢复密匙,点击下载后完成绑定。恢复密匙作为备用方案可以在没有验证码的情况下登录网站,妥善保管。

Pasted 49

下次登录后台时会提示输入2FA Code,打开手机验证器软件,输入软件里面的6位数字点“Log In”登录。勾选“Remember for 30 days” 30天内在同一个设备登录不需要输入验证码。

Pasted 50

 

插件设置

在左侧WordFence > 工具 > 导入导出选项,在“使用令牌从其他站点导入Wordfence选项配置 ”框里输入下面那串数字(令牌),按导入配置会导入我们预设好的常规设置,然后你再一项项根据自己需要适当修改这样比较省事。每个设置选项旁边都有带圆圈问号,点一下会进入官网有详细解释,这里不过多解说,不懂再在下方评论留言。

af4220c6b4b929c5fd9a99ad495d7c11c6402565a866451745600fe8f4e060a6d81acaa29db47d265c7aebe15c642947532098210e8340f5f71d1eaa3bdd80da

Pasted 38

 

常见问题

1)如果扫描过程暂停并且提示下图内容,一般是因为服务器忙扫描超时。

Pasted 37

解决方法:
1- 在宝塔面板把PHP设置里面的max_execution_time改为1000或更多;
2- 在网站根目录的wp-config.php 添加 define('WORDFENCE_SCAN_FAILURE_THRESHOLD', 600); 点保存 。

Pasted 60

3- 在Wordfence插件>“扫描”>“扫描选项和计划”(中间位置右边),扫描等级选“高灵敏度”。找到“性能选项”设置,把最大执行时间改为25。如果服务器配置很低很卡就勾选“使用低资源扫描”,不然的话别勾选。

Pasted 61

操作完上面3步刷新页面点重新扫描应该恢复正常。

 

2)如果遇到无法保存文章或者一些插件设置。可能是被安全插件拦截,开启学习模式解决问题。点击Wordfence > “防火墙”。下图红色框提示“阻止复杂的攻击”证明不是处于学习模式,点击“管理WAF”。

Pasted 52

选择学习模式,勾选自动启用,选择一个自动启用日期。点右上角“保存更改”。

Pasted 53    Pasted 54

回到防火墙,显示“目前处于学习模式”

Pasted 55

 

3)扫描后可能会发现很多标记黄色的问题(下图),表示插件的某些文件的代码跟源文件的有差异,可是处于安全范围内,大部分情况下可以直接点击“总是忽略”,建议查看代码差异后根据情况操作。

造成这个现象一般是更新了插件/主题,最新版代码跟上个版本的代码有点差异。还有一个原因是使用了GPL或者破解版的插件,源文件被写入license key 激活或者添加一些代码屏蔽验证步骤之类。

点击“查看差异”可以查看有差异的代码。

Pasted 39

Pasted 41

例如下图是文件差异对比,左边是源文件,右边是新文件,红色背景部分表示新文件比源文件少了一些代码。从下图可以看出新文件少了几行CSS代码(9-23行)。css代码不影响安全性之类,可点击“总是忽略”。

Pasted 40

下图橙色背景部分表示GPL插件新文件跟源文件的代码有部分差异,新文件添加了“PAID CURRENT”绕过插件激活验证,文件是安全的,可点击“总是忽略”。

绿色背景部分表示新文件比源文件新增的代码,代码的意思是密匙key 365天后过期,也是为了绕过插件激活验证,文件是安全的,可点击“总是忽略”。

Pasted 56

如果是标记红色的问题,很大概率被挂马,需要删除/恢复文件。具体情况要看哪个文件出问题,被添加了什么代码。如果是readme之类文件直接删除,如果是index.php, login.php之类文件被挂马直接下载一个全新的wordpress安装包解压出来,把里面的相应文件粘贴覆盖掉被挂马文件。

 

分享一个前几天客户网站被挂马出现Malicious Redirects的案例,仅供大家参考。
一个2C客户网站被挂马,后台登录页面和前台所有页面都自动跳转到下图的网站,无法登陆后台。同服务器另外2个网站也受牵连。

Pasted 42

后台登陆由wp-login.php文件控制,登录不上去第一时间去网站根目录查看这个文件源码,发现被添加了十多行恶意代码。从健康站点复制wp-login.php过来覆盖掉,登录页面恢复正常。

首页是由wp-index.php文件控制, 去网站根目录查看这个文件源码发现也被挂马,从健康站点复制wp-index.php文件过来覆盖掉,页面正常打开不再跳转。

使用WordFence插件扫描整站,结果:
提示wp-load.php 有病毒,对比健康站点源文件发现107行开始被添加了恶意代码,删掉全部被添加代码。
提示wp-content/plugins/wordfence/readme.md 有病毒,查看最新插件安装包源文件发现不存在这个文件,而且readme文件一般是说明性文件不具备功能可删掉,所以直接删掉这个文件。

处理完威胁后再用WordFence扫描整站,提示Wp Rocket缓存的文件有病毒,应该是定期更新缓存时把有毒文件缓存了。直接进入宝塔面板把整个缓存文件夹删掉,让缓存插件重新缓存。

再用WordFence扫描整站,提示安全,威胁解除。马上修改后台登录地址、登录用户名、密码。

复盘这次事件应该是客户其中一个网站的登录账号和密码太简单被破解导致,客户当初找别人搭建好后台自己搞网站搞不成功才找我们处理,别人随便给他设置了一个4个数字的管理员登录名,还没安装防火墙插件...。

网上很多扫描器自动扫描网站漏洞,枚举登录后台之类,然后挂挖矿程序或者木马跳转到赌博/病毒网站。后台登录地址一定要修改不能使用默认地址,用户名和密码尽量设复杂点。建议安装WordFence之类安全插件可以大大增强网站安全性,还能增加2FA安全登录验证。

WordPress 很多插件经常被曝出有重大安全漏洞,就连知名的Elementor插件也被几次曝出有严重安全漏洞,官方紧急发布新版本修复。尽量安装知名度比较高的插件/主题,代码一般比较规范,背后团队实力可靠。插件、主题一定要及时更新到最新版本。

End

有任何疑问,相关需求请在下方评论留言,我们会及时跟进。

目录导航
推荐插件:
评论:

发表评论

邮箱不会被公开, 评论框内禁止插入网址、邮箱

需要其它插件,主题?留言给我们!
免注册快速登陆

输入用户名密码登录

没有账号? 忘记密码?
为了更好的用户体验,该网站使用 Cookies 隐私政策
该网站使用 Cookies 隐私政策