最新Wordfence下載(Premium), 可線上更新, 強大安全防火牆插件

可線上更新WordFence下載。 WordPress是非常知名的開源建站程序，全球高達40%的網站使用WP搭建，這就導致很多不法分子盯上了WordPress 想搞點破壞或是駭客之類的動作。

每天都有無數程式自動掃描全球WordPress搭建的網站，有的是發垃圾郵件，有的是植入木馬做壞事，有的是盜取優質文章之類。防火牆插件是一定要安裝的，除了保障安全外還可以攔截一些不友善的機器人程式大大降低伺服器負擔以及保護文章內容不被盜取。

Wordfence官网数据↓

其實最強的Wordpress安全外掛是付費版Sucuri，有CDN等級防火牆。不過它沒有GPL版本，原版價格很高，而且它會減慢載入速度。 iThemes Security 和All In One WP Security也不錯，不過功能沒有Wordfence強大、全面。

Wordfence 是最適合大眾，性價比最高，功能最全面，防護效果最好的安全插件之一。可以限制登入嘗試次數、攔截惡意機器人爬蟲、封鎖固定IP/區域存取、攔截惡意流量、啟用2FA登入驗證功能等，安全性max！

下圖是網站受到SQL注入攻擊，被Wordfence發現並且成功攔截後發送給管理員的通知郵件。

 自動攔截惡意爬蟲。

WORDPRESS防火牆
Web 應用程式防火牆可識別並封鎖惡意流量。由一個100% 專注於WordPress 安全性的大型團隊建立和維護。
[Premium] 通过 Threat Defense Feed 实时更新防火墙规则和恶意软件签名（免费版延迟 30 天）。
[Premium] 实时 IP 阻止列表阻止来自最恶意 IP 的所有请求，在减少负载的同时保护您的站点。
在端點保護您的站點，實現與WordPress 的深度整合。與雲端替代方案不同，它不會破壞加密、無法繞過且不會洩漏資料。
整合的惡意軟體掃描程式會阻止包含惡意程式碼或內容的請求。
透過限制登入嘗試來防止暴力攻擊。

WORDPRESS安全掃描器
惡意軟體掃描程式檢查核心檔案、主題和外掛程式是否有惡意軟體、不良URL、後門、SEO 垃圾郵件、惡意重定向和程式碼注入。
透過Threat Defense Feed 即時更新惡意軟體簽章。
將您的核心文件、主題和外掛程式與WordPress.org 儲存庫中的內容進行比較，檢查它們的完整性並向您報告任何變更。
透過用原始的原始版本覆蓋它們來修復已更改的檔案。刪除任何不屬於Wordfence 介面的檔案。
檢查您的網站是否有已知的安全漏洞並提醒您任何問題。當外掛程式被關閉或放棄時，也會提醒您潛在的安全問題。
透過掃描文件內容、貼文和評論中的危險URL 和可疑內容來檢查您的內容安全。
檢查您的網站或IP 是否因惡意活動、產生垃圾郵件或其他安全問題而被列入黑名單。

登入安全
雙重認證(2FA)，一種最安全的遠端系統驗證形式，可透過任何基於TOTP 的身份驗證器應用程式或服務取得。
登入頁面CAPTCHA 阻止機器人登入。
停用或新增2FA 到XML-RPC。
使用已知的洩漏密碼阻止管理員登入。

WORDFENCE中心
Wordfence Central 是一種在一個地方管理多個網站的安全性的強大而有效的方法。
在一個視圖中有效地評估您所有網站的安全狀態。無需離開Wordfence Central 即可查看詳細的安全發現。
強大的範本讓配置Wordfence 變得輕而易舉。
高度可配置的警報可以透過電子郵件、SMS 或Slack 傳遞。透過利用嚴重性等級選項和每日摘要選項來提高訊號雜訊比。
追蹤重要的安全事件並發出警報，包括管理員登入、密碼外洩使用和攻擊活動激增。
免費用於無限的網站。

安全工具
使用即時流量，即時監控其他分析套件中未顯示的存取和駭客嘗試；包括來源、他們的IP 位址、一天中的時間和在您的網站上花費的時間。
透過IP 阻止攻擊者或基於IP 範圍、主機名稱、使用者代理程式和引用者建立進階規則。
Wordfence Premium 提供國家/地區阻止功能。

注意：在儀錶板等地方會顯示類似下圖內容，提示目前版本為免費版本，進階功能不可用。忽略就行，所有進階功能正常使用沒有影響。如果在意請勿購買！有個用戶故意找碴說顯示下圖內容，非要我們處理好。解釋很久對方還是不懂，直接退款拉黑。

這是GPL版本插件，所以這個地方顯示這樣，功能都正常使用，不需要在意這個提示。那個用戶應該是把插件轉賣或用在別人網站，拿破解版當正版宣傳，他客戶找他麻煩，他就來我這裡找茬。要百分百完美，請去wordfence官網購買官方版本。

什麼是GPL插件

此外掛屬於GPL授權產品，安全合法。點擊了解什麼是GPL協議，點擊了解WordPress官網關於GPL的說明。簡單的說採用GPL協定的外掛程式/主題原始碼開源共享，可以合法地自由更改、使用、分發。

本商品標題提及的外掛程式/主題所屬公司和我們沒有任何關係，該公司也沒有授權其產品或品牌給我們。本商品是標題提及外掛程式/主題的發行版本，由第三方公司/開發者製作，並由我們根據通用公共授權(GPL) 條款重新分發。

我們使用該外掛程式/主題名字目的僅為明確本GPL商品所基於的外掛程式/主題，旨在幫助使用者更了解我們這個產品的功能及可能的應用場景，絕無冒充或誤導之意。本商品的銷售遵循並尊重GPL 授權協議的所有條款，確保使用者了解他們取得的是基於開源授權的外掛程式/主題分發版本。允許他們查看、修改和重新分發軟體，以促進軟體的自由使用和發展。

插件安全性

直接從國外正規管道購買，不修改原始碼。所有插件我們自用建站，在多個站點使用過，安全、穩定、可靠。擔心插件不安全？查看《WordPress破解版外掛/主題(綠版, GPL, Nulled) 安全嗎？ 》。

1. 透過Virustotal防毒驗證；
2. 透過Wordfence原始碼審核；
3. 透過Sucuri安全防毒掃描。

Wordfence更新方法/記錄

此插件能在背景線上更新，有新版本時直接點擊更新升級。

點選查看該插件更新記錄(Changelog)

Wordfence下載(Premium)購買條款

本站插件購自國外網站，購買價格為4.99美金/個，有效期限2年。迪亞莫賣價格為19元人民幣/個，花費巨大精力製作了使用教程還提供人工答疑服務，絕對物超所值。外掛僅供學習交流研究使用，虛擬產品具有可複製性，一經售出概不退款，詳情請移步服務條款。

迪亞莫為購買用戶提供售後服務，插件使用過程有任何疑問請在下方評論留言，有問必答。

Wordfence安裝/ 啟用方法

因为可以在线更新，所以我们没有上传最新版本安装包。请安装完插件后先禁用，然后启用，会提示更新版本。在线更新插件后再配置防火墙。

需要先解除安裝免費版本，如果同時使用免費版本和進階版本會提示下圖內容。直接上傳安裝包安裝，啟用外掛即可。設定教學和常見問題看下方教學。

安裝方法1：上傳安裝

在網站後台左側選單欄找到並且點擊“插件”>“安裝插件”，然後點擊左上角的“上傳插件”，上傳下載好的zip安裝包點擊“立即安裝”，安裝好後點擊“啟用插件”完成安裝。

安裝方法2：FTP安裝

解壓縮插件壓縮包，將解壓縮獲得的資料夾上傳至plugins目錄（xxx.com/wp-content/plugins）。
在網站後台左側選單欄找到並點擊“插件”>“已安裝插件”，在插件清單中找到該插件，點擊“啟用”。

可線上更新，直接後台更新就行。

Wordfence啟用、設定防火牆

安裝外掛後網站頂部會出現下圖提示，需要設定後防火牆才能啟用。點擊“點擊這裡配置”按鈕。

安裝方法1

數字1那裡會自動依照伺服器狀況選好對應類型，不用管。依序點選數字2，3步驟操作。

一般情況下會提示安裝成功，清理快取刷新後完成防火牆啟用。如果安裝失敗提示下面內容，是因為.user.ini檔案權限被鎖定，導致寫不進內容。

有2個方法可以解決這個問題，1是手動編輯.user.ini檔案新增內容，2是使用SSH登陸後解除.user.ini檔案寫入限制(2個方法選1個就行，建議選手動編輯)，然後回到網站後台按Wordfence插件提示再啟用一次防火牆即可。

手动编辑.user.ini(推薦)：

透過管理面板或FTP進入網站根目錄，找到並且開啟編輯.user.ini文件。預設只有下圖所示一行內容​​。

把下面3行程式碼複製下來，把xxx.com改成你.user.ini檔案上圖黃色框中的網址，然後把3行程式碼貼到.user.ini裡面，點保存修改。

; Wordfence WAF
auto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'
; END Wordfence WAF

下圖是貼上3行程式碼後的樣子↓。

回到插件設定儀表板介面，刷新頁面，此時防火牆已經100%啟用，防火牆防護已經啟用。刷新後沒有啟用的話是快取導致，清理所有快取刷新。

SSH解除.user.ini写入限制(不推荐，安全性降低)：

使用SSH登錄，直接輸入下面內容按enter回車鍵即可解除限制。

把xxx.com改成你網站的域名。

chattr -i /www/wwwroot/xxx.com/.user.ini

這是貼後的樣子

這是按回車鍵後的樣子

最後去寶塔面板，進入站點根目錄資料夾，找到.user.ini文件 ，點“權限” 。勾選全部權限，點選「確定」。

此時再依照上面教​​學重新啟用防火牆會提示安裝成功↓。

刷新網站緩存，再刷新頁面，儀錶板顯示防火牆已經100%啟用。

注意：一定要回去寶塔面板，按下圖把.user.ini檔案權限改回去，改成644，有時網站可能修改不成功，忽略。

安裝方法2(不推荐，安全性降低)

注意：這個方法主要適合共享(託管)伺服器或只有一個網站的VPS伺服器。如果VPS伺服器存放了多個網站需要把其它網站的「防跨站攻擊」關閉(會降低網站安全性)，不然的話其它網站無法開啟。建議還是採用方法1安裝。

如果是共享(託管)伺服器，按上圖操作後應該會自動啟動了。如果是VPS Nginx會提示安裝 auto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'

以寶塔面板為例，在PHP管理裡面> “設定檔”，大概在698行左右找到“自動前置檔案 =”這個內容，後面補上介面提示的程式碼'/www/wwwroot/xxx.com/wordfence-waf.php' （這程式碼只是範例別直接複製貼上！），然後刷新寶塔面板內存，回到網站後台刷新頁面緩存，高級防火牆已經啟用（顯示100%）。

開啟2FA安全登入驗證

2FA是雙重因素驗證，登入時需要輸入驗證碼（無需翻牆），功能類似銀行U盾或電子密碼器。建議開啟2FA安全登入驗證，大幅提升安全性。

點擊後台左側Wordfence裡面的“Login Security”，再點擊頂部的"Settings"。這裡設定什麼角色可以啟用2FA安全登入驗證，可選配是強制開啟登入認證還是自由開啟（Optional）。一般只有自己公司後台管理員之類才開啟安全登錄，客戶之類不建議開啟。

點選勾選下圖功能，點選「SAVE」儲存。這樣在新裝置第一次登入需要驗證，往後30天無需驗證。

點擊頂部的“雙重身分驗證「進入綁定驗證器介面。手機先去谷歌Paly或蘋果Store下載谷歌身份驗證器軟體（下圖），如果打不開谷歌商店點擊這個鏈接下載安卓APK安裝包。

回到Wordfence的“雙重身分驗證」介面（下圖）。開啟剛安裝的Google驗證器軟體，點選軟體右下角那個彩色的圓形＋號，選擇「掃描二維碼」，掃碼Wordfence介面中的二維碼完成網站綁定。此時Google驗證器會顯示一行資訊：Wordfence(xxx.com)，（可能需要先點選「Click to revealal」會顯示下一個圖碼「下一個圖碼」。

會提示下載恢復密匙，點選下載後完成綁定。恢復密匙作為備用方案可以在沒有驗證碼的情況下登入網站，妥善保管。

下次登入後台時會提示輸入2FA Code，開啟手機驗證器軟體，輸入軟體裡面的6位數字點「Log In」登入。勾選「Remember for 30 days」 30天內在同一裝置登入不需要輸入驗證碼。

Wordfence設定、使用教學課程

设置方法点击查看Wordfence设置教程。

如果扫描提示下图内容，点击展开详情。

官方原始檔裡面不存在下圖中的紅色程式碼，所以提示有毒。那是移除license key驗證程式碼，不是病毒，點忽略就好。不放心可以把程式碼複製放到免費Kimi AI工具問下是否有毒。

常見問題& 解決方法

提示掃描失敗

很多时候扫描失败提示下面文字错误，是因为服务器卡顿，资源不足无法支持扫描。解决好服务器问题后继续扫描即可。

2024.08.30更新：今天插件更新版本，提升了掃描效能，降低30%伺服器負擔，可靠。

"There was an error connecting to the Wordfence scanning servers: cURL error 28: Resolving timed out after 10001 milliseconds"

常见问题1：如果扫描过程自动暂停并且提示下图内容，一般是因为服务器忙扫描超时。

解决方法：
1- 在宝塔面板把PHP设置>配置修改的max_execution_time改为1000或更多；

2- 在网站根目录的wp-config.php 添加下面代码后保存文件。

define('WORDFENCE_SCAN_FAILURE_THRESHOLD', 600);

3- 在Wordfence插件>“扫描”>“扫描选项和计划”（中间位置右边），扫描等级选“高灵敏度”。找到“性能选项”设置，把最大执行时间改为25。如果服务器配置很低很卡就勾选“使用低资源扫描”，不然的话别勾选。

操作完上面3步刷新页面点重新扫描应该恢复正常。如果还是扫描失败，应该是服务器卡，配置低于1H2G或者太多页面之类。修改“扫描选项和计划”，取消勾选下面内容减少扫描量试下。

如果扫描过程自动暂停并且提示下图内容，是innodb_log_file_size过小导致(默认为5M)。

进入宝塔面板 > “MySQL” >“配置修改” > 大概51行位置，把 innodb_log_file_size的值改为30M。保存后重启数据库。刷新页面重新扫描恢复正常。

無法儲存文件、產品、關鍵字

如果遇到無法儲存文章、產品、新增的關鍵字或某些外掛程式設定等，可能是被安全插件攔截，開啟學習模式解決問題。點選Wordfence > “防火牆”。下圖紅色框提示「阻止複雜的攻擊」證明不是處於學習模式，點選「管理WAF」。

选择学习模式，勾选自动启用，选择一个自动启用日期。点右上角“保存更改”。

回到防火墙，显示“目前处于学习模式”

掃碼結果提示有問題

掃描後可能會發現很多標記黃色的問題（下圖），表示插件的某些文件的代碼跟源文件的有差異，可是處於安全範圍內，大部分情況下可以直接點擊“总是忽略”，建议查看代码差异后根据情况操作。

造成这个现象一般是更新了插件/主题，最新版代码跟上个版本的代码有点差异。还有一个原因是使用了GPL或者破解版的插件，源文件被写入license key 激活或者添加一些代码屏蔽验证步骤之类。

点击“查看差异”可以查看有差异的代码。

例如下图是文件差异对比，左边是源文件，右边是新文件，红色背景部分表示新文件比源文件少了一些代码。从下图可以看出新文件少了几行CSS代码（9-23行）。css代码不影响安全性之类，可点击“总是忽略」。

下图橙色背景部分表示GPL插件新文件跟源文件的代码有部分差异，新文件添加了“PAID CURRENT”绕过插件激活验证，文件是安全的，可点击“总是忽略」。

下图绿色背景部分表示新文件比源文件新增的代码，代码的意思是密匙key 365天后过期，也是为了绕过插件激活验证，文件是安全的，可点击“总是忽略」。

如果提示的问题是是红色圆圈，很大概率被挂马，需要删除/恢复文件。具体情况要看哪个文件出问题，被添加了什么代码。如果是readme之类文件直接删除，如果是index.php, login.php之类文件被挂马直接下载一个全新的wordpress安装包解压出来，把里面的相应文件粘贴覆盖掉被挂马文件，同时清理所有缓存。

訪問頁面被攔截

如果出現下面圖情況，是被防火牆誤判攔截。直接打勾“I am certain this is a false positive”， 再點擊“Allowlist This Action”，最後刷新頁面即可恢復正常。

如果出现下图情况，直接刷新页面一般会恢复正常。刷新不行的话按下图步骤输入网站绑定的邮箱，点击发送解封邮件。查收邮件点击里面链接解封IP。如果你网站发信功能异常，将不会收到邮箱，通过FTP或者宝面板把插件禁用，登录后台后再启用即可。

建议把常用IP地址加入wordfence防火墙白名单避免被误拦截。

掃描超時、經常提示插件需要更新

一般服务器配置卡或者卡顿会导致资源不够扫描暂停或者失败，解决服务器卡顿问题是关键，同时优化下扫描任务减少压力。

点击“扫描”↓

点击“扫描选项和计划”↓

选择“标准扫描”↓

下面2个↓不要勾选，扫描压力小点，插件新版本代码不一样不会提示。不要随便安装不知来源插件！

不要勾选↓，有插件/主题更新Wordfence不会提示(后台还是会提示)。有新插件要及时更新！

勾选↓，安全性大大提高。

勾选↓，降低服务器压力。

修改参数↓

点右上角保存更改。

提示“Wordfence Web應用防火牆的最後一次規則更新不成功...”

如果提示下圖內容：“Wordfence Web應用防火牆的最後一次規則更新不成功...”，點擊“Manually Update”。

点击“手动刷新规则”↓。

提示更新成功↓。

如果想一勞永逸解決問題，看這個解決方法教程，按客服說的操作就行。

Google索引收錄/?wordfence前綴無用頁面

產生許多下圖中網址帶/?wordfence前綴的無用頁面，並且被GoogleGoogle Search Console收錄。

解決方法：在robots.txt檔案中新增一行：不允許：/*/?wordfence* 就可禁止爬蟲爬取對應頁面。

Audit Log(稽核日誌)無法使用

2024.11.05新版新增Audit Log功能，需要連結WordFence官方伺服器(註冊帳號驗證license)使用，因為我們販售的是GPL版本非官方正式版，所以無法連結使用此功能。建議按下圖設定為「停用」。

這個功能的作用是竄改一些核心檔案的時候會攔截，如果想用這個功能，去買官方正式版本。

在下圖位置可以關閉「稽核日誌」。

提示更新了政策，點選按鈕沒反應

點選下圖按鈕沒反應，一直卡在這個頁面。是因為寶塔> “網站” > “Nginx安全請求頭” 裡面啟用“讓瀏覽器加載內容時只加載自己網站的內容”，關閉就行。

提示安裝不完整，點選「恢復安裝」提示要輸入License

object-cache.php檔案被錯誤放在網站根目錄，就會出現這個問題，刪掉根目錄object-cache.php檔案就行。出現這個問題一般是搬遷網站之後，選擇檔案復原目錄時把wp-content資料夾錯選為根目錄。

网站被黑案例分享

案例1：
一個訪客剛在迪亞莫這裡買了Wordfence插件，一直問我是否安全、有沒有後門之類，直覺告訴我他有故事。聊開發現他網站之前被駭癱瘓中，想購買我們Wordfence外掛程式拯救。如果他以前一開始就購買這個插件，大機率就不會發生被駭事件。

案例2：
曾经一个建站客户网站被挂马出现Malicious Redirects的案例，仅供大家参考。一个2C客户网站被挂马，打开后台登录页面和前台所有页面会自动跳转到下图网站。无法登陆后台，打不开页面，同服务器另外2个网站也受牵连。

后台登陆由wp-login.php文件控制，登录不上去第一时间去网站根目录查看这个文件源码，发现被添加了十多行恶意代码。从健康站点复制wp-login.php过来覆盖掉，登录页面恢复正常。

首頁由wp-index.php檔案控制， 去網站根目錄查看這個檔案源碼發現也被掛馬，從健康站點複製wp-index.php檔案過來覆蓋掉，頁面正常打開不再跳轉。

使用WordFence插件扫描整站，结果：
提示wp-load.php有病毒，對比原始檔發現第107行開始被加入了惡意程式碼，刪掉即可。
提示wp-content/plugins/wordfence/readme.md有病毒，查看最新插件安装包源文件发现不存在这个文件，而且readme.md文件一般是说明性文件不具备功能可删掉，所以直接删掉这个文件。

处理完威胁后再用Wordfence扫描整站，提示Wp Rocket缓存文件有病毒，应该是定期更新缓存时缓存了有毒文件。直接进入宝塔面板把整个缓存文件夹删掉，让缓存插件重新缓存。

再用WordFence扫描整站，提示安全，威胁解除。马上修改后台登录地址、登录用户名、密码。

复盘这次事件应该是客户其中一个网站的登录账号和密码太简单被破解导致。客户当初找别人搭建WP后台，自己搞前端页面。别人随便给他设置了一个4个数字的管理员登录名，密码也很简单，还没安装防火墙插件，安全性非常低。

這件事也不能怪第三方，他只負責安裝後台自然不會主動安裝防火牆之類。隨便弄個簡單管理員帳號只是為了讓客戶登入後台，按理來說客戶應該新建帳號刪掉舊帳號。客戶自己前端搞不定才找我們搭建，我們也不想多管閒事就沒理其它內容。

网站被黑后我们免费帮客户清理病毒，设置新账户，安装wordfence防火墙插件。也算吃一点长一智，以后遇到这种事情先建议客户把安全性提高，虽然出安全问题不是我们的过错可还是要我们处理，干脆一开始弄好。

不建議小白自己搭建網站原因之一就在這裡，使用WP搭建一個網站很簡單，可是要各方面做到位需要豐富經驗。安全方面安裝設定好Wordfence外掛基本上就OK了。

網路上很多掃描器自動掃描網站漏洞，枚舉登入後台之類，然後掛挖礦程式或木馬跳到賭博/病毒網站。後台登入位址一定要修改不能使用預設位址，使用者名稱和密碼盡量設複雜點。安裝WordFence安全外掛程式可以大大增強網站安全性，還能增加2FA安全登入驗證。

WordPress 很多插件经常被曝出有重大安全漏洞，就连知名的Elementor插件也被几次曝出有严重安全漏洞，官方紧急发布新版本修复。尽量安装知名度比较高的插件/主题，代码一般比较规范，背后团队实力可靠。插件、主题一定要及时更新到最新版本。

如果使用破解版/GPL外掛和主題，一定要先殺毒並且在可靠管道購買。詳情請見《破解版外掛程式/主題(GPL版本)安全嗎？啥缺點？哪裡買可靠？》