最新Wordfence下載(Premium), 可線上更新, 強大安全防火牆插件

最新Wordfence下载(Premium)，可在线更新。WordPress是非常知名的开源建站程序，全球范围内高达40%的网站使用WP搭建，这就导致很多不法分子盯上了 WordPress 想搞点破坏或者黑客之类的动作。

每天都有无数程序自动扫描全球WordPress搭建的网站，有的是发垃圾邮件，有的是植入木马做坏事，有的是盗取优质文章之类。防火墙插件是一定要安装的，除了保障安全外还可以拦截一些不友善的机器人程序大大降低服务器负担以及保护文章内容不被盗取。

Wordfence官网数据↓

其實最強的Wordpress安全外掛是付費版Sucuri，有CDN等級防火牆。不過它沒有GPL版本，原版價格很高，而且它會減慢載入速度。 iThemes Security 和All In One WP Security也不錯，不過功能沒有Wordfence強大、全面。

Wordfence 是最适合大众，性价比最高，功能最全面，防护效果最好的安全插件之一。可以限制登录尝试次数、拦截恶意机器人爬虫、屏蔽固定IP/地区访问、拦截恶意流量、启用2FA登录验证功能等，安全性max！

下图是网站受到SQL注入攻击，被Wordfence发现并且成功拦截后发送给管理员的通知邮件。

 自动拦截恶意爬虫。

WORDPRESS防火墙
Web 应用程序防火墙可识别并阻止恶意流量。由一个 100% 专注于 WordPress 安全性的大型团队构建和维护。
[Premium] 通过 Threat Defense Feed 实时更新防火墙规则和恶意软件签名（免费版延迟 30 天）。
[Premium] 实时 IP 阻止列表阻止来自最恶意 IP 的所有请求，在减少负载的同时保护您的站点。
在端点保护您的站点，实现与 WordPress 的深度集成。与云替代方案不同，它不会破坏加密、无法绕过且不会泄露数据。
集成的恶意软件扫描程序会阻止包含恶意代码或内容的请求。
通过限制登录尝试来防止暴力攻击。

WORDPRESS安全扫描器
恶意软件扫描程序检查核心文件、主题和插件是否存在恶意软件、不良 URL、后门、SEO 垃圾邮件、恶意重定向和代码注入。
通过 Threat Defense Feed 实时更新恶意软件签名。
将您的核心文件、主题和插件与 WordPress.org 存储库中的内容进行比较，检查它们的完整性并向您报告任何更改。
通过用原始的原始版本覆盖它们来修复已更改的文件。删除任何不属于 Wordfence 界面的文件。
检查您的站点是否存在已知的安全漏洞并提醒您任何问题。当插件被关闭或放弃时，还会提醒您潜在的安全问题。
通过扫描文件内容、帖子和评论中的危险 URL 和可疑内容来检查您的内容安全。
检查您的网站或 IP 是否因恶意活动、生成垃圾邮件或其他安全问题而被列入黑名单。

登录安全
双因素身份验证 (2FA)，一种最安全的远程系统身份验证形式，可通过任何基于 TOTP 的身份验证器应用程序或服务获得。
登录页面 CAPTCHA 阻止机器人登录。
禁用或添加 2FA 到 XML-RPC。
使用已知的泄露密码阻止管理员登录。

WORDFENCE中心
Wordfence Central 是一种在一个地方管理多个站点的安全性的强大而有效的方法。
在一个视图中有效地评估您所有网站的安全状态。无需离开 Wordfence Central 即可查看详细的安全发现。
强大的模板使配置 Wordfence 变得轻而易举。
高度可配置的警报可以通过电子邮件、SMS 或 Slack 传递。通过利用严重性级别选项和每日摘要选项来提高信噪比。
跟踪重要的安全事件并发出警报，包括管理员登录、密码泄露使用和攻击活动激增。
免费用于无限的网站。

安全工具
使用实时流量，实时监控其他分析包中未显示的访问和黑客尝试；包括来源、他们的 IP 地址、一天中的时间和在您的网站上花费的时间。
通过 IP 阻止攻击者或基于 IP 范围、主机名、用户代理和引用者构建高级规则。
Wordfence Premium 提供国家/地区阻止功能。

注意：在儀錶板等地方會顯示類似下圖內容，提示目前版本為免費版本，進階功能不可用。忽略就行，所有進階功能正常使用沒有影響。如果在意請勿購買！有個用戶故意找碴說顯示下圖內容，非要我們處理好。解釋很久對方還是不懂，直接退款拉黑。

這是GPL版本插件，所以這個地方顯示這樣，功能都正常使用，不需要在意這個提示。那個用戶應該是把插件轉賣或用在別人網站，拿破解版當正版宣傳，他客戶找他麻煩，他就來我這裡找茬。要百分百完美，請去wordfence官網購買官方版本。

什麼是GPL插件

此外掛屬於GPL授權產品，安全合法。點擊了解什麼是GPL協議，點擊了解WordPress官網關於GPL的說明。簡單的說採用GPL協定的外掛程式/主題原始碼開源共享，可以合法地自由更改、使用、分發。

本商品標題提及的外掛程式/主題所屬公司和我們沒有任何關係，該公司也沒有授權其產品或品牌給我們。本商品是標題提及外掛程式/主題的發行版本，由第三方公司/開發者製作，並由我們根據通用公共授權(GPL) 條款重新分發。

我們使用該外掛程式/主題名字目的僅為明確本GPL商品所基於的外掛程式/主題，旨在幫助使用者更了解我們這個產品的功能及可能的應用場景，絕無冒充或誤導之意。本商品的銷售遵循並尊重GPL 授權協議的所有條款，確保使用者了解他們取得的是基於開源授權的外掛程式/主題分發版本。允許他們查看、修改和重新分發軟體，以促進軟體的自由使用和發展。

插件安全性

直接從國外正規管道購買，不修改原始碼。所有插件我們自用建站，在多個站點使用過，安全、穩定、可靠。擔心插件不安全？查看《WordPress破解版外掛/主題(綠版, GPL, Nulled) 安全嗎？ 》。

1. 透過Virustotal防毒驗證；
2. 透過Wordfence原始碼審核；
3. 透過Sucuri安全防毒掃描。

Wordfence更新方法/记录

此插件能在后台在线更新，有新版本时直接点击更新升级。

點選查看該插件更新記錄(Changelog)

Wordfence下载(Premium)购买条款

本站插件購自國外網站，購買價格為4.99美金/個，有效期限2年。迪亞莫賣價格為19元人民幣/個，花費巨大精力製作了使用教程還提供人工答疑服務，絕對物超所值。外掛僅供學習交流研究使用，虛擬產品具有可複製性，一經售出概不退款，詳情請移步服務條款。

迪亞莫為購買用戶提供售後服務，插件使用過程有任何疑問請在下方評論留言，有問必答。

Wordfence安装/ 启用方法

因为可以在线更新，所以我们没有上传最新版本安装包。请安装完插件后先禁用，然后启用，会提示更新版本。在线更新插件后再配置防火墙。

如果安装了免费版本，需要先解除安裝免费版本，清理所有缓存。同时使用免费版本和高级版本会提示下图内容，只安装这里购买的版本就行。

直接上传安装包安装，启用插件，然后再禁用插件，刷新页面会提示更新，点更新后，最后启用插件就行。设置教程和常见问题看下方教程。

2025.04.03更新：WordFence官方现在要求需要注册账号绑定才能使用插件，无论免费还是付费版本都是，所以安装插件后会提示下图内容。先点击下图右上角“RESUME INSTALLTION”。如果没显示，不用点击。

然后出现下图提示，点击“GET YOUR WORDFENCE LICENSE”按钮，跳转到官网。

点击下图蓝色按钮。

会弹出下图窗口，点击“I'm OK waiting 30 days for protection from new threats” 。这个才是获取免费证书！

输入邮箱，选No，勾选同意条款，点击蓝色按钮，会发生邮件到你邮箱。没看到邮件？去垃圾邮箱找找。

会收到下图内容的邮件，点击蓝色按钮↓。

会自动跳转到网站，自动输入许可证，点击“安装许可证”。

显示下图内容，点击“前往仪表盘”。

显示高级版本已经启用。

安裝方法1：上傳安裝

在網站後台左側選單欄找到並且點擊“插件”>“安裝插件”，然後點擊左上角的“上傳插件”，上傳下載好的zip安裝包點擊“立即安裝”，安裝好後點擊“啟用插件”完成安裝。

安裝方法2：FTP安裝

解壓縮插件壓縮包，將解壓縮獲得的資料夾上傳至plugins目錄（xxx.com/wp-content/plugins）。
在網站後台左側選單欄找到並點擊“插件”>“已安裝插件”，在插件清單中找到該插件，點擊“啟用”。

可線上更新，直接後台更新就行。

Wordfence Premium如何启用、配置防火墙

安装插件后网站顶部会出现下图中提示，需要配置后防火墙才能启用。点击“点击这里配置”按钮。

方法1

数字1那里会自动根据服务器情况选好相应类型，不用管。依次点击数字2，3步骤操作。

一般情况下会提示安装成功，清理缓存刷新后完成防火墙启用。

如果安装失败提示下面内容，是因为.user.ini文件权限被锁定，导致写不进内容。

有2個方法可以解決這個問題，1是手動編輯.user.ini檔案新增內容，2是使用SSH登陸後解除.user.ini檔案寫入限制(2個方法選1個就行，建議選手動編輯)，然後回到網站後台按Wordfence插件提示再啟用一次防火牆即可。

手动编辑.user.ini(推薦)：

通过管理面板或者FTP进入网站根目录，找到并且打开编辑.user.ini文件。默认情况下只有下图所示一行内容。

把下面3行程式碼複製下來，把xxx.com改成你.user.ini檔案上圖黃色框中的網址，然後把3行程式碼貼到.user.ini裡面，點保存修改。

; Wordfence WAF
auto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'
; END Wordfence WAF

下图是粘贴3行代码后的样子↓。

回到插件設定儀表板介面，刷新頁面，此時防火牆已經100%啟用，防火牆防護已經啟用。刷新後沒有啟用的話是快取導致，清理所有快取刷新。

SSH解除.user.ini写入限制(不推荐，安全性降低)：

使用SSH登录，直接输入下面内容按enter回车键即可解除限制。

把xxx.com改成你站点的域名。

chattr -i /www/wwwroot/xxx.com/.user.ini

这是粘贴后的样子

这是按回车键后的样子

最后去宝塔面板，进入站点根目录文件夹，找到.user.ini文件 ，點“權限” 。勾选全部权限，点“确定”。

此时再按上面教程重新启用防火墙会提示安装成功↓。

刷新網站緩存，再刷新頁面，儀錶板顯示防火牆已經100%啟用。

注意：一定要回去宝塔面板，按下图把.user.ini文件权限改回去，改成644，有时网站可能修改不成功，忽略。

方法2(不推荐，安全性降低)

注意：这个方法主要适合共享(托管)服务器或者只有一个网站的VPS服务器。如果VPS服务器存放了多个网站需要把其它网站的“防跨站攻击”关闭(会降低网站安全性)，不然的话其它网站无法打开。建议还是采用方法1安装。

如果是共享(托管)服务器，按上图操作后应该自动激活了。如果是VPS Nginx会提示安装 auto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'

以宝塔面板为例，在PHP管理里面 > “配置文件”，大概在698行左右找到“auto_prepend_file =”这个内容，在后面补上界面提示的代码'/www/wwwroot/xxx.com/wordfence-waf.php' （这代码只是示例别直接复制粘贴！），然后刷新宝塔面板内存，回到网站后台刷新页面缓存，高级防火墙已经启用（显示100%）。

開啟2FA安全登入驗證

2FA是双重因素验证，登录时需要输入验证码（无需翻墙），功能类似于银行U盾或者电子密码器。建议开启2FA安全登录验证，大大提高安全性。

点击后台左侧Wordfence里面的“Login Security”，再点击顶部的"Settings"。这里设置什么角色可以启用2FA安全登录验证，可选是强制开启登录认证还是自由开启（Optional）。一般只有自己公司后台管理员之类才开启安全登录，客户之类不建议开启。

点击勾选下图功能，点“SAVE”保存。这样在新设备第一次登录需要验证，往后30天无需验证。

点击顶部的“Two-Factor Authentication”进入绑定验证器界面。手机先去谷歌Paly或者苹果Store下载谷歌身份验证器软件（下图），如果打不开谷歌商店点击这个链接下载安卓APK安装包。

回到Wordfence的“Two-Factor Authentication”界面（下图）。打开刚安装的谷歌验证器软件，点击软件右下角那个彩色的圆形＋号，选择“扫描二维码”，扫码Wordfence界面中的二维码完成网站绑定。此时谷歌验证器会显示一行信息：Wordfence(xxx.com)，（可能需要先点击“Click to reveal PIN”）会显示一个6位数验证码，输入下图红色框中“ACTIVE”。

会提示下载恢复密匙，点击下载后完成绑定。恢复密匙作为备用方案可以在没有验证码的情况下登录网站，妥善保管。

下次登录后台时会提示输入2FA Code，打开手机验证器软件，输入软件里面的6位数字点“Log In”登录。勾选“Remember for 30 days” 30天内在同一个设备登录不需要输入验证码。

Wordfence设置、使用教程

设置方法点击查看Wordfence设置教程。

如果扫描提示下图内容，点击展开详情。

官方原始檔裡面不存在下圖中的紅色程式碼，所以提示有毒。那是移除license key驗證程式碼，不是病毒，點忽略就好。不放心可以把程式碼複製放到免費Kimi AI工具問下是否有毒。

常见问题 & 解决方法

提示掃描失敗

很多时候扫描失败提示下面文字错误，是因为服务器卡顿，资源不足无法支持扫描。解决好服务器问题后继续扫描即可。

2024.08.30更新：今天插件更新版本，提升了掃描效能，降低30%伺服器負擔，可靠。

"There was an error connecting to the Wordfence scanning servers: cURL error 28: Resolving timed out after 10001 milliseconds"

常见问题1：如果扫描过程自动暂停并且提示下图内容，一般是因为服务器忙扫描超时。

解决方法：
1- 在宝塔面板把PHP设置>配置修改的max_execution_time改为1000或更多；

2- 在网站根目录的wp-config.php 添加下面代码后保存文件。

define('WORDFENCE_SCAN_FAILURE_THRESHOLD', 600);

3- 在Wordfence插件>“扫描”>“扫描选项和计划”（中间位置右边），扫描等级选“高灵敏度”。找到“性能选项”设置，把最大执行时间改为25。如果服务器配置很低很卡就勾选“使用低资源扫描”，不然的话别勾选。

操作完上面3步刷新页面点重新扫描应该恢复正常。如果还是扫描失败，应该是服务器卡，配置低于1H2G或者太多页面之类。修改“扫描选项和计划”，取消勾选下面内容减少扫描量试下。

如果扫描过程自动暂停并且提示下图内容，是innodb_log_file_size过小导致(默认为5M)。

进入宝塔面板 > “MySQL” >“配置修改” > 大概51行位置，把 innodb_log_file_size的值改为30M。保存后重启数据库。刷新页面重新扫描恢复正常。

無法儲存文件、產品、關鍵字

如果遇到無法儲存文章、產品、新增的關鍵字或某些外掛程式設定等，可能是被安全插件攔截，開啟學習模式解決問題。點選Wordfence > “防火牆”。下圖紅色框提示「阻止複雜的攻擊」證明不是處於學習模式，點選「管理WAF」。

选择学习模式，勾选自动启用，选择一个自动启用日期。点右上角“保存更改”。

回到防火墙，显示“目前处于学习模式”

掃碼結果提示有問題

掃描後可能會發現很多標記黃色的問題（下圖），表示插件的某些文件的代碼跟源文件的有差異，可是處於安全範圍內，大部分情況下可以直接點擊“总是忽略”，建议查看代码差异后根据情况操作。

造成这个现象一般是更新了插件/主题，最新版代码跟上个版本的代码有点差异。还有一个原因是使用了GPL或者破解版的插件，源文件被写入license key 激活或者添加一些代码屏蔽验证步骤之类。

点击“查看差异”可以查看有差异的代码。

例如下图是文件差异对比，左边是源文件，右边是新文件，红色背景部分表示新文件比源文件少了一些代码。从下图可以看出新文件少了几行CSS代码（9-23行）。css代码不影响安全性之类，可点击“总是忽略」。

下图橙色背景部分表示GPL插件新文件跟源文件的代码有部分差异，新文件添加了“PAID CURRENT”绕过插件激活验证，文件是安全的，可点击“总是忽略」。

下图绿色背景部分表示新文件比源文件新增的代码，代码的意思是密匙key 365天后过期，也是为了绕过插件激活验证，文件是安全的，可点击“总是忽略」。

如果提示的问题是是红色圆圈，很大概率被挂马，需要删除/恢复文件。具体情况要看哪个文件出问题，被添加了什么代码。如果是readme之类文件直接删除，如果是index.php, login.php之类文件被挂马直接下载一个全新的wordpress安装包解压出来，把里面的相应文件粘贴覆盖掉被挂马文件，同时清理所有缓存。

訪問頁面被攔截

如果出現下面圖情況，是被防火牆誤判攔截。直接打勾“I am certain this is a false positive”， 再點擊“Allowlist This Action”，最後刷新頁面即可恢復正常。

如果出现下图情况，直接刷新页面一般会恢复正常。刷新不行的话按下图步骤输入网站绑定的邮箱，点击发送解封邮件。查收邮件点击里面链接解封IP。如果你网站发信功能异常，将不会收到邮箱，通过FTP或者宝面板把插件禁用，登录后台后再启用即可。

建议把常用IP地址加入wordfence防火墙白名单避免被误拦截。

掃描超時、經常提示插件需要更新

一般服务器配置卡或者卡顿会导致资源不够扫描暂停或者失败，解决服务器卡顿问题是关键，同时优化下扫描任务减少压力。

点击“扫描”↓

点击“扫描选项和计划”↓

选择“标准扫描”↓

下面2个↓不要勾选，扫描压力小点，插件新版本代码不一样不会提示。不要随便安装不知来源插件！

不要勾选↓，有插件/主题更新Wordfence不会提示(后台还是会提示)。有新插件要及时更新！

勾选↓，安全性大大提高。

勾选↓，降低服务器压力。

修改参数↓

点右上角保存更改。

提示“Wordfence Web應用防火牆的最後一次規則更新不成功...”

如果提示下圖內容：“Wordfence Web應用防火牆的最後一次規則更新不成功...”，點擊“Manually Update”。

点击“手动刷新规则”↓。

提示更新成功↓。

如果想一勞永逸解決問題，看這個解決方法教程，按客服說的操作就行。

Google索引收錄/?wordfence前綴無用頁面

產生許多下圖中網址帶/?wordfence前綴的無用頁面，並且被GoogleGoogle Search Console收錄。

解決方法：在robots.txt檔案中新增一行：不允許：/*/?wordfence* 就可禁止爬蟲爬取對應頁面。

Audit Log(稽核日誌)無法使用

2024.11.05新版新增Audit Log功能，需要連結WordFence官方伺服器(註冊帳號驗證license)使用，因為我們販售的是GPL版本非官方正式版，所以無法連結使用此功能。建議按下圖設定為「停用」。

這個功能的作用是竄改一些核心檔案的時候會攔截，如果想用這個功能，去買官方正式版本。

在下圖位置可以關閉「稽核日誌」。

提示更新了政策，點選按鈕沒反應

點選下圖按鈕沒反應，一直卡在這個頁面。是因為寶塔> “網站” > “Nginx安全請求頭” 裡面啟用“讓瀏覽器加載內容時只加載自己網站的內容”，關閉就行。

提示安裝不完整，點選「恢復安裝」提示要輸入License

object-cache.php檔案被錯誤放在網站根目錄，就會出現這個問題，刪掉根目錄object-cache.php檔案就行。出現這個問題一般是搬遷網站之後，選擇檔案復原目錄時把wp-content資料夾錯選為根目錄。

外观>菜单无法添加内容，无法展开文章产品类目

先禁用WordFence插件，弄好菜单再启用。

网站被黑案例分享

案例1：
一个访客刚在迪亚莫这里购买了Wordfence插件，一直问我是否安全、有没有后门之类，直觉告诉我他有故事。聊开发现他网站刚被黑瘫痪中，想购买我们Wordfence插件拯救，担心我们插件不安全。

如果他以前一开始就购买这个插件，大概率不会发生被黑事件。

案例2：
分享曾经一个建站客户网站被挂马出现Malicious Redirects的案例，仅供大家参考。一个2C客户网站被挂马，打开后台登录页面和前台所有页面会自动跳转到下图网站。无法登陆后台，打不开页面，同服务器另外2个网站也受牵连。

后台登陆功能由wp-login.php文件控制，登录不上去就去查看这个文件源码，发现被添加了十多行恶意代码。从健康站点复制wp-login.php过来覆盖掉，登录页面恢复正常。

首页由wp-index.php文件控制， 查看源码发现也被挂马，从健康站点复制wp-index.php文件过来覆盖掉，页面正常打开不再跳转。

使用WordFence插件扫描整站，提示wp-load.php有病毒，对比源文件发现第107行开始被添加了恶意代码，删掉全部异常代码。
提示wp-content/plugins/wordfence/readme.md有病毒，查看最新插件安装包源文件发现不存在这个文件，而且readme.md文件一般是说明性文件不具备功能可删掉，所以直接删除。

处理完威胁后再用Wordfence扫描整站，提示Wp Rocket缓存文件有病毒，应该是定期更新缓存时缓存了有毒文件。直接进入宝塔面板把整个缓存文件夹删掉，让缓存插件重新缓存。

再用WordFence扫描整站，提示安全，威胁解除。马上修改后台登录地址、登录用户名、密码。

复盘这次事件应该是客户其中一个网站的登录账号和密码太简单被破解导致。客户当初找别人搭建WP后台，自己搞前端页面。别人随便给他设置了一个4个数字的管理员登录名，密码也很简单，还没安装防火墙插件，安全性非常低。

這件事也不能怪第三方，他只負責安裝後台自然不會主動安裝防火牆之類。隨便弄個簡單管理員帳號只是為了讓客戶登入後台，按理來說客戶應該新建帳號刪掉舊帳號。客戶自己前端搞不定才找我們搭建，我們也不想多管閒事就沒理其它內容。

网站被黑后我们免费帮客户清理病毒，设置新账户，安装wordfence防火墙插件。也算吃一堑长一智，以后遇到这种事情先建议客户把安全性提高，虽然出安全问题不是我们的过错可还是要我们处理，干脆一开始弄好。

不建議小白自己搭建網站原因之一就在這裡，使用WP搭建一個網站很簡單，可是要各方面做到位需要豐富經驗。安全方面安裝設定好Wordfence外掛基本上就OK了。

網路上很多掃描器自動掃描網站漏洞，枚舉登入後台之類，然後掛挖礦程式或木馬跳到賭博/病毒網站。後台登入位址一定要修改不能使用預設位址，使用者名稱和密碼盡量設複雜點。安裝WordFence安全外掛程式可以大大增強網站安全性，還能增加2FA安全登入驗證。

WordPress 很多插件经常被曝出有重大安全漏洞，就连知名的Elementor插件也被几次曝出有严重安全漏洞，官方紧急发布新版本修复。尽量安装知名度比较高的插件/主题，代码一般比较规范，背后团队实力可靠。插件、主题一定要及时更新到最新版本。

如果使用破解版/GPL外掛和主題，一定要先殺毒並且在可靠管道購買。詳情請見《破解版外掛程式/主題(GPL版本)安全嗎？啥缺點？哪裡買可靠？》