如果说在外贸建站过程中还有什么事情比内容原创还重要的话,那么Jack老师认为应该只有网站的安全防护工作了。这就好比你辛辛苦苦赚钱娶了个漂亮老婆,结果却一不小心被隔壁老王挖了墙角,除了感叹女人心不可信,也要审视一下自己的问题。潘金莲和西门庆鬼混,武大郎本身也是有问题的。
当你历经千辛万苦,不断的在网站的方方面面进行了修改和优化,终于看见了黎明的曙光,但是请你警惕,此刻你和你的网站还没有沐浴阳光,身与心还处在黎明前的那一刻最黑暗。所以你需要为自己的网站做好足够的安全防护,比方说安装一个叫做wordfence的安全防护插件。
一.wordfence插件简介
Wordfences是专门为保护WordPress而构建的端点防火墙和恶意软件扫描程序。wordfence的威胁防御源为Wordfence提供了最新的防火墙规则,恶意软件签名和恶意IP地址,以保护建站人员的网站安全。通过2FA和一整套附加功能使得Wordfence成为了最全面的WordPress安全解决方案之一。这一段话比较拗口,大概的意思就是说:wordfence很牛逼,wordpress网站用它就很安全!
wordfence的强大在于它提供了6大方面的wordpress网站安全防护保障,分别是“密码泄露保护”、“实时流量监控”、“高级恶意IP阻断”、“国家或地区级IP防护”、“核心源文件恢复”和“暴力攻击防护”。
二.wordfence插件安装
如上图所示,在wordpress网站后台的插件菜单中,选择“安装插件”,在右上角箭头标示的地方输入关键词“wordfence”,这时候就会跳出上图的界面,然后点击左边的“现在安装”按钮,安装完成后点击“启用”按钮即可
启用该插件之后,wordfence会让你先填写一个联系邮箱,以便当你网站发生安全事故或者存在安全隐患的情况下,wordfence能够第一时间通知到你,让你能够及时的知道自己的网站发生了什么样的安全问题。
三.wordfence的相关设置与操作
wordfene提供了6个方面的相关操作与设置,分别是“仪表盘”、“防火墙功能”、“扫描”、“工具”、“登录安全”和“所有选项”。我们逐一来了解一下
1.wordfence的仪表功能
仪表盘功能没有太大的实际功能和一样,基本是对之前提到的6大功能板块的基础显示和连接入口。鉴于目前我们网站安装的wordfence是免费的版本,wordfence在仪表盘这个页面提供了一个升级到付费版本的入口,土豪请随意,一般情况下普通版本的wordfence也够我们用了。
2.wordfence的防火墙功能
注意:当你首次安装Wordfence Web应用程序防火墙时,它将处于学习模式。这使Wordfence可以更好的了解你的网站,以便wordfence了解如何保护它以及如何允许普通访问者通过防火墙。一般情况下建议在启用防火墙之前先让Wordfence学习一周。
一周时间之后,点击上图中最左边的“web应用程序防火墙状态”,这里面有三个选项,“启用和保护”、“学习方式”和“残障人士”。先来解释一下这三者之间的区别。
“启用和保护”:在这种模式下,Wordfence Web应用防火墙正在主动阻止与已知攻击模式匹配的请求,并在主动保护你的网站免受攻击者的侵害
“学习方式”:在这种模式下,Wordfence可以先了解你的网站,以便它了解如何保护网站以及如何允许普通访问者通过防火墙
“残障人士”:在此模式下,Wordfence Web应用程序防火墙在功能上已关闭,并且不运行其任何规则或以任何方式分析请求。
在进阶的防火墙设置现象中,有很多扩展功能,如上图所示
左边第一个“将IP和国家/地区阻止延迟到wordpress和插件加载完成之后”指的是为了预防恶意IP的非法侵入,只有当wordfence安全插件加载完成并开始工作后,对访问的IP和某些国家与地区IP检测无害后才放行网站内容。当然了,因为某些特定对象我们知道他们不会对我们的网站进行有害操作,所以可以将这些特定对象的访问IP作为白名单添加到白名单列表中。
默认情况下,以下名单中的对象是wordfence认为安全无害的,建议勾选并开启相关服务:“Sucuri”、“Facebook”、“Uptime Robot”、“StatusCake”、“ManageWP”和“Seznam Search Engine”。
在”立即阻止访问这些url的IP”:如果你发现攻击者反复对你的网站进行探知一个已知漏洞,则可以使用此方法立即将其阻止。所有URL必须以“ /”开头,且不带引号,并且必须是相对URL。例如/badURLone/、/bannedPage.html、/dont-access/this/URL/、/starts/with-*。比方说有人恶意访问你的登录页面,试图破解你的登录账户密码,这时候你输入/wp-admin/即可。
“Wordfence Web应用程序防火墙警报的IP地址被忽略”:该功能指的是某些IP可能会引发wordfence插件的防火墙警报,但事实上这些IP是没有问题的,所以将这些IP添加到名单中后,wordfence就会放过这些IP,也不会在安全警报提示邮件中进行记录。
“启用暴力防护”:指的是开启该功能后可以实施密码和无效的登录限制保护。
“几次登录失败后锁定”:指的是在登录页面,登录者尝试暴力登录wordfence开启功能防护的失败登录次数,默认值是20次,当然可以设置为3-5次
“尝试忘记密码的次数后锁定”:指的是登陆者点击忘记登录密码进行二次登录wordfence开启功能防护的失败登录次数默认值是20次,当然你也可以设置为3-5次
“计算登录失败次数的时间范围”:当登录者第一次登录失败开始,到触发wordfence登录保护功能开启的时间范围,比方说你设置的时间范围是1小时,那么在这1小时内,如果登录失败3次,wordfence是不会开启防护功能的
“用户被锁定的时间”:当登录失败触发wordfence防护功能,如果你设定的防护时间是1小时,那么在这1小时内你就无法再次进行登录尝试了。
“立即阻止尝试登录的用户IP”:当你明确某个IP不断的进行你的后台后台登录之后,你可以将这个IP添加到wordfence的黑名单中,这样就不存在登录失败次数和限制登录时间了,该IP用户永远无法进行登录。
“放置使用因数据泄露而泄露的密码”:这个解释起来有点麻烦,你直接选择开启该功能即可,在右边对应的地方选择作用对象为“管理员”或者“有发帖权限的用户”
这里的限速不是指网络速度,而是限制某些特定的访问方式的速度,当开启该防护功能之后,wordfence会启用所有阻止或者限制功能,包括IP、国家和地区和高级阻止条件。
1.“立即阻止假谷歌爬虫”:某些爬虫工具模仿谷歌蜘蛛的爬取方式,但是会把在你网站上爬取的内容输送会某个不是谷歌数据库的地方,从而获得你的一些隐私内容,所以对于这种假谷歌爬虫应该立即阻止。
2.“如果任何人的要求超过”:这里涉及到两个方面的变量设定,首先是访问速度,在右边的第一个下拉选框中你可以设置每分钟一次,然后在第二个下拉选框中设置“限制它”或者“阻止它”
下面的3-6功能选项的原理是一样的,根据自己的需求进行设定即可,如果有某个IP触发了上述的相关防护限制,那么可以在第7个功能选项中设置IP地址违反规则后会被阻止多长时间 (可以选择1分钟到1个月)
如果某些你的一些内容或者页面随便怎么访问都没关系,那么直接将这些内容或者页面的url添加到白名单中即可,这时候哪怕你开启了wordfence防护,用户在访问这些白名单的内容或者页面的时候,即使触发了防护规则,wordfence也不会对该用户进行处罚。
3.wordfence的网站扫描功能
当开启wordfence的扫描功能后,wordfence会逐一的对你网站的各种文件包括wordpress、建站主题和功能插件进行扫描。在上图中的最上面一行就是wordfence的扫描项目。其中前面三个“垃圾广告”、“垃圾邮件”、“黑名单检查”是付费版本的wordfence才有的功能,免费的基础套餐不提供对这三项的扫描服务。如上图所示,Jack老师的这个网站中“服务器状态”和“漏洞扫描”是存在一定的安全隐患的,这就需要我们进行深一步的排查很和确认。而“文件变更”、“恶意软件扫描”、“内容安全”、“公开档案”和“用户和选项审核”这几个扫描项目暂时还没有出现安全漏洞或者安全隐患。
上图的下半部分,是具体的扫描结果,从上图中我们知道,我的这个网站wordpress版本已经不是最新的了,需要及时更新;建站主题Astra也需要进行及时的版本升级。
4.wordfence的工具功能
在wordfence插件的工具菜单中,有四个子功能菜单,分别是“实时流量监测”、“whois查询”、“导入和导出选项”和“诊断程序”。上图就是实时流量监测的数据,其他有美国和荷兰的两个IP试图访问我的一些重要文件,特别是美国的这个试图访问我的登录文件。遇到这种情况,直接将它的IP:162.215.249.52添加到拒绝访问黑名单中即可。
因为在之前的实时流量监测功能中,我们查出了162.215.249.52这个IP试图访问我们的/wp-log.php文件,所以我们可以在上图的whois查询功能中摸摸这个IP的底(上图内容我只截图了一部分,实际内容比这图片上的要多)。但是我在whois的详细信息中并没有找到更多的有效信息,所以这里就直接选择阻止该网络的“NetRange”和“CIDR”即可。点击上图中的两个阻止按钮,页面会跳转到防火墙的IP阻止设置页面,我们再根据具体的要求进行设置即可。
导入导出功能主要是为了方便的不用再次对wordfence进行再次配置,这样的情况下,当你在A网站安装并设置好wordfence的相关功能数据后,直接用导出功能将wordfence的迁移令牌生成。然后在你的B网站wordfence插件的导入导出功能菜单中输入该迁移令牌代码即可。
上图是wordfence的诊断程序功能,包括但不仅限于“wordfence状态”、“文件系统”、“wordfence配置”、“wordfence防火墙”、“MYSQL”、“PHP环境”和“IP检测”等项目。点开每个诊断项目的右边小三角符号,就会跳出对应该项目的检测内容和状态(如上图中的红色小框)。该检测内容表示当前的wordfence版本是7.4.6,GeoIP版本是1580905384,Cron状态显示正常。如果这些检测项目都没问题就不用去管,重点关注一下报错或者与安全隐患的项目即可。
5.wordfence的登录安全功能
两步验证在实际应用中的例子很多,比方说支付宝可以设置为第一步在pc端输入账号和密码;第二步开始手机验证(当然支付宝涉及到账号安全,所采用的验证和安全防护功能更全面)。wordfence也支持两步验证来设置安全登录,首先需要用验证身份器APP来扫描上图左侧的二维码,以便让wordfence知道持有该设备的人有权限进行网站后台登录并为此创建一个专门账号。如果在无法使用验证身份器APP的情况下,可以用上图右边的5个验证代码(为了隐私安全,我把验证代码用红色块覆盖了)。但是在APP能够正常使用的情况下,可以用预设的6位数验证代码进行二次验证。
上图是wordfence对二次验证安全登录的具体账号设置。首先是需要开启二次验证的对象:管理员、编辑、作者、贡献值、订阅用户、顾客和店铺管理员。不嫌麻烦的话全部勾选即可。
“允许记住设备30天”:当某个管理员在1号的时候用过二次验证安全登录,那么在这个有的任何时候再次登录网站后台都不再需要进行二次验证,只需要在下一个月的1号再次进行二次验证即可。如果不勾选这个项目,那么每次登录都需要进行二次验证。
“需要2FA进行XML-RPC呼叫身份验证”:如果启用,则需要身份验证的XML-RPC调用也将需要在密码后附加有效的2FA代码。如果使用WordPress应用程序,Jetpack插件或其他需要XML-RPC的服务,则必须选择“跳过”选项,因为wofdfence会和jetpack插件的安全功能发生冲突。
当然你也可以直接想信任的IP添加到白名单中,比方说管理员的IP是108.213.5.106;虽然它是管理员身份,但是他的IP在白名单中,所以当这位管理员进行网站后台登录的时候就不会遇到二次验证的安全登录问题了。
6.wordfence的所有选项功能
wordfence的所有选项功能是对wordfence整体功能的一个集合,让网站管理员能够方便的找到各种类型的网站安全防护功能设置,主要分为5各类型,分别是“全局选项”、“防火墙选项”、“封锁选项”、“扫描选项”和“工具选项”。这个菜单功能实在太多,如果需要逐一的详细实操讲解,估计没有个5万字根本讲不完,所以留待同学们自己去探索吧(毕竟Jack老师是个能偷懒就偷懒的人)。
因为wordfence是实操性非常强的一款工具,所以在具体的操作过程中会遇到非常多的问题,这时候你可以到wordfence菜单中的“help”帮助菜单中进行相关问题的解决方案查找。如果实在不行就到它的官网去查看吧,点击此处查看wordfence官网
好了,以上就是本章关于外贸建站安全工具Wordfence的全部内容,