WordPress被黑？5分钟搞定网站安全插件All In One WP Security设置

WordPress被黑？5分钟搞定网站安全插件All In One WP Security & Firewall 设置，做为一个站长，当你使用WordPress建立你的网站后，安全问题就得重视了，在本站之前的文章中有介绍过安全插件，今天就详细的介绍一下All In One WP Security设置方法。

All In One WP Security视频教程

WordPress安全插件All In One WP Security视频教程

WordPress被黑

如果你从上网上赚钱的活，通过网站运营来赚钱，尤其要注意网站安全防护是非常重要的，避免WordPress被黑给你造成不必要的麻烦，在平时的运营中，除了注意时常备份之外，还得为你的网站安装一个趁手好使的网站安全插件，当然功能全面又免费的最好了。

有些朋友熟悉WordPress网站安全防护，可能使用过以下的2款网站安全插件：

1. Wordfence
2. iThemes Security

这2个插件有个问题就是连最基本的导出导入设定功能，都要付费专业版功能，才能使用！

好用WordPress安全插件推荐

本站去年介绍过这款插件，只是一个初步的介绍，感兴趣的朋友可以看这篇最好用的WordPress安全插件推荐文章，这款插件名称叫：

1. All In One WP Security & Firewall

优点就是免费，好用，你在后台安装好后，就可以直接开始网站防护设置。

最重要的是，可以免费使用导入导出设定的功能 

想要设定 All In One WP Security & Firewall 插件的导入导出功能，请点击WP安全的选项 “设置”  

以下是该插件提供的WordPress安全防护和防火墙功能列表：

用户帐户安全

• 检测是否存在具有默认“admin”用户名的用户帐户，并轻松将用户名更改为您选择的值。
• 该插件还将检测您是否有任何WordPress用户帐户具有相同的登录名和显示名称。考虑到显示名称与登录名相同的地方是不好的安全做法，因为你已经知道登录名了。
• 密码强度工具，使您可以创建非常强大的密码。
• 停止用户页面。所以用户/机器人不能通过作者永久链接发现用户信息。

用户登录安全

• 使用登录锁定功能防止“强力登录攻击”。具有特定IP地址或范围的用户将根据配置设置被锁定在系统外一段预定的时间，并且您也可以选择通过电子邮件通知，由于登录尝试过多而被锁定的人员。
• 作为管理员，您可以查看所有被锁定的用户列表，这些列表显示在易于阅读和导航的表格中，也可以通过单击按钮来解锁单个或批量IP地址。
• 在可配置的时间段之后强制注销所有用户
• 监视/查看失败的登录尝试，显示用户的IP地址，用户名/用户名和失败的登录尝试的日期/时间
• 通过跟踪用户名，IP地址，登录日期/时间和注销日期/时间，监控/查看系统上所有用户帐户的帐户活动。
• 能够自动锁定尝试使用无效用户名登录的IP地址范围。
• 能够查看当前登录到您的网站的所有用户的列表。
• 允许您在特定的白名单中指定一个或多个IP地址。列入白名单的IP地址将可以访问您的WP登录页面。
• 将验证码添加到WordPress登录表单。
• 添加验证码到您的WP登录系统的忘记密码表单。

用户注册安全

• 启用WordPress用户帐户的手动审批。如果您的网站允许用户通过WordPress注册表创建自己的帐户，那么您可以通过手动批准每个注册来最大限度地减少垃圾邮件或伪造注册。
• 能够将验证码添加到WordPress的用户注册页面，以防止垃圾邮件用户注册。
• 能够将WordPress添加到WordPress的用户注册表单中，以减少机器人的注册尝试。

数据库安全

• 轻轻点击一个按钮，即可将默认的WP前缀设置为您所选择的值。
• 安排自动备份和电子邮件通知，或者只要点击一下即可进行即时数据库备份。

文件系统安全

• 识别具有不安全权限设置的文件或文件夹，并通过单击按钮将权限设置为推荐安全值。
• 通过从WordPress管理区域禁用文件编辑保护您的PHP代码。
• 从单一菜单页面轻松查看和监控所有主机系统日志，并随时了解服务器上发生的任何问题或问题，以便快速解决问题。
• 防止用户访问您的WordPress网站的readme.html，license.txt和wp-config-sample.php文件。

HTACCESS和WP-CONFIG.PHP文件备份和恢复

• 轻松备份您的原始.htaccess和wp-config.php文件，以防您需要使用它们来恢复损坏的功能。
• 只需点击几下，即可从管理控制面板修改当前活动的.htaccess或wp-config.php文件的内容

黑名单功能

• 禁止用户通过指定IP地址或使用通配符指定IP范围。
• 通过指定用户代理来禁止用户。

防火墙功能

如果你导入的是其它网站的设定，同时勾选了“Enable 404 IP Detection and Lockout（启用404 IP检测和锁定）”：

请务必在 “防火墙” 选项里，设置 “404 Lockout Redirect URL（404锁定重定向URL）”网址，不然会重定向到其它网站 ▼

这个插件允许您通过htaccess文件轻松地为您的网站添加大量的防火墙保护。在您网站上的任何其他代码运行之前，您的Web服务器会先运行htaccess文件。

因此，这些防火墙规则将阻止恶意脚本，以免有机会到达您网站上的WordPress代码。

• 访问控制设施。
• 立即激活一系列从基本，中级和高级的防火墙设置。
• 启用着名的“5G黑名单”防火墙规则。
• 禁止代理评论发布。
• 阻止访问调试日志文件。
• 禁用跟踪和跟踪。
• 拒绝恶意或恶意的查询字符串。
• 通过激活全面的高级字符串过滤器来防止跨站点脚本（XSS）。
  或者在浏览器中没有特殊cookie的恶意机器人。您（网站管理员）将知道如何设置这个特殊的cookie，并能够登录到您的网站。
• WordPress PingBack漏洞保护功能。此防火墙功能允许用户禁止访问xmlrpc.php文件，以防止pingback功能中的某些漏洞。这也有助于阻止漫游器不断访问xmlrpc.php文件并浪费您的服务器资源。
• 能够阻止虚假的Googlebots抓取您的网站。
• 能够防止图像盗链。使用这个来防止他人盗链你的图片。
• 能够记录您网站上的所有404个事件。您也可以选择自动阻止太多404的IP地址。
• 能够添加自定义规则来阻止访问您的网站的各种资源。

蛮力登录攻击预防

• 通过我们特殊的基于Cookie的暴力登录预防功能即时阻止暴力登录攻击。此防火墙功能将阻止所有来自人类和机器人的登录尝试。
• 能够添加一个简单的数学验证码到WordPress的登录表单来抵御暴力登录攻击。
• 能够隐藏管理登录页面。重命名你的WordPress登录页面的URL，以便机器人和黑客无法访问你真正的WordPress登录URL。该功能允许您将默认登录页面（wp-login.php）更改为您配置的内容。
• 能够使用登录蜜罐，这将有助于减少机器人的蛮力登录尝试。

WHOIS查询

• 执行可疑主机或IP地址的WHOI查询并获取完整详细信息。

安全扫描器

• 文件更改检测扫描程序可以提醒您，如果您的WordPress系统中有任何文件已经改变。然后，您可以调查，看看这是一个合法的变化，或者一些错误的代码被注入。
• 数据库扫描器功能可用于扫描数据库表。它会查找任何常见的可疑字符串，JavaScript和一些WordPress核心表中的html代码。

评论垃圾邮件安全

• 监控持续产生最多垃圾评论的最活跃的IP地址，并立即通过单击按钮来阻止它们。
• 如果评论不是来源于您的域名，则可以阻止提交评论（这会减少您网站上的某些垃圾评论发布）。
• 添加一个验证码到你的WordPress评论表格，以增加对评论垃圾邮件的安全性。
• 自动和永久阻止超过了一定数量的标记为垃圾评论的IP地址。

前端文本复制保护

• 能够为您的前端禁用右键单击，文本选择和复制选项。

定期更新和增加新的安全功能

• WordPress的安全是随着时间的推移而发展的。插件作者将定期更新All In One WP安全插件，并提供新的安全功能（如果需要，还会进行修复），以便您放心，让您的站点将处于安全防护技术的前沿。

适用于最流行的WordPress插件

• 它应该与最流行的WordPress插件顺利工作。

附加功能

• 能够从您的网站的HTML源代码中删除WordPress生成器元信息。
• 能够从JS和CSS文件中删除WordPress版本信息包括您的网站。
• 能够阻止人们访问readme.html，license.txt和wp-config-sample.php文件
• 在执行各种后端任务（调查安全性攻击，执行站点升级，执行维护工作等）时，能够暂时锁定站点的前端和普通访问者。
• 能够导出/导入安全设置。
• 防止其他网站通过框架或iframe显示您的内容。

常见问题

问1：我启用了这个安全插件各种防火墙功能，但现在我被锁定在我的网站之外。我如何解决它？ 问2：我启用了维护模式，现在我被锁定在我的网站之外。我该怎么办？ 问3：我有一个WordPress多站点（WPMS）安装。我没有看到我的子网站上的这个插件的一些菜单。这是为什么？ 问4：如何删除All In One WordPress Security and Firewall 插件答4：在WP后台，点击“插件”，在插件列表里找到 “All In One WP Security” ，点击 “删除” 即可。

提示服务暂时无法使用

错误︰ 出于安全考虑，您的IP地址的访问权限已被阻止。 请与管理员联系。

如果登录网站时，出现以上 “服务暂时无法使用” 的提示消息，说明你的IP地址访问受到了限制。

请尝试通过FTP重命名该插件，取消激活插件后，应该可以登录。

如果FTP重命名该插件，还是无法登录：

1. 请确保你的所有其他插件已停用。
2. 然后安装新的副本并启用插件，但不要重新插入规则。
3. 然后开始启用您的网站所需的功能。

为了避免网站被黑，强烈建议为你的网站安装一个安全插件吧，抢建All In One WP Security & Firewall！