All in One WP安全和防火墙插件教程

安全性是运行WordPress网站的重要因素之一。幸运的是，有许多免费和付费服务可用于保护您的网站并防止黑客和恶意攻击。

在本文中，我们将讨论如何使用All in One WP Security & Firewall插件保护您的WordPress网站。

为什么All in One WP Security & Firewall插件？

有许多流行的安全插件可用，但“All in One WP Security & Firewall”是唯一一个完全免费提供大部分所需功能的插件。

• 该插件有超过400k的活动安装。
• 定期更新并与最新的WordPress版本兼容。
• 来自450多名用户的近5星评级。
• 论坛上体面的在线支持。

安装和激活插件

导航到WordPress管理仪表盘上的“插件 > 安装插件”部分，然后搜索“All in one WP Security”以找到插件。

查找All in One WP Security & Firewall插件

安装并激活插件后，它将创建一个名为“WP Security”的菜单项。它在不同类别下提供详尽的选项来保护您的WordPress网站。

• 仪表盘
• 设置
• 用户帐户
• 用户登录
• 用户注册
• 数据库安全
• 文件系统安全
• WHOIS查询
• 黑名单管理器
• 防火墙
• 蛮力
• 垃圾邮件预防
• 扫描器
• 维护
• 各种各样

这个怎么运作？

该插件适用于积分系统，并为每个安全设置提供积分。它总共增加了470分，并且更多的分增加了您的WordPress网站的安全性。通过启用复选框，只需单击鼠标即可启用大多数选项。您可以单击“更多信息”框以查看该选项的更多详细信息和示例。

启用任何选项之前的注意事项

尽管安全性很重要，并且该插件会试图增加强度计上的分数，但每个设置都可能对您网站的可读性产生不利影响。如果错误启用该选项，也有可能与其他插件发生冲突并锁定您自己的IP。强烈建议在启用任何安全设置之前准备以下内容：

• 备份整个站点和数据库。
• 由于插件在.htaccess文件中创建条目，备份.htaccess文件将有助于恢复原始设置。
• 备份wp-config.php文件。
• 确保您可以通过FTP访问您的托管服务器。这将有助于在紧急情况下替换文件。

总之，备份您的所有站点内容并仅启用您需要的安全选项。也建议在启用防火墙、用户注册审批等功能后验证网站的可访问性。

仪表盘

仪表盘显示指示站点安全点的强度计。这些点也显示在明细表中，指示选项之间的权重和分布。

All in One WP Security & Firewall插件仪表盘

您可以直接从仪表盘启用一些选项，例如维护模式、禁用“管理员”用户名、启用基本防火墙等。我们建议不要直接在仪表盘上启用任何设置。转到个人设置页面并仅在需要时启用。

以下是仪表盘选项卡上可用的其他详细信息：

• 系统信息——显示您的WordPress安装、PHP版本和活动插件详细信息的完整详细信息。
• 锁定的IP地址– 如果在“User Login”选项卡下启用该选项，则显示锁定的 IP 地址列表。
• 永久阻止列表– 显示因垃圾评论而永久拦截的IP地址列表。该选项可以在“SPAM Prevention > Comment SPAM IP Monitoring”下启用。
• AIOWPS日志– 您可以在此处查看插件的安全日志文件。

设置选项卡

“设置”选项卡提供备份和高级选项，例如导入/导出插件的所有设置。

AIOWPS设置选项卡

• 常规设置 – 在这里您可以一键禁用插件的所有安全功能和防火墙设置。当您的网站因插件设置而损坏时，这将是必需的。您还可以启用/禁用插件的调试选项。
• .htaccess文件– 如上面的预防措施部分所述，强烈建议在启用任何安全和防火墙设置之前备份.htaccess文件。您还可以从备份中恢复.htacess文件。
• wp-config.php文件– 类似于.htaccess文件，在此选项卡下您可以备份和恢复 wp-config.php 文件。
• WP版本信息– WordPress自动生成版本号并使用元标记在每个页面上显示。当您使用最新的WordPress版本时，显示版本号不是问题。但是，如果您没有更新到最新版本并使用任何旧版本，那么黑客可以通过查找版本号轻松定位您的网站。您可以在此选项卡下隐藏版本。
• 导入/导出– 导入或导出整个插件设置。

用户帐户

您在用户帐户部分有三个选项。

• WP用户名 – 在这里您可以将名称为“admin”的用户更改为所需的名称。
• 显示名称– 检查具有相同登录名和显示名称的用户列表。一般不建议使用相同的显示名和登录名，以免黑客猜测登录名。这不是一个重要的设置，因为只需检查文章作者就很容易找到登录名。
• 密码– 检查您的密码强度，仪表将显示黑客猜出您的密码需要多长时间。

用户登录

用户登录部分允许使用以下设置控制用户登录到您的站点：

AIOWPS插件用户登录设置

• 登录锁定– 在一定次数的不成功尝试后启用锁定用户。此功能有助于停止所有机器人并在某些用户 ID 被锁定时发送电子邮件通知。
• 登录失败记录– 查看失败的登录尝试以及IP地址和用户名。
• 强制注销– 启用此选项可在一定时间后强制注销所有用户。
• 帐户活动日志– 查看登录到您网站的最后50个用户ID的列表。
• 登录用户– 查看当前登录您网站的用户。

用户注册

在此部分下，您可以手动批准尝试在您的网站上注册的用户，并在默认的WordPress注册表单上添加验证码。当您有电子商务插件用于在您的网站上销售商品并进行用户注册时，启用此功能将阻止实际客户，因为他们将无法自动注册。因此，当您出于任何其他目的需要具有自动注册功能时，请勿启用此功能。

数据库安全

默认情况下，WordPress为所有数据库表添加前缀“wp_”。在此部分下，您可以将默认值更改为随机前缀，这将提高您网站的安全性。您还可以定期安排数据库备份和电子邮件备份。

据我们检查，电子邮件功能似乎不适用于此插件。因此，不要回复此插件进行备份，还有许多其他可用于WordPress的专用。

文件系统安全

您在文件系统安全部分有以下四个选项。

• 文件权限– 检查您的WordPress安装的所有文件和文件夹是否具有读/写访问权限并设置正确的权限。
• PHP文件编辑– 从仪表盘禁用文件编辑。此选项将删除“编辑器”菜单以直接从仪表盘编辑主题和插件文件。
• WP文件访问——黑客可以使用readme.html、licence.txt和wp-config-sample.php文件获取有关WordPress安装的更多信息。启用此选项将禁用对这些文件的直接访问。
• 主机系统日志– 查看您的托管服务器的错误日志文件。

WHOIS查询

虽然WHOIS查询不是一项安全功能，但它可以在管理仪表盘中查看IP地址或域名的详细信息。

黑名单管理器

拦截IP地址和用户 *** 访问您的站点。可以使用通配符输入IP地址，例如 195.*.*.* 或 195.47.*.*。用户 *** 部分只有在它有单词的情况下才会起作用，如果用户 *** 名称有带有 \ 的单词，那么插件似乎不起作用。

防火墙

这是您需要仔细启用的部分，并检查它是否会影响您网站的可访问性。查看我们关于的单独详细文章。

暴力破解

暴力破解是一种尝试通过试错法访问受密码保护的页面的 *** 。AIOWPS插件有多个选项可以阻止对您的WordPress网站的暴力攻击。我们有一篇详细的文章解释了。

垃圾评论拦截

AIOWPS插件有助于阻止机器人提交的垃圾评论，并允许在评论表单上添加验证码。了解有关的更多信息。

扫描器

在此部分下您有两个选项——一个是 *** 的，另一个是付费的附加组件。

• 文件更改检测– 为您的站点启用自动文件更改检测扫描，其中包含要检查的文件扩展名列表和要排除的目录。
• 恶意软件扫描– 这是第三方网站的付费插件，用于扫描您的网站以进行恶意软件检测。

维护

当您的站点因维护而停机且用户无法访问时，请启用维护模式。理想情况下，维护模式和安全性之间没有关系，除非您的站点已经受到影响并且您希望让用户远离访问内容。

其他杂项

AIOWPS插件杂项设置

• 复制保护 – 禁用右键单击您的网站，这样用户将无法复制内容。
• 框架 – 禁止其他网站在框架内显示您的内容。
• 用户枚举——禁止使用“yoursite.com/?author=name”之类的链接直接访问作者详细信息。启用后，如果有人试图在浏览器地址栏中获取作者详细信息，插件将抛出如下错误：

通过链接禁止作者信息

卸载AIOWPS插件

这个插件的安装会添加备份目录和多个MYSQL表。因此，仅卸载和删除插件不会完全从您的站点中删除插件文件。更好的 *** 是按照以下分步流程进行操作：

• 禁用“WP Security > Settings > General Settings”下的所有安全和防火墙设置。
• 从仪表盘卸载插件。
• 从仪表盘中删除插件文件。
• 通过FTP连接到您的托管服务器并删除插件存储的备份文件。
• 从“cPanel”打开“phpMyAdmin”并从站点数据库中删除插件表。

如果您在访问站点时遇到任何问题，请在安装插件之前尝试从备份中恢复“.htaccess”和“wp-config.php”文件。