2022年最好的8个WordPress安全插件和工具
你知道这是一个肮脏的世界,有恶意的人只想把他们的脏手伸向你的WordPress网站。你也知道你应该做些什么来保护你的WordPress网站不受那些坏人的伤害。
你可能不知道那个“东西”是什么。
别担心——保护你的WordPress网站不需要你像电视节目中看到的那样成为一个编程大师。但是你需要一些WordPress安全插件和工具来完成这项工作。
这就是我要在这篇文章中与你分享的。
我将介绍八个最好的WordPress安全插件和工具,以及每种工具的优缺点。然后,在最后,我会根据您自己的独特情况,试图帮助您选择正确的工具集。
但首先,让我先做一个简短的警告……
WordPress安全不只是关于插件和工具
上面列出的所有安全插件和工具都可以帮助你创建WordPress更多的安全。但这并不能消除你采取行动的必要性。
就像戴着摩托车头盔一样。当然,摩托车头盔可以在碰撞中保护你,但它们并不是出门鲁莽驾驶的许可证。
这些工具就是这样。它们给了你一些急需的保护,但如果你想保持安全,你仍然需要安全驾驶。
那么,在WordPress世界里,什么是“安全驾驶”呢?我说的是非常简单的事情,比如:
- 及时更新你的WordPress软件,插件和主题
- 为您的WordPress管理员帐户和web托管帐户使用安全密码
- 只使用来自有信誉的开发者/资源的主题和插件
- 备份您的网站定期地
这些建议可能看起来过于简单,但单独做这四件事将有助于保护你免受大多数WordPress安全问题。
然后,保护你的网站免受其他的一切,你可以使用这些WordPress安全插件和工具。
在我们开始之前,先解释几个关键的安全术语
虽然这些插件和工具使事情变得相当简单,但WordPress安全仍然包含许多您可能不熟悉的术语。
为了帮助您理解这些工具实际上在做什么,我想解释几个您将在本文其余部分中看到的最常见的术语。
首先,你会看到这个单词防火墙出现很多(也被称为WAF: web应用防火墙).对于你的WordPress网站,防火墙基本上位于你的网站服务器和所有传入的流量之间。因为它占据了这个位置,所以它能够检查并过滤掉恶意的参与者在他们到达你的服务器之前.
但是,并不是所有的防火墙都是相同的。您所选择的防火墙的有效性取决于防火墙提供商设置的规则和配置。
另一个术语是恶意软件扫描,你可能对它更熟悉。就像你会扫描你自己的电脑上的病毒和恶意软件一样,许多这些工具也可以扫描你的WordPress网站的服务器上的恶意软件。
最后,我将抛出这一项安全性加强周围很多。这些基本的小调整,当把它们放在一起时,有助于使您的网站更安全。
掌握了这些知识之后,让我们深入研究插件。
1.MalCare
MalCare是一个WordPress安全插件,你可能从名字就能猜到,专注于恶意软件的检测和删除。
与Wordfence相比,我喜欢MalCare的一点是,MalCare会进行扫描在自己的服务器上.扫描恶意软件是一个相当密集的过程,所以如果一个插件在您的活动服务器上进行扫描,它会在扫描运行时降低您的网站的速度。
MalCare通过使用自己的服务器进行扫描来解决这个问题。
它也是用来捕捉其他插件无法捕捉到的恶意软件的。如果它真的抓住了什么,它就会提供一键式恶意软件删除来处理那些烦人的文件。
MalCare也有防火墙,但我认为它不如Sucuri的高质量,所以我仍然建议使用Sucuri的防火墙,如果你可以调整价格的话。
除此之外,它还提供了一些基本的安全加固,比如:
- 登录页面的验证码
- 限制登录尝试
- 禁用文件编辑
- 禁用上传文件夹中的文件执行
总的来说,我认为MalCare的独特卖点是off-server恶意软件扫描.它还允许您从一个仪表板管理多个站点,这是另一个很好的好处。
价格:起价99美元/年
2.Wordfence
Wordfence是WordPress安全领域最大的品牌,尤其是在一体化解决方案方面。它活跃在200多万个网站上,在3000多条评论中保持着令人印象深刻的4.8星评级。
可以这么说,很多人喜欢它。
那么为什么它如此受欢迎呢?
首先,它有一个慷慨的免费版本(以及付费版本)。
其次,它为Wordpress安全提供了一种一体化的方法。
在广义上,它包括web应用程序防火墙过滤和阻止恶意流量,以及内置恶意软件扫描检查您的文件是否有恶意软件、后门和其他恶意注入。
免费版和专业版都包含这两个核心功能,但专业版提供了更多的实时方法来实现这两个功能。例如,Pro版本的防火墙可以实时更新防火墙规则,而免费版本每30天才更新一次。
同样,Pro版的恶意软件扫描会实时更新其签名,而免费版会延迟30天。
因此,如果你想保护自己免受最尖端的攻击,你最好使用Pro版本。
除了这些广泛的保护之外,它还做了许多小调整,可以进一步加强您的网站。我说的是:
- 双因素身份验证以确保登录安全
- 更新通知
- 重要操作的电子邮件提醒,如管理员帐户登录
- 限制登入次数(自动阻止输入错误密码/用户名次数过多的用户)
- 执行强密码
价格:免费的WordPress.org。专业版的起价是每年99美元,不过如果你一次购买多年,可以享受折扣。
3.iThemes安全
iThemes安全是另一个流行的一体化安全解决方案,有免费和付费版本。
iThemes安全呢不包括像Wordfence这样的防火墙,但它确实提供恶意软件扫描。
除了恶意软件扫描,它还附带了一大堆较小的安全调整来加强你的WordPress网站。
首先,它做了一些事情来保护你的登录页面,比如:
- 隐藏登录页面。
- 阻止有太多登录失败尝试的主机/用户,以防止暴力暴力攻击。
- 为所有用户帐户强制执行强密码。
- 如果您仍然使用admin作为用户名,则重命名“admin”帐户。
- 删除登录错误消息。
- 提供双因素身份验证(Pro)。
然后,还有很多其他的小调整,其中很多你会在WordPress安全指南中看到:
- 禁用仪表板内文件编辑。
- 删除未授权用户的更新通知。
- 更改WordPress数据库前缀。
- 改变wp-content路径。
- 用户操作日志。
如果你想使用iThemes Security,开发人员建议将其与Sucuri的WordPress防火墙配对,我们将在接下来介绍。
价格:免费的WordPress.org。专业版的起价为每年80美元。
4.Sucuri
Sucuri是一个流行的网站安全解决方案,它有两个不同的产品来帮助WordPress安全:
- 一个免费的插件
- 付费防火墙服务
您可以将这两个插件组合在一起,也可以选择只使用其中一个(或将防火墙与不同的插件组合在一起,如iThemes security)。
Sucuri插件
Sucuri的安全插件可以在WordPress.org上免费获得。它不包括防火墙功能,但它在保持站点安全方面做了很多工作(它还可以帮助您集成防火墙,如果您选择付费的话).
首先,它包括审计活动而且文件完整性监测.基本上,这两个功能可以帮助您监视站点上发生的事情。例如,活动审计可以显示失败的登录尝试,文件完整性监视可以告诉您是否有任何核心WordPress文件被修改。
除此之外,插件还包括基本恶意软件扫描。这个功能本质上是Sucuri免费SiteCheck扫描仪的仪表板内实现。因此,它的比许多其他解决方案更有限却抓不到所有恶意软件。
最后,Sucuri的插件还包括一些基本的WordPress安全加固调整,比如阻止上传目录中的PHP文件和禁用仪表板内的文件编辑。
价格:在WordPress.org上免费
Sucuri防火墙
尽管Sucuri的插件是关于监控和基本的加固,但Sucuri的Firewall服务在威胁发生前主动阻止威胁,并保护您免受DDoS攻击。
除了阻止恶意机器人和已知的漏洞,Sucuri还利用其庞大的网络和机器学习不断改进其防火墙规则,保护您的网站免受新发现的漏洞。
此外,Sucuri允许您创建自己的防火墙规则。例如,您可以让Sucuri将对WordPress仪表板的访问限制为一组特定的白名单IP地址。
作为一个不错的小奖励,Sucuri Firewall还包括一个CDN来加快你的网站,尽管这真的与WordPress安全没有任何关系!
价格:基本版199.99美元/年,专业版299.99美元/年。
5.Patchstack(原名WebARX)
Patchstack是一个相对较新的服务,添加一个安全的防火墙到您的网站,以及一些其他功能。
它不是专门针对WordPress的,但是它包含了一个WordPress插件,使设置更容易。
Patchstack的优点之一是它可以很容易地从一个仪表盘监控所有网站.因此,如果您有许多分散的小站点,这是一种方便的方法,可以从一个位置监视所有的站点。
除了保护您的站点免受攻击和恶意机器人的防火墙之外,Patchstack还包括正常运行时间和损坏监控。如果你的网站宕机或被损坏,你可以通过电子邮件或Slack收到通知。如果你有一堆你不经常查看的小网站,这是很有帮助的。
价格:每月14.99美元起,年费可节省15%。
6.VaultPress (Jetpack的一部分)
VaultPress是Automattic提供的备份和安全服务,与WordPress.com的开发公司是同一家公司。这是付费Jetpack计划的一部分,所以如果您使用VaultPress,您还将获得所有其他付费Jetpack功能。
和MalCare一样,VaultPress的一个优点是它会进行安全扫描在自己的服务器上,这可以确保你的网站不会有任何性能冲击。
下面是它的工作原理:
每天,VaultPress自动备份您的网站到它的安全服务器。然后,它扫描刚刚备份的文件,以防止其他恶意软件的渗透。
在最高层计划中,VaultPress还可以自动修复它发现的任何安全问题(不过,最便宜的那一层只支持“手动解析”).
总的来说,如果您想要将安全扫描与备份结合起来,那么VaultPress是一个很好的选择。不过,您可能仍然需要一个单独的防火墙解决方案。
价格:安全每日计划为每月11.40英镑或9.55英镑(按年收费)。
7.Cloudflare
Cloudflare通常被认为是一个表现增进工具因为它的CDN功能。不要误解我的意思——这是一个提高WordPress网站速度的好方法。
但因为Cloudflare充当反向代理,它也是保护WordPress网站安全的好工具。从本质上讲,反向代理位于访问者的浏览器和网站服务器之间,并引导流量,从而过滤掉恶意行为者。
Cloudflare的免费计划以DDoS保护和基于声誉的威胁保护(阻止已知的恶意威胁访问您的网站).
如果你愿意付费,Cloudflare的付费计划包括一个web应用程序防火墙和IP白名单规则。
如果您已经在使用Cloudflare的性能提升功能,您可能需要考虑升级到付费计划,以利用web应用程序防火墙的优势。
价格:免费,基本安全保障。使用防火墙的付费计划每月20美元起
8.登录号验证码验证码
登录号验证码验证码是一个比所有其他插件都小得多的解决方案。当其他工具都专注于防火墙,恶意软件扫描和其他大的调整,登录无验证码验证码实际上只做一件事:
为登录页面添加谷歌reCAPTCHA保护。
这是一种简单的方法,可以保护您的登录页面免受暴力攻击,并阻止未经授权的用户进入。
一些一体化安全插件已经添加了这个功能(例如iThemes Security)。但是如果你愿意不要使用这些一体机解决方案之一,您仍然应该考虑登录无验证码验证码锁定您的登录页面。
价格:100%免费
哪些WordPress安全插件和工具适合您的需要?
你肯定不想用所有您站点上的这些安全插件和工具的。那么你应该选择哪些呢?如何构建安全堆栈?
在做决定之前,我建议你检查一下你的WordPress主机已经做的。有些主机——特别是受管理的WordPress主机——可能已经在服务器级别为您实现了防火墙和恶意软件扫描。所以如果是这样的话,就没有必要重复他们的努力了。
一旦你知道你的主人已经在做什么,这里有一些选择解决方案的提示。
如果你想要一个网站防火墙,Sucuri防火墙是关键任务站点的最佳选择,而MalCare提供了一个更实惠的版本与仪表盘,使管理多个网站很容易。
如果你想要恶意软件扫描、MalCare和VaultPress都是很好的选择,因为它们不会在您的服务器上运行扫描。
你也可以结合防火墙和恶意软件扫描插件.例如,您可以使用Patchstack进行防火墙,使用MalCare进行恶意软件扫描。虽然Malcare在技术上提供了防火墙,但这并不是该服务的强项。这就是为什么您最好禁用Malcare基于插件的防火墙,并将其与Patchstack或Sucuri等工具配对。
如果你的主机已经为你实现了防火墙和恶意软件扫描,你可以跳过这些插件,但我仍然建议添加一些像登录号验证码验证码锁定您的登录页面。然而,Wordfence和Patchstack内置了这个功能,所以它们不需要额外的插件。
最后,你有一体化安全插件就像Wordfence而且iThemes安全.这些插件使安全非常简单,也就是好.但因为它们总是在您的服务器上运行,它们也会降低您的网站,这是坏.
出于这个原因,我个人不使用它们,而是更喜欢挑选我想要的特定安全功能。
也就是说,我确实从简单的角度认识到它们的好处。
注意:Wordfence和iThemes Security不应该同时使用。如果你选择走“一体化安全插件”的路线——只使用一个。
因此,如果你对所有这些选项感到不知所措,只是想要一些容易使用的东西,这两个肯定是可靠的选择。但是要密切注意网站加载前后的时间,以确保没有明显的慢下来。
披露:这篇文章包含附属链接。这意味着如果您购买,我们可以收取少量佣金。
