SiteGround Security 是 SiteGround 开发的免费安全插件,主要用于提高WordPress网站的安全性,保护WordPress网站免受暴力攻击、登录破解、数据泄漏。
该插件可以在任何主机上使用,功能非常全面,比如双重身份验证,登陆地址修改,限制登陆尝试等等,接下来一灯就手把手教大家如何使用。
SiteGround Security 安装
首先,去 WordPress安装插件 的地方(Plugins -> Add New),搜索SiteGround Security找到该插件,然后点击 Install Now 按钮并启用它。
接下来,WordPress菜单栏会多出来一个选项(SG Security),后面所有的安全设置都在这里操作,我逐一为大家详细介绍。
网站安全设置
第一个需要设置的是 Site Security,默认情况下,启用所有选项,并删除Readme.html。
Lock and Protect System Folder
启用此选项,可以锁定和保护系统文件夹,阻止黑客走文件夹后门插入PHP文件和恶意脚本。
Hide WordPress Version
启用此选项,会隐藏WordPress版本,使爬虫很难检测到你在使用WordPress,从而避免WordPress网站被黑客标记,进行大规模攻击。
Disable Themes & Plugins Editor
禁用主题编辑器,会自动从WordPress菜单栏里删除该选项,并无法直接从WordPress后台编辑主题和插件的代码。若需编辑代码,可以使用主机的文件管理工具,FTP 或 SSH。
Disable XML-RPC
XML-RPC 是 WordPress 用来与其他系统通信的旧协议,自从 REST API 出现以来,它的使用就越来越少,除非你对它有特殊需求,否则建议始终禁用 XML-RPC。
Force HTTP Strict-Transport-Security (HSTS)
HSTS(HTTP Strict-Transport-Security)可以强制浏览器使用 HTTPS 协议,建议开启。
Disable RSS and ATOM Feeds
RSS 和 ATOM 订阅通常被人用于抄袭复制网站内容,建议禁用此选项。
Advanced XSS Protection
启用此选项,会为你的网站添加额外的标头,以防止 XSS 攻击。
Delete the Default Readme.html
WordPress 自带一个 Readme.html 文件,其中包含有关你网站的信息,强烈建议删除。
登陆安全设置
第二个需要设置的是 Login Security,可以保护你的WordPress登录地址免受恶意攻击。
Custom Login URL
WordPress默认登录地址是黑客和垃圾邮件机器人的攻击目标,使用自定义登陆地址可以有效避免此类攻击,类似功能的插件还有WPS Hide Login。
Login Access
指定可以访问登录地址的白名单IP,如果你使用的是动态IP,请谨慎使用该选项,以免自己都登陆不了WordPress网站后台。
Two-factor Authentication for Admin & Editors Users
双重身份验证,和国内登陆某些平台需要输手机验证码是一个意思,只不过它用的是Google发送的验证码。如果你是国内用户,建议关闭此选项,以免自己无法登陆WordPress后台。
Disable Common Usernames
使用像“admin”这样的用户名是一种安全威胁,通常会被黑客利用。启用此选项,会自动识别并禁用常见的用户名,如果你已经在使用常见用户名,还会提示你修改替换它。
Limit Login Attempts
限制登录尝试次数,用来阻止机器人尝试使用用户名和密码的随机组合登录你的网站。
监控活动日志
活动日志页面包含过去12天内网站上的所有活动,比如人工访问、机器人爬行、注册用户活动、登录尝试等等,可以帮助你更好地了解网站的受众并识别可疑的访问者或活动。
活动日志由3个选项卡组成:
- UNKNOWN - 未通过身份验证的机器人或人
- REGISTERED - 已注册用户
- BLOCKED - IP地址屏蔽
如果发现可疑活动,可以点击 Actions 下方的按钮 Manage IP Traffic 来阻止可疑流量。
黑客入侵设置
如果你怀疑你的WordPress网站被黑,可以使用此页面上的工具来修复网站。
Reinstall All Free Plugins
重新安装所有免费插件,这样做会删除黑客添加的可疑代码。
Force Password Reset
强制重置密码,一旦尝试重新登录,会被要求更改密码。
Log out All Users
立即注销所有已登陆用户。
总结
SiteGround Security 做为一款免费的插件,所有功能都非常有用,设置起来也很简单,在发布后的短短几个月就达到了10万使用人数,受欢迎程度绝不输那些老牌WordPress安全插件。
它唯一美中不足的是没有像Wordfence一样的全站扫描,就这个问题我专门请教了SG的技术人员,他们的回复是:由于SiteGround主机自带WAF防火墙,所以在插件的初始版本里暂不考虑全站扫描。不过后续不排除添加的可能,因为不是每个人在使用SiteGround。
最后,如果你是SiteGround用户,推荐你也试试它的加速插件SiteGround Optimizer。
请问用SiteGround Security可以代替Wordfence吗?感觉Wordfence很复杂不好用
@ Ryan 目前还是wordfence更好一些。
@ 一灯 两个一起用不知道会不会冲突呢?
@ Ryan 会冲突,不要两个一起用。如果觉得wordfence设置麻烦,你就用SiteGround Security,一般是不会有什么安全问题的。万一出现,你还有SiteGround的每日远程备份可以还原网站数据,放心吧。另外,如果遇到网站被黑,那个每日远程备份才是救命的东西,其它的都是浮云。
@ 一灯 谢谢解答。另外希望更新SG Optimizer设置教程