SiteGround Security 安全插件使用教程

  • A+
所属分类:WordPress插件

SiteGround Security 是 SiteGround 开发的免费安全插件,主要用于提高WordPress网站的安全性,保护WordPress网站免受暴力攻击、登录破解、数据泄漏。

该插件可以在任何主机上使用,功能非常全面,比如双重身份验证,登陆地址修改,限制登陆尝试等等,接下来一灯就手把手教大家如何使用。

SiteGround Security 安装

首先,去 WordPress安装插件 的地方(Plugins -> Add New),搜索SiteGround Security找到该插件,然后点击 Install Now 按钮并启用它。

SiteGround Security插件安装

接下来,WordPress菜单栏会多出来一个选项(SG Security),后面所有的安全设置都在这里操作,我逐一为大家详细介绍。

SiteGround Security选项

网站安全设置

第一个需要设置的是 Site Security,默认情况下,启用所有选项,并删除Readme.html。

SiteGround Security - Site Security

Lock and Protect System Folder

启用此选项,可以锁定和保护系统文件夹,阻止黑客走文件夹后门插入PHP文件和恶意脚本。

Hide WordPress Version

启用此选项,会隐藏WordPress版本,使爬虫很难检测到你在使用WordPress,从而避免WordPress网站被黑客标记,进行大规模攻击。

Disable Themes & Plugins Editor

禁用主题编辑器,会自动从WordPress菜单栏里删除该选项,并无法直接从WordPress后台编辑主题和插件的代码。若需编辑代码,可以使用主机的文件管理工具,FTP 或 SSH。

Disable XML-RPC

XML-RPC 是 WordPress 用来与其他系统通信的旧协议,自从 REST API 出现以来,它的使用就越来越少,除非你对它有特殊需求,否则建议始终禁用 XML-RPC。

Force HTTP Strict-Transport-Security (HSTS)

HSTS(HTTP Strict-Transport-Security)可以强制浏览器使用 HTTPS 协议,建议开启。

Disable RSS and ATOM Feeds

RSS 和 ATOM 订阅通常被人用于抄袭复制网站内容,建议禁用此选项。

Advanced XSS Protection

启用此选项,会为你的网站添加额外的标头,以防止 XSS 攻击。

Delete the Default Readme.html

WordPress 自带一个 Readme.html 文件,其中包含有关你网站的信息,强烈建议删除。

登陆安全设置

第二个需要设置的是 Login Security,可以保护你的WordPress登录地址免受恶意攻击。

SiteGround Security - Login Security

Custom Login URL

WordPress默认登录地址是黑客和垃圾邮件机器人的攻击目标,使用自定义登陆地址可以有效避免此类攻击,类似功能的插件还有WPS Hide Login

Custom Login URL

Login Access

指定可以访问登录地址的白名单IP,如果你使用的是动态IP,请谨慎使用该选项,以免自己都登陆不了WordPress网站后台。

Login Access

Two-factor Authentication for Admin & Editors Users

双重身份验证,和国内登陆某些平台需要输手机验证码是一个意思,只不过它用的是Google发送的验证码。如果你是国内用户,建议关闭此选项,以免自己无法登陆WordPress后台。

Two-factor Authentication for Admin & Editors Users

Disable Common Usernames

使用像“admin”这样的用户名是一种安全威胁,通常会被黑客利用。启用此选项,会自动识别并禁用常见的用户名,如果你已经在使用常见用户名,还会提示你修改替换它。

Limit Login Attempts

限制登录尝试次数,用来阻止机器人尝试使用用户名和密码的随机组合登录你的网站。

监控活动日志

活动日志页面包含过去12天内网站上的所有活动,比如人工访问、机器人爬行、注册用户活动、登录尝试等等,可以帮助你更好地了解网站的受众并识别可疑的访问者或活动。

SiteGround Security - Activity Log

活动日志由3个选项卡组成:

  • UNKNOWN - 未通过身份验证的机器人或人
  • REGISTERED - 已注册用户
  • BLOCKED - IP地址屏蔽

如果发现可疑活动,可以点击 Actions 下方的按钮 Manage IP Traffic 来阻止可疑流量。

Manage IP Traffic

黑客入侵设置

如果你怀疑你的WordPress网站被黑,可以使用此页面上的工具来修复网站。

SiteGround Security - Post-hack Actions

Reinstall All Free Plugins

重新安装所有免费插件,这样做会删除黑客添加的可疑代码。

Force Password Reset

强制重置密码,一旦尝试重新登录,会被要求更改密码。

Log out All Users

立即注销所有已登陆用户。

总结

SiteGround Security 做为一款免费的插件,所有功能都非常有用,设置起来也很简单,在发布后的短短几个月就达到了10万使用人数,受欢迎程度绝不输那些老牌WordPress安全插件

它唯一美中不足的是没有像Wordfence一样的全站扫描,就这个问题我专门请教了SG的技术人员,他们的回复是:由于SiteGround主机自带WAF防火墙,所以在插件的初始版本里暂不考虑全站扫描。不过后续不排除添加的可能,因为不是每个人在使用SiteGround。

最后,如果你是SiteGround用户,推荐你也试试它的加速插件SiteGround Optimizer

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: