SiteGround Security 安全插件使用教程

    SiteGround Security 是 SiteGround 开发的免费安全插件,主要用于提高WordPress网站的安全性,保护WordPress网站免受暴力攻击、登录破解、数据泄漏。

    该插件可以在任何主机上使用,功能非常全面,比如双重身份验证,登陆地址修改,限制登陆尝试等等,接下来一灯就手把手教大家如何使用。

    SiteGround Security 安装

    首先,去 WordPress安装插件 的地方(Plugins -> Add New),搜索SiteGround Security找到该插件,然后点击 Install Now 按钮并启用它。

    SiteGround Security插件安装

    接下来,WordPress菜单栏会多出来一个选项(SG Security),后面所有的安全设置都在这里操作,我逐一为大家详细介绍。

    SiteGround Security选项

    网站安全设置

    第一个需要设置的是 Site Security,默认情况下,启用所有选项,并删除Readme.html。

    SiteGround Security - Site Security

    Lock and Protect System Folder

    启用此选项,可以锁定和保护系统文件夹,阻止黑客走文件夹后门插入PHP文件和恶意脚本。

    Hide WordPress Version

    启用此选项,会隐藏WordPress版本,使爬虫很难检测到你在使用WordPress,从而避免WordPress网站被黑客标记,进行大规模攻击。

    Disable Themes & Plugins Editor

    禁用主题编辑器,会自动从WordPress菜单栏里删除该选项,并无法直接从WordPress后台编辑主题和插件的代码。若需编辑代码,可以使用主机的文件管理工具,FTP 或 SSH。

    Disable XML-RPC

    XML-RPC 是 WordPress 用来与其他系统通信的旧协议,自从 REST API 出现以来,它的使用就越来越少,除非你对它有特殊需求,否则建议始终禁用 XML-RPC。

    Force HTTP Strict-Transport-Security (HSTS)

    HSTS(HTTP Strict-Transport-Security)可以强制浏览器使用 HTTPS 协议,建议开启。

    Disable RSS and ATOM Feeds

    RSS 和 ATOM 订阅通常被人用于抄袭复制网站内容,建议禁用此选项。

    Advanced XSS Protection

    启用此选项,会为你的网站添加额外的标头,以防止 XSS 攻击。

    Delete the Default Readme.html

    WordPress 自带一个 Readme.html 文件,其中包含有关你网站的信息,强烈建议删除。

    登陆安全设置

    第二个需要设置的是 Login Security,可以保护你的WordPress登录地址免受恶意攻击。

    SiteGround Security - Login Security

    Custom Login URL

    WordPress默认登录地址是黑客和垃圾邮件机器人的攻击目标,使用自定义登陆地址可以有效避免此类攻击,类似功能的插件还有WPS Hide Login

    Custom Login URL

    Login Access

    指定可以访问登录地址的白名单IP,如果你使用的是动态IP,请谨慎使用该选项,以免自己都登陆不了WordPress网站后台。

    Login Access

    Two-factor Authentication for Admin & Editors Users

    双重身份验证,和国内登陆某些平台需要输手机验证码是一个意思,只不过它用的是Google发送的验证码。如果你是国内用户,建议关闭此选项,以免自己无法登陆WordPress后台。

    Two-factor Authentication for Admin & Editors Users

    Disable Common Usernames

    使用像“admin”这样的用户名是一种安全威胁,通常会被黑客利用。启用此选项,会自动识别并禁用常见的用户名,如果你已经在使用常见用户名,还会提示你修改替换它。

    Limit Login Attempts

    限制登录尝试次数,用来阻止机器人尝试使用用户名和密码的随机组合登录你的网站。

    监控活动日志

    活动日志页面包含过去12天内网站上的所有活动,比如人工访问、机器人爬行、注册用户活动、登录尝试等等,可以帮助你更好地了解网站的受众并识别可疑的访问者或活动。

    SiteGround Security - Activity Log

    活动日志由3个选项卡组成:

    • UNKNOWN - 未通过身份验证的机器人或人
    • REGISTERED - 已注册用户
    • BLOCKED - IP地址屏蔽

    如果发现可疑活动,可以点击 Actions 下方的按钮 Manage IP Traffic 来阻止可疑流量。

    Manage IP Traffic

    黑客入侵设置

    如果你怀疑你的WordPress网站被黑,可以使用此页面上的工具来修复网站。

    SiteGround Security - Post-hack Actions

    Reinstall All Free Plugins

    重新安装所有免费插件,这样做会删除黑客添加的可疑代码。

    Force Password Reset

    强制重置密码,一旦尝试重新登录,会被要求更改密码。

    Log out All Users

    立即注销所有已登陆用户。

    总结

    SiteGround Security 做为一款免费的插件,所有功能都非常有用,设置起来也很简单,在发布后的短短几个月就达到了10万使用人数,受欢迎程度绝不输那些老牌WordPress安全插件

    它唯一美中不足的是没有像Wordfence一样的全站扫描,就这个问题我专门请教了SG的技术人员,他们的回复是:由于SiteGround主机自带WAF防火墙,所以在插件的初始版本里暂不考虑全站扫描。不过后续不排除添加的可能,因为不是每个人在使用SiteGround。

    最后,如果你是SiteGround用户,推荐你也试试它的加速插件SiteGround Optimizer

    评论  5  访客  3  作者  2
      • Ryan

        请问用SiteGround Security可以代替Wordfence吗?感觉Wordfence很复杂不好用

          • 一灯

            @ Ryan 目前还是wordfence更好一些。

              • Ryan

                @ 一灯 两个一起用不知道会不会冲突呢?

                  • 一灯

                    @ Ryan 会冲突,不要两个一起用。如果觉得wordfence设置麻烦,你就用SiteGround Security,一般是不会有什么安全问题的。万一出现,你还有SiteGround的每日远程备份可以还原网站数据,放心吧。另外,如果遇到网站被黑,那个每日远程备份才是救命的东西,其它的都是浮云。

                      • 请输入您的QQ号

                        @ 一灯 谢谢解答。另外希望更新SG Optimizer设置教程

              发表评论

              匿名网友