2024 年保护您网站的 10 项 WordPress 安全服务

已发表: 2024-01-15

要运行一个成功的 WordPress 网站,您需要熟悉提供您所需功能的插件和服务。 有些插件的选择非常简单。 例如,要开一家商店,您需要 WooCommerce。 要创建在线课程,您需要 Sensei LMS。

但当谈到安全性时,您会发现有很多选项可供选择,并且您选择的 WordPress 安全服务和插件将显着影响您网站的保护。

有些服务专注于特定功能,例如双因素身份验证 (2FA) 和垃圾邮件防护。 其他人向您的站点添加多种安全功能。 一旦您了解了这些工具的工作原理,您就可以更好地保护您的网站及其用户的安全。

本文将向您介绍您可能需要的十种最重要的安全服务以及最适合每个类别的工具。

1. 一体化安全计划(Jetpack Security)

Jetpack Security 主页的标语是“我们保护您的网站。您经营您的业务。”

多合一 WordPress 安全插件可同时为您的网站添加多种保护工具。 目标是集中关键的安全功能,因此您无需设置多个解决方案并弄清楚如何使它们相互兼容。

Jetpack 的安全计划包括一系列旨在易于使用的功能。 通过此插件,您可以访问备份功能、安全日志、垃圾邮件防护、网站应用程序防火墙 (WAF)、恶意软件扫描和修复等。

Jetpack Security 的主要特点:

  • 自动实时云备份和一键恢复
  • 10 GB 云存储用于备份
  • 通过 Akismet 保护评论和垃圾邮件
  • 包含长达 30 天数据的网站活动日志
  • 自动 WAF 设置和集成
  • 恶意软件扫描(使用 WPScan)和一键修复大多数问题
  • 暴力攻击防护
  • 停机监控
  • 安全认证

Jetpack 安全性的优点:

  • 它将多种安全功能组合到一个包中。
  • 它由 Automattic(WordPress.com 背后的人员)开发和维护
  • 易于使用和配置
  • 它提供自动实时备份,因此您始终拥有网站的最新副本。
  • 有一个移动应用程序,您可以在有互联网连接的任何地方访问站点信息和备份并恢复您的站点。

Jetpack 安全性的缺点:

  • 这是免费 Jetpack 插件的高级计划。
  • 价格比其他一些一体化安全插件要高一些。
  • 借助 Jetpack Security,您可以轻松打开和关闭功能,并相信它们已针对您的 WordPress 网站正确设置。 然而,这确实意味着设置不能像一些经验丰富的开发人员所希望的那样可定制。

使用方便:

Jetpack 的主要优点之一是所有工具都易于使用。 Jetpack Security 在这方面并不令人失望。 该界面易于导航,该插件包含对其功能的清晰解释,并且可以根据需要轻松打开或关闭功能。

价格:

Jetpack Security 需要高级订阅。 套餐起价为每月 5.97 美元,按年计费,包含我们迄今为止介绍的所有功能。

Jetpack 还提供与性能和营销相关的工具,这些工具及其安全功能都可以作为单独的计划或插件购买。 我们将在下面讨论一些单独可用的安全功能。

2.一个备份插件(Jetpack VaultPress Backup)

Jetpack VaultPress 备份页面,带有文字“最好的实时 WordPress 备份插件”

每个 WordPress 网站都需要一个备份解决方案。 这是一项重要的 WordPress 安全服务,因为如果出现任何问题,它可以让您将网站恢复到早期版本。 一个好的备份工具有助于解决人为错误、网络安全攻击、更新后插件冲突导致的中断以及许多其他情况。

Jetpack VaultPress Backup 会自动将您的站点备份到安全的云服务器,这是比本地存储备份或依赖 Web 主机的内置备份解决方案更安全的选择。 将备份存储在云中意味着即使您无法登录 WordPress 仪表板或托管帐户,您仍然可以访问它们。

VaultPress Backup 还可以实时创建备份。 这意味着您采取的每项操作都会立即保存,而不仅仅是每 24 小时或每周保存一次。 您还可以访问 30 天的活动日志,其中概述了您网站上采取的重要操作,并可作为识别问题原因以及紧急情况后您想要恢复到的确切位置的工具。

VaultPress 备份的主要功能:

  • 实时备份
  • 安全的异地云存储
  • 十 GB 存储空间
  • 即使您的网站无法访问,也可以选择从云恢复备份
  • 一款可在任何有互联网连接的地方进行管理的移动应用程序

VaultPress 备份的优点:

  • 实时、自动备份意味着您不受固定时间表的限制。
  • 即使您无法登录 WordPress 仪表板,也可以访问备份。
  • 您只需单击一下即可恢复备份。
  • 该插件使您可以访问活动日志。
  • 无论您将网站恢复到什么位置,它都会保存所有 WooCommerce 订单。

VaultPress 备份的缺点:

  • 这是一个高级插件。
  • 备份存储空间虽然很大,但并不是无限的。

使用方便:

许多免费的 WordPress 备份插件要求您手动启动站点副本。 其他解决方案会安排备份,以便它们是自动的,但仍然依赖于每日或每周的间隔计划。

每当您对其进行更改时,VaultPress Backup 都会自动保存您的站点。 您可能只会在需要恢复备份时才与该插件交互,这是一个简单的过程。

价格:

VaultPress Backup 订阅起价为每月 2.97 美元,按年计费。 您还可以通过 Jetpack Security 订阅(起价为每月 5.97 美元,按年计费)访问 VaultPress Backup,该服务捆绑了其他几个安全解决方案。

3.企业级漏洞扫描器(WPScan)

WPScan 维护着世界上最大的 WordPress 漏洞数据库。

WPScan 维护着世界上最大的 WordPress 漏洞数据库。 该数据库不断更新,企业组织可以访问它来识别黑客可能利用的弱点。

WPScan CLI 扫描程序作为渗透测试工具,向您的安全团队展示外部黑客可能能够识别您的网站的内容。 然后您可以使用此信息来强化您的防御。 如果您安装了强大的安全解决方案(如本文中讨论的那样),那么该报告将有望显示很少的问题。

WPScan 插件仅适用于企业客户,它从内部工作,充分了解您在网站上安装的所有内容。 使用此信息和强大的数据库,它可以识别您的团队可以修复的漏洞。

这两个工具一起提供了对站点保护级别的更全面的了解。

不是企业? 您仍然可以通过 Jetpack Protect 插件利用 WPScan 的传奇数据库。 该插件可以识别您网站上的漏洞,并提供有关解决问题的后续步骤的指导。

通过扫描计划升级,它还将自动搜索恶意软件并为大多数问题提供一键修复。 所有这些都可以作为独立服务或作为 Jetpack Security 计划订阅的一部分提供。

WPScan 的主要特点:

  • WordPress 漏洞的海量数据库
  • 来自专门的安全专家和真实网站所有者的广泛贡献
  • 能够使用多种方法访问该工具
  • 企业级定制解决方案

WPScan 的优点:

  • 它是最大的 WordPress 漏洞数据库。
  • 它受到各种工具的信赖和验证,并经过顶级安全专家的审查。
  • 非企业组织可以通过免费插件访问该工具。

WPScan 的缺点:

  • 某些 WPScan 功能仅适用于企业组织。
  • 并非扫描发现的所有问题都可以简单修复。

使用方便:

您使用 WPScan 的体验将根据您用来访问数据库的工具而有所不同。 一些插件(包括 Jetpack)使该过程变得简单。 它们还可能包括针对您发现的任何问题的一键修复。

其他工具(例如 WP-CLI)使您能够以更加自定义的方式利用数据库,但它仅适用于企业。

价格:

价格会有所不同,具体取决于您使用 WPScan 扫描网站时使用的 WordPress 安全服务。 您可以通过 Jetpack Protect 免费访问 WPScan 数据库,并且作为 Jetpack Security 的一部分(起价为每月 5.97 美元,按年计费)。

4. 垃圾邮件防护(Akismet)

Akismet 主页上写着“垃圾邮件不得通过”

垃圾邮件是运行 WordPress 网站的祸根之一。 每个带有评论部分或联系表单的网站都必须处理垃圾邮件,其中很多来自机器人。

Akismet 通过过滤掉大部分垃圾邮件,让处理所有垃圾邮件变得更加容易。 该插件可以通过阻止已知的恶意 IP 地址、过滤包含与垃圾邮件相关的链接或已知单词的评论以及其他一些人工智能功能来实现此目的。 它以 99.99% 的准确率完成所有这一切。

该插件会自动运行,但您还可以选择审核 Akismet 过滤的每条评论。 这将帮助您查看插件阻止的内容类型,并批准任何可能被错误分类为垃圾邮件的评论。

您的输入还可用于自定义其提供的保护,以提高其针对您的特定站点和受众的准确性。

Akismet 的最大好处之一是它不需要访问者使用验证码(你知道,那些让你找到所有红绿灯的烦人的谜题?)来证明其合法性。 随着网站参与方式的障碍减少,您可以期望最大限度地提高流量的转化率。

Akismet 的主要特点:

  • 自动垃圾邮件防护
  • 访问已知的垃圾邮件发送者数据库
  • 定制选项
  • 无验证码垃圾邮件预防
  • 评论审核队列

Akismet 的优点:

  • 它会自动处理大多数垃圾邮件,不需要验证码,并且包含彻底阻止和删除最严重的垃圾邮件的功能。
  • 您可以自定义垃圾邮件审核设置以标记特定单词。
  • 它的准确率高达 99.99%。

Akismet 的缺点:

  • 有时,插件会标记非垃圾评论,您需要检查审核队列以批准它们。

使用方便:

Akismet 被设计为一个无需干预的插件。 它会自动过滤垃圾邮件,您基本上可以让插件标记评论并忘记它们。

如果您有大量用户活动并收到大量评论,事情就会变得更加棘手。 在这种情况下,Akismet 可能会标记偶尔的非垃圾评论,因此您需要使用审核队列来手动批准这些评论。

价格:

Akismet 是一个适用于非商业网站的免费插件。 付费计划适用于专业人士,而且它节省的时间、提供的保护以及增强的参与度都是值得的。

5. Web应用程序防火墙(Jetpack)

用于打开 Jetpack 的 Web 应用程序防火墙功能的设置

Web 应用程序防火墙 (WAF) 是一款旨在阻止恶意连接到您的网站的软件。 这些连接可能是尝试暴力攻击甚至 SQL 注入的结果。

一些 WordPress 安全插件包含 WAF 功能。 Jetpack 就是其中之一,它可以帮助您保护您的网站免受暴力攻击和 DDoS 攻击。 Jetpack 维护着一个包含其引用的已知恶意 IP 地址的数据库,以识别和阻止危险用户。

Jetpack WAF 的主要特点:

  • DDoS 防护
  • 暴力攻击防护
  • 将 IP 地址列入白名单的选项

Jetpack WAF 的优点:

  • Jetpack Security 主要在后台运行,您无需担心深入的配置。
  • 您可以将 IP 地址列入白名单以避免误报。
  • 通过简单的切换即可轻松打开和关闭 WAF。

Jetpack WAF 的缺点:

  • 您几乎无法控制 WAF 的配置,如果您有使用此类软件的经验,这可能会受到限制。

使用方便:

Jetpack 的 WAF 功能设计为只需要很少的设置。 WAF 默认启用,但您可以随意打开和关闭。

价格:

要访问 WAF 功能,您需要以下高级 Jetpack 计划之一:

  • Jetpack 安全(5.97 美元/月)
  • Jetpack 完整版(14.97 美元/月)
  • Jetpack 扫描(2.97 美元/月)

6. SSL 证书(Let's Encrypt)

Let's Encrypt 主页及其功能信息

安全套接字层 (SSL) 证书告诉全世界您的网站是真实的,并使您的服务器能够通过 HTTPS 加载内容。 这是 HTTP 协议的更安全版本,可在传输过程中对数据进行加密,从而保护用户信息免受攻击。

要获得 SSL 证书,您必须通过证书颁发机构。 这些服务被批准提供 SSL 证书,而 Let's Encrypt 是最受欢迎的选项之一,因为它既可靠又免费。

如果您使用提供免费 SSL 证书的 WordPress 网络主机,它们很可能来自 Let's Encrypt。 您的托管提供商也可能为您设置证书。

让我们加密的主要特点:

  • 免费 SSL 证书
  • 与一些网络主机集成

让我们加密的优点:

  • 您可以在任何网站上安装 Let's Encrypt 证书。
  • 一些网络主机与 Let's Encrypt 配合使用,并自动化从管理到设置的整个过程。
  • 证书管理和续订过程是即时的。

让我们加密的缺点:

  • 如果您的网络托管服务商无法使用 Let's Encrypt,则注册和设置证书可能会有点复杂。

使用方便:

如果您使用提供免费 Let's Encrypt 证书的网络主机,它将为您处理整个过程。

另一方面,如果您手动获取并安装证书,则需要使用命令行或网络主机的控制面板。 这是一个技术过程,需要您遵循一组说明。 之后,您还需要将 WordPress 配置为通过 HTTPS 加载。

价格:

Let's Encrypt 提供免费的 SSL 证书。

7. 2FA解决方案(miniOrange Google Authenticator)

miniOrange Google Authenticator 插件英雄图

双因素身份验证 (2FA) 是保护 WordPress 网站的最有效方法之一。 使用 2FA,用户必须提供第二种形式的身份验证才能访问其帐户。 这可能是一条短信或一封包含一次性代码的电子邮件,尽管还有其他选项,例如应用程序。

miniOrange 是一个插件,可让您为您的网站设置 2FA,并允许用户使用他们喜欢的身份验证应用程序登录。 其中包括 Google Authenticator、Duo Authenticator、LastPass Authenticator 等选项。

您还可以将插件配置为不使用应用程序,而是通过您选择的渠道发送一次性代码。 虽然基本插件是免费的,但有一个高级版本提供更多身份验证选项。

还值得注意的是,Jetpack 包含由 WordPress.com 提供支持的 2FA 功能。 如果您正在使用 WordPress.com 或对其他 Jetpack 功能感兴趣,这是在您的网站上实施 2FA 的最简单方法。

miniOrange 的主要特点:

  • 多种 2FA 选项
  • 能够通过各种渠道发送 2FA 代码
  • 与多个身份验证应用程序集成

迷你橙的优点:

  • 该插件适用于几乎所有可用的渠道和身份验证应用程序。

miniOrange 的缺点:

  • 设置可能会很棘手,因为您有很多选项可供使用。

使用方便:

miniOrange 插件很容易设置,但需要您进行一些配置。 您需要决定希望插件使用哪些 2FA 渠道或应用程序,然后配置和测试它们。 这不是一个复杂的过程,但需要您遵循一些教程。

价格:

miniOrange 是一个免费插件,高级许可证起价为每年 99 美元。 该插件的免费版本对于大多数网站来说应该足够了。

8. 活动日志(Jetpack)

来自 Jetpack 的活动日志,列出了网站上执行的操作

您对网站上发生的情况了解得越多,网站就越安全。 活动日志是一种工具,可让您概览网站上所执行的操作,包括执行每个操作的人员和时间等详细信息。 不幸的是,这不是 WordPress 提供的开箱即用的功能。

如果您希望能够检查 WordPress 中的活动日志,则需要使用插件进行设置。 Jetpack 插件包括最近 20 个事件的免费 WordPress 活动日志,以及各种高级 Jetpack 计划(Jetpack Security、Complete 和 VaultPress Backup),包括增强的存储时间。

Jetpack 的活动日志包括有关网站更新、新插件和主题安装、评论、媒体上传等事件的信息。

活动日志还告诉您每个事件的负责人。 这在解决安全问题时非常有用,甚至对于找出人为错误的根源也非常有用。

Jetpack 活动日志的主要功能:

  • 详细监控用户活动
  • 长达一年的活动存储(取决于您的计划)
  • 能够检查登录尝试、内容和评论提交、安装以及其他事件

Jetpack 活动日志的优点:

  • 即使您无法登录 WordPress 仪表板,也可以访问活动日志。

Jetpack 活动日志的缺点:

  • 免费计划将活动日志限制为最近 20 个事件。

使用方便:

Jetpack 的安全日志不需要任何配置。 您可以随时从仪表板访问它,但它会将您重定向到 Jetpack 网站以检查您网站的活动。

这种方法使插件更加安全,因为这意味着即使您无法访问网站,您也可以监控日志。 与 Jetpack VaultPress Backup(或包含此功能的计划)结合使用,您可以识别导致问题的活动,然后只需单击一下即可恢复到之前的状态。

价格:

您可以使用免费的 Jetpack 插件或多个高级 Jetpack 计划之一访问活动日志 - 再次包括 Jetpack Security。

9. 停机监控(Jetpack)

来自 Jetpack 的停机通知

如果您使用信誉良好的网络托管服务商,您的网站很少(如果有的话)面临停机。 但是,如果您确实遇到导致网站瘫痪的技术问题或攻击,您需要尽快了解。

停机监控工具会定期检查您的网站是否可访问,如果不可访问,则会向您发送通知。 借助 Jetpack Security,您将获得停机监控和活动日志的组合。

这很重要,因为当 Jetpack 向您发送有关您的网站已关闭的通知时,它还包含指向您网站的活动日志的链接。 这意味着您将能够立即检查网站无法访问之前发生的情况,这可以为您提供解决问题所需的信息。

Jetpack 活动日志的主要功能:

  • WordPress 网站的停机监控
  • 当您的网站出现故障以及再次可以访问时收到通知

Jetpack 活动日志的优点:

  • 该插件在后台监控您的网站,并在检测到任何停机时立即发送通知。

Jetpack 活动日志的缺点:

  • 该插件仅通过电子邮件发送通知。

使用方便:

该插件无需任何配置。 默认情况下启用停机监控,因此您可以高枕无忧,除非您收到 Jetpack 的通知电子邮件。

价格:

停机监控包含在免费的 Jetpack 插件和所有使用它的高级计划中。

我们守护您的网站。 你经营你的生意。

Jetpack Security 提供易于使用、全面的 WordPress 站点安全性,包括实时备份、Web 应用程序防火墙、恶意软件扫描和垃圾邮件防护。

保护您的网站

10. CDN 和 DDoS 保护 (Cloudflare)

Cloudflare 主页上有显示其服务器位置的地图

内容交付网络 (CDN) 是位于全球关键地点的数据中心的集合。 这些数据中心存储您的 WordPress 网站的副本,并从最近的物理位置为访问者加载它们。

如果您有来自世界各地的访客,这是一个巨大的优势,因为即使是闪电般快速的数据传输也需要在数千英里之外花费一段时间。

您还将受益于在访问者和您的网站之间建立一个额外的层。 像 Cloudflare 这样的 CDN 可以通过使用该层来监控尝试访问您网站的每个人,并在流量突然激增时大幅增加您的服务器带宽,从而帮助防范 DDoS 攻击和其他网络安全威胁。

Cloudflare 提供多种计划,并且易于与 WordPress 集成。 事实上,一些网络主机通过他们的计划提供访问权限。

Cloudflare 的主要特点:

  • 能够在全球数据中心网络上缓存您的网站
  • 加速您网站的能力
  • 防御 DDoS 攻击等威胁

Cloudflare 的优点:

  • 正确的实施可以大大减少加载时间。
  • 您可以同时保护您的网站免受网络安全威胁。

Cloudflare 的缺点:

  • 免费计划非常有限。
  • 高级计划相对昂贵。
  • 某些访问者必须输入验证码才能访问您的网站,具体取决于他们的位置和 IP 地址。

使用方便:

使用正确的插件,将 WordPress 与 Cloudflare 集成可以相对简单。 手动集成有点棘手,需要您熟悉编辑域名服务器。

您还需要学习如何使用 CDN。 Cloudflare 提供了充足的文档,但优化配置 CDN 并使其与您的网站配合使用可能需要一些时间。

价格:

Cloudflare 提供功能有限的免费计划。 高级计划取消了这一上限,起价为每月 20 美元,按年计费。

选择 WordPress 安全服务时要考虑什么

此列表中的每项 WordPress 安全服务都提供针对特定安全风险的解决方案。 每个 WordPress 网站都可以从这些类型的工具中受益。 但您决定使用哪些工具取决于您。

如果您想确保您的网站受到尽可能的保护,像 Jetpack Security 这样的一体化工具是最有效的方法。 它通过一个用户友好的包来防范多种类型的安全风险。 否则,您需要根据您的具体网站需求单独解决每个问题。

选择安全工具时,还要询问以下问题:

  • 它与 WordPress 无缝集成吗?
  • 如果该工具是插件,是否定期更新?
  • 它会减慢您的网站速度吗?
  • 有可用的支持吗?
  • 它符合您的预算吗?
  • 根据你目前的经验水平,你能使用它吗?

经常问的问题

如果您仍然对使用哪些 WordPress 安全服务或为什么它们至关重要有任何疑问,本节将旨在回答这些问题。

每个 WordPress 网站都应该具备哪些基本安全服务?

如果您没有时间或预算来设置网站所需的每项安全服务,则必须做出一些艰难的决定。 一个好的起点是 Web 应用程序防火墙、实时备份解决方案和 SSL 证书。

保护我的 WordPress 网站安全的最快方法是什么?

Jetpack Security 等一体化安全工具凭借可立即切换的重要功能组合,使您能够快速保护您的网站。 Jetpack Security 可帮助您管理备份、访问活动日志、保护您的网站免受垃圾邮件和 DDoS 攻击等。 由于所有这些功能都捆绑到一个插件中,因此启动和运行起来既简单又快速。

备份插件如何帮助保证 WordPress 安全?

全站点备份在各种情况下都可以派上用场,从网络攻击到错误的代码行。 基于云的备份解决方案是理想的选择,因为它可以保护您的文件免受服务器问题的影响,这些问题可能会同时导致您的站点和备份瘫痪。

即使您无法登录 WordPress 仪表板,基于云的备份(例如 Jetpack VaultPress Backup 提供的备份)也允许您访问和恢复您的网站。

我应该在 WordPress 网站的备份插件中寻找什么?

一个出色的备份插件可以自动执行整个过程,因此您不必担心定期创建网站的副本。 如果可能,该插件应在您每次进行更改时备份您的网站,以防止数据丢失。

某些解决方案(例如 Jetpack VaultPress Backup)还提供异地备份存储。 从安全角度来看,这一点至关重要,因为它可以降低服务器宕机时您无法访问这些副本的风险,并在您的主机受到威胁时保护它们。

我应该多久备份一次 WordPress 网站?

至少,您应该每天备份您的网站。 但理想的解决方案是实时备份,因此您网站上所做的每一项更改都会在发生时保存。 这对于经常更新的网站(例如博客和电子商务商店)尤其重要。

什么是恶意软件扫描程序,为什么它对 WordPress 安全很重要?

恶意软件扫描程序是一种安全服务,可分析您的网站是否存在恶意文件或代码。 扫描仪的有效性取决于它对您站点的访问级别以及它所比较信息的数据库的质量。

借助 Jetpack Security,您可以使用功能强大的恶意软件扫描程序。 这会自动检查您的网站是否存在问题,并在发现任何问题时向您发出警报。

如何保护我的 WordPress 网站免受暴力攻击?

安全插件或 WAF 可以帮助保护您的网站免受暴力攻击。 这些安全服务(例如 Jetpack 提供的服务)可阻止已知的恶意 IP 访问您的网站或使您的服务器超载。

Jetpack Security:WordPress 的一体化安全和恢复工具

如果您不想拼凑三四种不同的安全服务来获得所需的覆盖范围,那么您最好的选择是 Jetpack Security。 它的名字一次又一次出现在这个列表中,因为它涵盖了防止黑客攻击和在紧急情况下快速恢复所需的所有基本要素。

它是由 WordPress.com 背后的人员开发和维护的即插即用选项 - 因此您知道它可以正常工作并且运行良好

它包括自动实时备份和异地存储(加上一键恢复),以及防火墙、暴力攻击防护、活动日志、双因素身份验证、停机监控、垃圾邮件防护等。

与设置多个可能无法很好地协同工作的插件相比,Jetpack Security 是一种更具成本效益的全面保护途径。

如果您只需要 Jetpack 提供的一项特定安全功能,您可以在此处探索其单独的计划和插件,以创建更加定制的解决方案。

准备好迎接更安全的场所和更好的睡眠了吗? 立即尝试 Jetpack Security!