WPMU Defender Pro

已發表: 2019-03-19

安全性是(或應該是)任何網站所有者的主要優先事項之一,沒有太安全的事情。 今天我要回顧一個特別有趣的處理安全的插件,它是由 WPMU 和它的 Defender Pro 製作的。 這個插件提供了大量直觀、易於使用的工具和真正有用的功能,它是 WPMU 作為基於訂閱的模型提供的包的一部分。

後衛價格

WPMU 遵循訂閱模式並提供一些額外的服務。 任何成員都可以使用 100 多個插件,它們可以安裝在任何數量的網站上,不限次數,只需每月 49 美元的單一固定費率費用,這對於任何希望覆蓋所有基礎的人來說都是一筆不錯的交易,因為 WPMU 有幾乎所有東西的工具,安全性和速度是最重要的兩個。 有問題的插件 Defender Pro 是他們的頂級產品之一。 儘管乍一看價格可能看起來很高,尤其是如果您使用的是 WordPress 存儲庫中的免費增值安全插件之一,但將這個插件與 100 多個其他插件結合使用的好處肯定會讓這個報價變得更加有趣。
Defender 可以直接通過 WPMU DEV Dashboard 安裝。 您有兩種方法可以將主插件添加到您的站點。 在本文中,我將把插件添加到我自己的遊戲雜誌中。 您可以通過 WPMU 調用 Auto Sync 的功能來做到這一點,這涉及將您的用戶名和密碼提供給 WPMU 的 Web 面板,以便它自動安裝插件,或者通過自己下載 WPMU DEV Dashboard 插件並使用您的憑據登錄到您的 WPMU Dev 儀表板.

在那之後,一切都變得容易多了。 安裝 WPMU Dev Dashboard 後,添加任何插件就像在列表中單擊它一樣簡單,然後就可以離開了。

後衛功能

可以從通過訂閱模型提供的插件列表中安裝 Defender。 在安裝之前,您可以查看它必須提供的功能。

除了分析您的網站和提供調整等基本安全功能外,Defender Pro 還提供高級功能,如 2 因素身份驗證 (2fa)、IP 鎖定工具和谷歌黑名單監控等:該插件不僅僅是向內查看您可以進行哪些更改為您的網站製作以使其更安全,它還向外關注現實世界的威脅並幫助您管理它們。 這是一個很好的打包插件。

之前和之後的表現

在深入研究這些功能之前,讓我們先看看網站性能,沒有緩存和沒有啟用 Defender Pro。

而現在,這是啟用 Defender Pro 後的表現。 您可以看到該插件沒有向站點添加任何額外的請求,並且性能與該插件不存在時完全相同。 由於這不是一個速度增強插件,我們不是在尋找改進的結果,我們只是不想要更糟糕的結果。 到目前為止做得很好。

配置

現在,對於歡迎屏幕。 Defender Pro 讓您通過快速設置啟用所有功能,或者您可以跳過此歡迎屏幕並自行完成所有操作。 對於有經驗的人,我推薦後者。

該插件的主要功能分為:自動文件掃描、審計日誌、IP 鎖定和黑名單監視器。 您將看到還有更多功能需要啟用,這些功能不屬於此快速設置的一部分。

儀表板

啟用並準備好插件後,您會看到以下儀表板。

WPMU 知道如何做儀表板,這是肯定的。 一切都清晰明了,即使這是您第一次查看安全插件的 UI,您也可能能夠按照自己的方式解決問題。 該插件將通過顯示黃色和紅色警告來通知任何違規行為。 文件掃描在我的網站上檢測到 26 個可疑文件,並建議進行一些安全調整。 這些文件恰好是其他插件留下的舊安裝,並且被輕鬆刪除。 這些建議也很有幫助且易於執行,因為該插件允許您運行它們而無需求助於任何第三方方法,例如 FTP 等。文件掃描器可以檢測您網站上的漏洞,還可以控制 WordPress 核心文件被改變。

安全調整

Defender Pro 建議我禁用 WordPress 中的文件編輯器,重新生成我的安全密鑰,並通過應用規則來阻止某些危險文件夾。 由於 Apache 是唯一能夠在不更改其自己的配置的情況下執行規則的人,因此與我的服務相關的 NGINX 規則必須複製粘貼到服務器,這不是插件的限制,它只是在 NGINX 中完成的事情。 該插件通過顯示需要上傳到 NGINX 配置的代碼來很容易地做到這一點,非常好。

實施所有安全功能後,插件會顯示一個綠色清單。 獲勝。

更多功能

該插件還使用稱為 IP 鎖定的功能,可讓您控制查看者訪問您網站的方式。 此功能還有助於控制登錄失敗嘗試,稍後我將向您展示。

Blacklist Monitor 功能顯示您的網站針對 Google 黑名單的當前狀態。 此功能將每 6 小時檢查一次您的網站,並在出現問題時通過電子郵件報告。

高級工具

在“高級工具”菜單下,您會發現該插件的一些最有趣的功能。

兩因素身份驗證

該插件將雙重身份驗證添加到您的站點和掩碼登錄區域。

可以使用手機上的 Google Authenticator 應用程序啟用 2 因素身份驗證。 這實質上意味著任何試圖使用您的登錄詳細信息的人也需要您的手機在他們面前。 這是確保只有您可以以您自己的身份登錄並且您網站上的每個用戶都可以登錄的好方法。

您還可以自定義發送給用戶的電子郵件,並通過提供一次性密碼選項來激活故障保險,以防用戶丟失手機。

屏蔽登錄區

Advanced Tools 下的第二個選項是 Mask Login Area。 這個有用的功能允許您重命名直接鏈接以登錄到您的儀表板。 通過將/wp-login/wp-admin替換為您想要的任何單詞。 雖然通過默默無聞的安全性在 WordPress 和更廣泛的軟件社區中是一個激烈爭論的話題,但我很高興知道 Defender 給了我這個選項。

更好的是,您甚至可以通過將所有/wp-admin/wp-login流量重定向到您喜歡的任何 URL 來啟用重定向任何嘗試登錄到您的站點的流量的選項。 酷吧?

在我的情況下,URL 登錄需要對我的 NGINX 配置進行微調以跳過緩存,就像/wp-admin一樣,否則它將無法工作。 在 Apache 下這不是必需的。

IP 鎖定功能

這是 Defender Pro 最有趣和最有用的功能之一,因此我將仔細研究它。 它甚至有自己的儀表板。

該功能的第一部分是最重要的,因為登錄保護將使用由嘗試和時間範圍定義的閾值來限制您網站上的登錄嘗試。 鎖定的持續時間允許您限制您給所述 IP 的秒數,直到允許它再次嘗試登錄。

404 檢測將允許您為任何使用過多 404 嘗試的訪問配置鎖定。 這可能有用,也可能沒有用,因為可能有真正的用戶試圖訪問您網站上不再可用的鏈接。

IP Banning 工具控制您如何處理以前處於鎖定狀態的 IP 地址,它包括白名單黑名單選項,正如預期的那樣。 繼續將您自己的 IP 地址列入白名單是個好主意。

通知允許您控制如何接收電子郵件通知。 您可以在此處添加額外的收件人,還可以控制您收到的電子郵件數量。

最後,這是一個典型的例子,說明當您的網站出現問題時,您將如何接收這些電子郵件。 您始終可以根據自己的喜好控制和調整過程,這是該插件的一大優勢。

閱讀更多

包起來

在一個插件中擁有一個活動文件掃描器、一個帶有登錄保護的 IP 鎖定功能以及最重要的是一個谷歌黑名單監視器、一個登錄區域的掩碼和兩因素身份驗證,再加上活動審計日誌的額外好處使得一個極好的並且非常完整的包裝。 請記住,在將價格與其他選項進行比較時,您不是為 Defender 付費,而是為 WPMU 提供的所有內容付費,而且很多。 毫無疑問,這是我遇到的最好的安全插件之一,如果安全是您博客或網站的優先事項,我完全推薦它。 再一次證明,WPMU 在他們所做的事情上表現出色,提供了有用的插件,其中包含易於導航和使用的選項。 無論您的技能如何,這個插件都是一個可靠的守門員,感覺穩定、編碼良好且功能豐富。