WordPress防火墙安全扫描插件Wordfence

Wordfence 是被公认的全球领先的 WordPress 安全团队，他们的这款防火墙安全扫描插件提供了一套全面的安全功能。

Wordfence 插件包含端点防火墙、恶意软件扫描器、强大的登录安全功能、实时流量视图等。“威胁防御规则库” (Threat Defense Feed) 为 Wordfence 提供了最新的防火墙规则、恶意软件特征码和恶意 IP 地址，确保使用它的网站安全无忧。

目前，Wordfence 还集成了双因素认证 (2FA) 和一系列其他功能，是目前市面上最全面的 WordPress 安全解决方案之一，下面就一起来看下这款 WordPress 安全插件的主要功能。

1、WP 防火墙

• Web 应用防火墙 (WAF) 可识别并阻止恶意流量。由一支完全专注于 WordPress 安全的大型团队构建和维护。
• 通过“威胁防御规则库”提供实时的防火墙规则和恶意软件特征码更新 [高级版]（免费版延迟 30 天）。
• 实时 IP 黑名单 [高级版] 可阻止来自最恶意 IP 的所有请求，保护网站并降低服务器负载。
• 在端点（即网站服务器）进行防护，实现与 WordPress 的深度集成。不同于云端替代方案，它不会破坏加密连接、无法被绕过，也不会泄露数据。
• 集成的恶意软件扫描器可阻止包含恶意代码或内容的请求。
• 通过限制登录尝试次数，防止暴力破解攻击。

2、WP 安全扫描器

• 恶意软件扫描器 会检查核心文件、主题和插件是否存在恶意软件、恶意 URL、后门、SEO 垃圾信息、恶意重定向和代码注入。
• 通过“威胁防御规则库”提供实时的恶意软件特征码更新 [高级版]（免费版延迟 30 天）。
• 将核心文件、主题和插件与 WordPress.org 官方仓库进行比对，检查其完整性并报告任何变更。
• 修复 WordPress 核心、主题和插件文件：将已更改的文件覆盖为原始纯净版本。在 Wordfence 界面内轻松删除任何不属于你的文件。
• 恶意软件移除工具提供“删除文件”和“删除所有可删除文件”选项，实现高效的恶意软件清除。请记得先调查扫描结果并备份文件！
• 检查网站是否存在已知的安全漏洞，并在出现问题时发出警报。当某个插件被关闭或废弃时，也会发出潜在安全问题的警报。
• 通过扫描文件内容、文章和评论中的危险 URL 和可疑内容，检查内容安全。
• 检查网站或 IP 是否因恶意活动、发送垃圾邮件或其他安全问题被列入黑名单 [高级版]。

3、登录安全

• 双因素认证 (2FA)：目前最安全的远程系统认证方式之一，支持任何基于 TOTP 的认证器应用程序或服务。
• 登录页面 CAPTCHA：阻止机器人登录。
• WooCommerce 及自定义集成的 2FA：允许在自定义账户页面上设置 2FA。
• XML-RPC 选项：包括禁用或添加 2FA。
• 密码安全：阻止管理员使用已知的泄露密码进行登录。

4、安全审计日志 [高级版]

• 审计日志 监控网站中所有安全敏感区域的变更和操作。
• 通过 Wordfence Central 实现远程防篡改数据存储。
• 监控事件和操作，范围涵盖用户创建和编辑、插件/主题安装和更新，以及文章和页面的更改。
• 可配置为记录所有事件或仅记录重要事件，后者包括所有身份验证、网站配置和网站功能事件。

5、WORDFENCE CENTRAL

Wordfence Central 是在一个地方集中管理多个网站安全性的强大而高效的方式。

• 集中管理：在一个视图中高效评估所有网站的安全状态。无需离开 Wordfence Central 即可查看详细的安全发现。
• 强大的模板：让配置 Wordfence 变得轻而易举。
• 高度可配置的警报：可通过电子邮件、短信或 Slack 传送。利用严重性级别选项和每日摘要选项，提高有效信息与噪音的比例。
• 跟踪并警报重要的安全事件，包括管理员登录、使用已泄露密码以及攻击活动激增。
• 免费用于无限数量的网站。

6、安全工具

• 实时流量 (Live Traffic)：实时监控其他分析软件包中未显示的访问和黑客攻击尝试；包括访问来源、IP 地址、访问时间及在网站停留时间。
• 阻止攻击者：按 IP 地址阻止，或基于 IP 范围、主机名、用户代理 (User Agent) 和来源网址 (Referrer) 构建高级规则。
• 国家/地区屏蔽：Wordfence 高级版提供此功能。

插件使用前，需要到官网获取许可证，没有高级版需求的，获取一个免费证书即可，点击 Get a Free License 按钮，然后提供一个邮箱地址即可。