最新Wordfence下载(Premium), 可在线更新, 强大安全防火墙插件

安全防火墙插件Wordfence下载(Premium) GPL授权, 可在线更新 。Wordfence是Wordpress最好的安全(Security)插件,功能强大容易设置效果明显。主要功能有屏蔽/限制恶意爬虫和机器人,强力防火墙,拦截特定地区/设备/IP访问,2FA安装登录,定期自动扫描,访问流量监控等。还能扫描对比主题和插件代码,监控代码运行情况,及时发现异常代码。
外贸星
专业WordPress建站

WordPress 是非常知名的开源建站程序,全球范围内高达40%的网站使用WP搭建,这就导致很多不法分子盯上了 WordPress 想搞点破坏或者黑客之类的动作。

每天都有无数程序自动扫描全球WordPress搭建的网站,有的是发垃圾邮件,有的是植入木马做坏事,有的是盗取优质文章之类。防火墙插件是一定要安装的,除了保障安全外还可以拦截一些不友善的机器人程序大大降低服务器负担以及保护文章内容不被盗取。

Wordfence官网数据↓

image 8

 

其实最强大的Wordpress安全插件是付费版Sucuri,有CDN级别防火墙。不过它没有GPL版本,原版价格很高,而且它会减慢加载速度。iThemes Security 和All In One WP Security也不错,不过功能没有Wordfence强大、全面。

Wordfence 是最适合大众,性价比最高,功能最全面,防护效果最好的安全插件之一。可以限制登录尝试次数、拦截恶意机器人爬虫、屏蔽固定IP/地区访问、拦截恶意流量、启用2FA登录验证功能等,安全性max!

下图是网站受到SQL注入攻击,被Wordfence发现并且成功拦截后发送给管理员的通知邮件。

Pasted 90

 自动拦截恶意爬虫。

Pasted 109

 

WORDPRESS防火墙
Web 应用程序防火墙可识别并阻止恶意流量。由一个 100% 专注于 WordPress 安全性的大型团队构建和维护。
[Premium] 通过 Threat Defense Feed 实时更新防火墙规则和恶意软件签名(免费版延迟 30 天)。
[Premium] 实时 IP 阻止列表阻止来自最恶意 IP 的所有请求,在减少负载的同时保护您的站点。
在端点保护您的站点,实现与 WordPress 的深度集成。与云替代方案不同,它不会破坏加密、无法绕过且不会泄露数据。
集成的恶意软件扫描程序会阻止包含恶意代码或内容的请求。
通过限制登录尝试来防止暴力攻击。

WORDPRESS安全扫描器
恶意软件扫描程序检查核心文件、主题和插件是否存在恶意软件、不良 URL、后门、SEO 垃圾邮件、恶意重定向和代码注入。
通过 Threat Defense Feed 实时更新恶意软件签名。
将您的核心文件、主题和插件与 WordPress.org 存储库中的内容进行比较,检查它们的完整性并向您报告任何更改。
通过用原始的原始版本覆盖它们来修复已更改的文件。删除任何不属于 Wordfence 界面的文件。
检查您的站点是否存在已知的安全漏洞并提醒您任何问题。当插件被关闭或放弃时,还会提醒您潜在的安全问题。
通过扫描文件内容、帖子和评论中的危险 URL 和可疑内容来检查您的内容安全。
检查您的网站或 IP 是否因恶意活动、生成垃圾邮件或其他安全问题而被列入黑名单。

登录安全
双因素身份验证 (2FA),一种最安全的远程系统身份验证形式,可通过任何基于 TOTP 的身份验证器应用程序或服务获得。
登录页面 CAPTCHA 阻止机器人登录。
禁用或添加 2FA 到 XML-RPC。
使用已知的泄露密码阻止管理员登录。

WORDFENCE中心
Wordfence Central 是一种在一个地方管理多个站点的安全性的强大而有效的方法。
在一个视图中有效地评估您所有网站的安全状态。无需离开 Wordfence Central 即可查看详细的安全发现。
强大的模板使配置 Wordfence 变得轻而易举。
高度可配置的警报可以通过电子邮件、SMS 或 Slack 传递。通过利用严重性级别选项和每日摘要选项来提高信噪比。
跟踪重要的安全事件并发出警报,包括管理员登录、密码泄露使用和攻击活动激增。
免费用于无限的网站。

安全工具
使用实时流量,实时监控其他分析包中未显示的访问和黑客尝试;包括来源、他们的 IP 地址、一天中的时间和在您的网站上花费的时间。
通过 IP 阻止攻击者或基于 IP 范围、主机名、用户代理和引用者构建高级规则。
Wordfence Premium 提供国家/地区阻止功能。

image 40

 

注意:在仪表盘等地方会显示类似下图内容,提示当前版本为免费版本,高级功能不可用。忽略就行,所有高级功能正常使用没有影响。如果在意请勿购买!有个用户故意找茬说显示下图内容,非要我们处理好。解释很久对方还是不理解,直接退款拉黑。

image 39

这是GPL版本插件,所以这个地方显示这样,功能都正常使用,不需要在意这个提示。那个用户应该是把插件转卖或者用在别人网站,拿破解版当正版宣传,他客户找他麻烦,他就来我这里找茬。要想百分百完美,请去wordfence官网购买官方版本

 

什么是GPL插件

此插件属于GPL授权产品,安全合法。点击了解什么是GPL协议,点击了解WordPress官网关于GPL的说明。简单的说采用GPL协议的插件/主题源代码开源共享,可以被合法地自由更改、使用、分发。

本商品标题提及的插件/主题所属公司和我们没有任何关系,该公司也没有授权其产品或者品牌给我们。本商品是标题提及插件/主题的分发版本,由第三方公司/开发者制作,并由我们根据通用公共许可证 (GPL) 条款重新分发。

我们使用该插件/主题名字目的仅为明确本GPL商品所基于的插件/主题,旨在帮用户更好地了解我们这个产品的功能及可能的应用场景,绝无冒充或误导之意。本商品的销售遵循并尊重 GPL 许可协议的所有条款,确保用户了解他们获取的是基于开源许可的插件/主题分发版本。允许他们查看、修改和重新分发软件,以促进软件的自由使用和发展。

 

插件安全性

直接从国外正规渠道购买,不修改源代码。所有插件我们自用建站,在多个站点使用过,安全、稳定、可靠。担心插件不安全?查看《WordPress破解版插件/主题 (绿色版, GPL, Nulled) 安全吗?》

  1. 通过Virustotal杀毒验证
  2. 通过Wordfence源代码审核;
  3. 通过Sucuri安全杀毒扫描。

Sucuri 扫描结果

 

Wordfence更新方法/记录

此插件能在后台在线更新,有新版本时直接点击更新升级。

点击查看该插件更新记录(Changelog)

 

Wordfence下载(Premium)购买条款

本站插件购自国外网站,购买价格为4.99美金/个,有效期2年。外贸星统一售卖价格为19元人民币/个,终生有效,并且花费巨大精力制作了使用教程还提供人工答疑服务,绝对物超所值。插件仅供学习交流研究使用,虚拟产品具有可复制性,一经售出概不退款,详情请移步服务条款

外贸星为购买用户提供售后服务,插件使用过程有任何疑问请在下方评论留言,有问必答。

 

Wordfence安装/ 启用方法

因为可以在线更新,所以我们没有上传最新版本安装包。请安装完插件后先禁用,然后启用,会提示更新版本。在线更新插件后再配置防火墙。

需要先卸载免费版本,如果同时使用免费版本和高级版本会提示下图内容。直接上传安装包安装,启用插件即可。设置教程和常见问题看下方教程。

image 41

 

安装方法1:上传安装

在网站后台左侧菜单栏目找到并且点击“插件”>“安装插件”,然后点击左上角的“上传插件”,上传下载好的zip安装包点击“立即安装”,安装好后点击“启用插件”完成安装。

上传插件

安装方法2:FTP安装

解压插件压缩包,将解压获得的文件夹上传至plugins目录(xxx.com/wp-content/plugins)。
在网站后台左侧菜单栏目找到并且点击“插件”>“已安装插件”,在插件列表中找到该插件,点击“启用”。

启用插件

 

可在线更新,直接后台更新就行。

Pasted 160

 

Wordfence启用、配置防火墙

安装插件后网站顶部会出现下图中提示,需要配置后防火墙才能启用。点击“点击这里配置”按钮。

Pasted 51

安装方法1

数字1那里会自动根据服务器情况选好相应类型,不用管。依次点击数字2,3步骤操作。

Pasted 116

一般情况下会提示安装成功,清理缓存刷新后完成防火墙启用。如果安装失败提示下面内容,是因为.user.ini文件权限被锁定,导致写不进内容。

Pasted 118

有2个办法可以解决这个问题,1是手动编辑.user.ini文件添加内容,2是使用SSH登陆后解除.user.ini文件写入限制(2个方法选1个就行,建议选手动编辑),然后回到网站后台按Wordfence插件提示再启用一次防火墙即可。

手动编辑.user.ini(推荐):

通过管理面板或者FTP进入网站根目录,找到并且打开编辑.user.ini文件Pasted 145。默认情况下只有下图所示一行内容。

Pasted 149

把下面3行代码复制下来,把xxx.com改成你.user.ini文件上图黄色框中的网址,然后把3行代码粘贴到.user.ini里面,点保存修改。

; Wordfence WAFauto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'; END Wordfence WAF

下图是粘贴3行代码后的样子↓。

Pasted 148

回到插件设置仪表盘界面,刷新页面,此时防火墙已经100%启用,防火墙防护已经启用。刷新后没有启用的话是缓存导致,清理所有缓存刷新。

Pasted 151

 

SSH解除.user.ini写入限制(不推荐,安全性降低):

使用SSH登录,直接输入下面内容按enter回车键即可解除限制。

把xxx.com改成你站点的域名Pasted 121

chattr -i /www/wwwroot/xxx.com/.user.ini

这是粘贴后的样子Pasted 128

这是按回车键后的样子Pasted 142

最后去宝塔面板,进入站点根目录文件夹,找到.user.ini文件 Pasted 125,点“权限” Pasted 124。勾选全部权限,点“确定”。

Pasted 126

此时再按上面教程重新启用防火墙会提示安装成功↓。

Pasted 144

刷新网站缓存,再刷新页面,仪表盘显示防火墙已经100%启用。

Pasted 150

注意:一定要回去宝塔面板,按下图把.user.ini文件权限改回去,改成644,有时网站可能修改不成功,忽略。

Pasted 127

 

安装方法2(不推荐,安全性降低)

注意:这个方法主要适合共享(托管)服务器或者只有一个网站的VPS服务器。如果VPS服务器存放了多个网站需要把其它网站的“防跨站攻击”关闭(会降低网站安全性),不然的话其它网站无法打开。建议还是采用方法1安装。

Pasted 117

Pasted 62

如果是共享(托管)服务器,按上图操作后应该自动激活了。如果是VPS Nginx会提示安装 auto_prepend_file = '/www/wwwroot/xxx.com/wordfence-waf.php'

Pasted 63

以宝塔面板为例,在PHP管理里面 > “配置文件”,大概在698行左右找到“auto_prepend_file =”这个内容,在后面补上界面提示的代码'/www/wwwroot/xxx.com/wordfence-waf.php' (这代码只是示例别直接复制粘贴!),然后刷新宝塔面板内存,回到网站后台刷新页面缓存,高级防火墙已经启用(显示100%)。

Pasted 57

 

开启2FA安全登录验证

2FA是双重因素验证,登录时需要输入验证码(无需翻墙),功能类似于银行U盾或者电子密码器。建议开启2FA安全登录验证,大大提高安全性。

点击后台左侧Wordfence里面的“Login Security”,再点击顶部的"Settings"。这里设置什么角色可以启用2FA安全登录验证,可选是强制开启登录认证还是自由开启(Optional)。一般只有自己公司后台管理员之类才开启安全登录,客户之类不建议开启。

Pasted 44

点击勾选下图功能,点“SAVE”保存。这样在新设备第一次登录需要验证,往后30天无需验证。

Pasted 45 Pasted 46

 

点击顶部的“Two-Factor Authentication”进入绑定验证器界面。手机先去谷歌Paly或者苹果Store下载谷歌身份验证器软件(下图),如果打不开谷歌商店点击这个链接下载安卓APK安装包

Pasted 47

回到Wordfence的“Two-Factor Authentication”界面(下图)。打开刚安装的谷歌验证器软件,点击软件右下角那个彩色的圆形+号,选择“扫描二维码”,扫码Wordfence界面中的二维码完成网站绑定。此时谷歌验证器会显示一行信息:Wordfence(xxx.com),(可能需要先点击“Click to reveal PIN”)会显示一个6位数验证码,输入下图红色框中“ACTIVE”。

Pasted 59

会提示下载恢复密匙,点击下载后完成绑定。恢复密匙作为备用方案可以在没有验证码的情况下登录网站,妥善保管。

Pasted 49

下次登录后台时会提示输入2FA Code,打开手机验证器软件,输入软件里面的6位数字点“Log In”登录。勾选“Remember for 30 days” 30天内在同一个设备登录不需要输入验证码。

Pasted 50

 

Wordfence设置、使用教程

设置方法点击查看Wordfence设置教程

如果扫描提示下图内容,点击展开详情。

Pasted 244

官方源文件里面不存在下图中的红色代码,所以提示有毒。那是移除license key验证代码,不是病毒,点忽略就行。不放心可以把代码复制放到免费Kimi AI工具问下是否有毒。

Pasted 245

Pasted 246

 

常见问题 & 解决方法

提示扫描失败

很多时候扫描失败提示下面文字错误,是因为服务器卡顿,资源不足无法支持扫描。解决好服务器问题后继续扫描即可。

2024.08.30更新:今天插件更新版本,提升了扫描性能,降低30%服务器负担,靠谱。

"There was an error connecting to the Wordfence scanning servers: cURL error 28: Resolving timed out after 10001 milliseconds"

常见问题1:如果扫描过程自动暂停并且提示下图内容,一般是因为服务器忙扫描超时。

Pasted 37

Pasted 208

解决方法:
1- 在宝塔面板把PHP设置>配置修改的max_execution_time改为1000或更多;

Pasted 85

2- 在网站根目录的wp-config.php 添加下面代码后保存文件。

define('WORDFENCE_SCAN_FAILURE_THRESHOLD', 600);

Pasted 60

3- 在Wordfence插件>“扫描”>“扫描选项和计划”(中间位置右边),扫描等级选“高灵敏度”。找到“性能选项”设置,把最大执行时间改为25。如果服务器配置很低很卡就勾选“使用低资源扫描”,不然的话别勾选。

Pasted 61

操作完上面3步刷新页面点重新扫描应该恢复正常。如果还是扫描失败,应该是服务器卡,配置低于1H2G或者太多页面之类。修改“扫描选项和计划”,取消勾选下面内容减少扫描量试下。

Pasted 209

Pasted 210

 

如果扫描过程自动暂停并且提示下图内容,是innodb_log_file_size过小导致(默认为5M)。

Pasted 137

进入宝塔面板 > “MySQL” >“配置修改” > 大概51行位置,把 innodb_log_file_size的值改为30M。保存后重启数据库。刷新页面重新扫描恢复正常。

Pasted 135

 

无法保存文件、产品、关键词

如果遇到无法保存文章、产品、添加的关键词或者一些插件设置等,可能是被安全插件拦截,开启学习模式解决问题。点击Wordfence > “防火墙”。下图红色框提示“阻止复杂的攻击”证明不是处于学习模式,点击“管理WAF”。

Pasted 52

选择学习模式,勾选自动启用,选择一个自动启用日期。点右上角“保存更改”。

Pasted 53    Pasted 54

回到防火墙,显示“目前处于学习模式”

Pasted 55

 

扫码结果提示有问题

扫描后可能会发现很多标记黄色的问题(下图),表示插件的某些文件的代码跟源文件的有差异,可是处于安全范围内,大部分情况下可以直接点击“总是忽略”,建议查看代码差异后根据情况操作。

造成这个现象一般是更新了插件/主题,最新版代码跟上个版本的代码有点差异。还有一个原因是使用了GPL或者破解版的插件,源文件被写入license key 激活或者添加一些代码屏蔽验证步骤之类。

点击“查看差异”可以查看有差异的代码。

Pasted 39

例如下图是文件差异对比,左边是源文件,右边是新文件,红色背景部分表示新文件比源文件少了一些代码。从下图可以看出新文件少了几行CSS代码(9-23行)。css代码不影响安全性之类,可点击“总是忽略”。

Pasted 40

Pasted 41

下图橙色背景部分表示GPL插件新文件跟源文件的代码有部分差异,新文件添加了“PAID CURRENT”绕过插件激活验证,文件是安全的,可点击“总是忽略”。

下图绿色背景部分表示新文件比源文件新增的代码,代码的意思是密匙key 365天后过期,也是为了绕过插件激活验证,文件是安全的,可点击“总是忽略”。

Pasted 56

如果提示的问题是是红色圆圈,很大概率被挂马,需要删除/恢复文件。具体情况要看哪个文件出问题,被添加了什么代码。如果是readme之类文件直接删除,如果是index.php, login.php之类文件被挂马直接下载一个全新的wordpress安装包解压出来,把里面的相应文件粘贴覆盖掉被挂马文件,同时清理所有缓存。

 

访问页面被拦截

如果出现下面图情况,是被防火墙误判拦截。直接打勾“I am certain this is a false positive”, 再点击“Allowlist This Action”,最后刷新页面即可恢复正常。

Pasted 86

如果出现下图情况,直接刷新页面一般会恢复正常。刷新不行的话按下图步骤输入网站绑定的邮箱,点击发送解封邮件。查收邮件点击里面链接解封IP。如果你网站发信功能异常,将不会收到邮箱,通过FTP或者宝面板把插件禁用,登录后台后再启用即可。

建议把常用IP地址加入wordfence防火墙白名单避免被误拦截。

Pasted 194

 

扫描超时、经常提示插件需要更新

一般服务器配置卡或者卡顿会导致资源不够扫描暂停或者失败,解决服务器卡顿问题是关键,同时优化下扫描任务减少压力。

点击“扫描”↓

image 9

点击“扫描选项和计划”↓

image 10

选择“标准扫描”↓

image 11

下面2个↓不要勾选,扫描压力小点,插件新版本代码不一样不会提示。不要随便安装不知来源插件!

image 12

不要勾选↓,有插件/主题更新Wordfence不会提示(后台还是会提示)。有新插件要及时更新!

image 13

勾选↓,安全性大大提高。

image 14

勾选↓,降低服务器压力。

image 15

修改参数↓

Pasted 165

点右上角保存更改。

image 16

 

提示“Wordfence Web应用防火墙的最后一次规则更新不成功...”

如果提示下图内容:“Wordfence Web应用防火墙的最后一次规则更新不成功...”,点击“Manually Update”。

Pasted 203

点击“手动刷新规则”↓。

Pasted 204

提示更新成功↓。

Pasted 205

如果想一劳永逸解决问题,看这个解决方法教程,按客服说的操作就行。

 

谷歌索引收录/?wordfence前缀无用页面

生成很多下图中网址带/?wordfence前缀的无用页面,并且被谷歌Google Search Console收录。

image 31

解决方法:在robots.txt文件中添加一行:Disallow: /*/?wordfence* 就可禁止爬虫爬取相应页面。

image 38

 

网站被黑案例分享

案例1:
一个访客刚在外贸星这里购买了Wordfence插件,一直问我是否安全、有没有后门之类,直觉告诉我他有故事。聊开发现他网站之前被黑瘫痪中,想购买我们Wordfence插件拯救。如果他以前一开始就购买这个插件,大概率不会发生被黑事件。

Pasted 183

Pasted 184

 

案例2:
曾经一个建站客户网站被挂马出现Malicious Redirects的案例,仅供大家参考。一个2C客户网站被挂马,打开后台登录页面和前台所有页面会自动跳转到下图网站。无法登陆后台,打不开页面,同服务器另外2个网站也受牵连。

Pasted 42

后台登陆由wp-login.php文件控制,登录不上去第一时间去网站根目录查看这个文件源码,发现被添加了十多行恶意代码。从健康站点复制wp-login.php过来覆盖掉,登录页面恢复正常。

首页由wp-index.php文件控制, 去网站根目录查看这个文件源码发现也被挂马,从健康站点复制wp-index.php文件过来覆盖掉,页面正常打开不再跳转。

使用WordFence插件扫描整站,结果:
提示wp-load.php有病毒,对比源文件发现第107行开始被添加了恶意代码,删掉即可。
提示wp-content/plugins/wordfence/readme.md有病毒,查看最新插件安装包源文件发现不存在这个文件,而且readme.md文件一般是说明性文件不具备功能可删掉,所以直接删掉这个文件。

处理完威胁后再用Wordfence扫描整站,提示Wp Rocket缓存文件有病毒,应该是定期更新缓存时缓存了有毒文件。直接进入宝塔面板把整个缓存文件夹删掉,让缓存插件重新缓存。

再用WordFence扫描整站,提示安全,威胁解除。马上修改后台登录地址、登录用户名、密码。

复盘这次事件应该是客户其中一个网站的登录账号和密码太简单被破解导致。客户当初找别人搭建WP后台,自己搞前端页面。别人随便给他设置了一个4个数字的管理员登录名,密码也很简单,还没安装防火墙插件,安全性非常低。

这件事也不能怪第三方,他只负责安装后台自然不会主动安装防火墙之类。随便弄个简单管理员账号只是为了让客户登录后台,按理来说客户应该新建账号删掉旧账号。客户自己前端搞不定才找我们搭建,我们也不想多管闲事就没理其它内容。

网站被黑后我们免费帮客户清理病毒,设置新账户,安装wordfence防火墙插件。也算吃一点长一智,以后遇到这种事情先建议客户把安全性提高,虽然出安全问题不是我们的过错可还是要我们处理,干脆一开始弄好。

不建议小白自己搭建网站原因之一就在这里,使用WP搭建一个网站很简单,可是要方方面面做到位需要丰富经验。安全方面安装设置好Wordfence插件基本就OK了。

网上很多扫描器自动扫描网站漏洞,枚举登录后台之类,然后挂挖矿程序或者木马跳转到赌博/病毒网站。后台登录地址一定要修改不能使用默认地址,用户名和密码尽量设复杂点。安装WordFence安全插件可以大大增强网站安全性,还能增加2FA安全登录验证。

WordPress 很多插件经常被曝出有重大安全漏洞,就连知名的Elementor插件也被几次曝出有严重安全漏洞,官方紧急发布新版本修复。尽量安装知名度比较高的插件/主题,代码一般比较规范,背后团队实力可靠。插件、主题一定要及时更新到最新版本。

如果使用破解版/GPL插件和主题,一定要先杀毒并且在可靠渠道购买。详情查看《破解版插件/主题(GPL版本)安全吗?啥缺点?哪里买可靠?

End

相关插件

滚动至顶部
网站方案与报价

扫一扫 添加商务微信

+133 3643 8551(V同步)