仅最初的网站投资就足以从一开始就保护您的网站。黑客、恶意软件、后门攻击和SEO垃圾邮件只是等待利用您的服务器、访问者数据和网站基础设施的挥之不去的威胁中的一小部分。
这些安全威胁危及未来利润、客户信任和整个站点的稳定性。这就是为什么我们列出了最好的WordPress安全插件来锁定所有潜在的入侵者。
在网站上使用这些安全插件就像购买保险和安装警报系统一样。这项令人兴奋的新投资可能需要巨额首付、检查费和抵押贷款。对于如此高价值的投资,您不想尽其所能保护它吗?这正是我们将在这篇文章中探索的内容!
- WordPress 安全插件 101
- 您的第一要务:安全托管
- 最佳WordPress安全插件
- 最佳全方位网站保护和主动监控插件
- 扫描和阻止恶意软件、病毒和可疑IP的最佳方法
- 最适合拦截垃圾邮件和机器人
- 最适合向入侵者隐藏文件
- 最适合身份验证和登录安全性
- 最适合站点文件备份
- 最佳漏洞修复和反黑客插件
- 最佳安全日志插件
- 最佳SSL(安全套接字层)插件
创建博客、电子商务网站或小型企业网站需要对服务项目和产品(如托管、主题、插件和网站开发)进行前期投资。这不包括您必须雇用的任何帮助,例如客户服务代表或销售人员。
仅此初始投资就足以从一开始就保护您的网站,因为WordPress也非太平之地。但更重要的是,您要确保不会忘记保护您将来要赚取的潜在资金。
WordPress安全插件 101
默认情况下,WordPress 核心有一些安全措施。但是可以通过信誉良好的安全插件不断改进它。顶级 WordPress 安全插件提供:
- 主动安全监控
- 文件扫描
- 恶意软件扫描
- 阻止列表监控
- 安全加固
- 黑客攻击后的行动
- 防火墙
- 蛮力攻击保护
- 检测到安全威胁时的通知
一些WordPress 安全插件带来了更多的未来,但上面列出的那些是杰出的。
您的第一要务:安全托管
您网站的安全性取决于它运行的后端和基础。这就是为什么在研究安全插件之前,选择一个已经采取安全措施的WordPress主机很重要。许多这些保护措施是在服务器级别完成的,并且可以更有效,而不会损害您站点的性能。更不用说您不必花时间摆弄插件中的一堆安全设置,您甚至可能不了解它们的功能或用途。
安全的WordPress托管
一些服务器主机提供的安全功能。
- 检测DDoS攻击,监控正常运行时间,并自动禁止在一分钟内登录尝试失败超过N次的IP。
- 直接访问您的WordPress站点时,仅支持加密的SFTP和SSH连接(无FTP)。
- 硬件防火墙以及额外的主动和被动安全措施已到位,以防止访问您的数据。
- open_basedir限制也不允许在容易出现恶意脚本的常见目录中执行PHP。
- 在诸如Google Cloud Platform (GCP) 云平台上使用Linux容器 (LXC),它不仅为每个帐户提供完全隔离,而且为每个单独的WordPress站点提供完全隔离。这是比其他竞争对手提供的安全得多的方法。GCP还采用静态数据加密。
- 仅运行受支持的PHP版本:7.3、7.4和8.0。不受支持的PHP版本是危险的,因为它们不再具有安全更新并且暴露于未修补的安全漏洞。
- 没有什么是100%防黑客的,但应该及时提供免费黑客修复的补丁。
最佳WordPress安全插件清单
如果您赶时间,请随时单击以下链接来测试安全插件并做出自己的决定。如果您想查看我们的深入分析,请继续阅读!
最佳全方位网站保护和主动监控插件
- Sucuri Security – 审计、恶意软件扫描程序和安全加固
- iThemes Security
- Wordfence Security
- All In One WP Security & Firewall
- BulletProof Security
扫描和阻止恶意软件、病毒和可疑IP的最佳方法
- SecuPress
- WPScan – WordPress Security Scanner
- Security Ninja
- MalCare Security
- Security & Malware Scan by CleanTalk
最适合拦截垃圾邮件和机器人
- Jetpack
- Astra Web Security
- Stop Spammers Security
- Titan Anti-spam and Security
最适合针对入侵者隐藏文件
- Hide My WP
- WP Hide & Security Enhancer
最适合身份验证和登录安全性
- WP fail2ban
- miniOrange's Google Authenticator
- Defender
- WP Cerber Security
最适合站点文件备份
- VaultPress
最佳漏洞修复和反黑客插件
- Shield Security
- Webarx
- Anti-Malware Security and Brute-force Firewall
最佳安全日志插件
- WP Activity Log
最佳SSL插件
- Really Simple SSL
最有价值的安全插件都有价格标签,但也有一些免费提供有限的功能。
我们将讨论定价,但更重要的是了解每个插件将为您做什么。归根结底,这一切都是为了找出让坏人远离您的投资的最佳方法——有时这意味着要花一点钱。
最佳全方位网站保护和主动监控插件
1. Sucuri Security – 审计、恶意软件扫描程序和安全加固
Sucuri Security插件提供免费和付费版本,对于大部分网站来说其免费版本已经足够的了。例如,网站防火墙这个功能属于Sucuri付费计划的内容,但并非每个网站管理员都觉得他们需要这种类型的安全性。
WordPress插件-Sucuri Security
至于免费功能,该插件带有安全活动审计功能,用于查看插件对您网站的保护情况。它具有文件完整性监控、黑名单监控、安全通知和安全加固。高级计划开辟了客户服务渠道和更频繁的扫描。例如,您可能希望每12小时完成一次扫描。为此,您每月需要支付约17美元。
Sucuri Security核心功能包括:
- 它提供了多种SSL证书。您确实必须为这些付费,但它可以在软件包中使用。
- 客户服务以即时聊天和电子邮件的形式提供。
- 当您的网站出现问题时,您会收到即时通知。
- 某些计划可提供高级DDoS保护。
- 如果您不想支付任何费用,您仍然可以获得用于黑名单监控、恶意软件扫描、文件完整性监控和安全加固的宝贵工具。
推荐阅读: 如何在WordPress网站上设置Sucuri防火墙 (WAF)
2. iThemes Security
iThemes Security (以前称为Better WP Security)提供超过30种方式保护你的网站,以防止类似的事情黑客和有害入侵者的威胁。它非常注重识别插件漏洞、过时的软件和弱密码。
WordPress插件-iThemes Security
尽管免费版本包含一些基本的安全功能,但我们强烈建议您以每年80美元的低价升级到iThemes Security Pro。这提供了工单支持、一年的插件更新以及对两个网站的支持。如果您想保护更多网站,您可以选择升级到更昂贵的计划。
至于专业版的主要功能,iThemes Security Pro提供强大的密码强制执行、锁定不良用户、数据库备份和两因素身份验证。这些只是使用此WordPress安全插件保护您的网站的几种方法。您可以激活30项总安全措施,使iThemes Security Pro物超所值。
iThemes Security核心功能包括:
- 安全插件提供文件更改检测,这很重要,因为大多数网站管理员不会注意到文件何时被弄乱。
- 使用Google reCAPTCHA集成为您的登录添加额外的保护层。
- 该插件将您的WordPress核心文件与当前版本的WordPress进行比较,帮助您了解这些文件中是否存在任何恶意内容。
- 更新您的WordPress的Salts和密钥,为您的身份验证密钥添加额外的复杂层。
- 您可以设置“Away Mode”,以便在您不对网站进行持续更新并希望完全锁定所有用户访问您的WordPress仪表盘时使用。
- 其他基本要素,如404错误检测、强力保护和强密码强制执行。
3. Wordfence Security
Wordfence Security是最受欢迎的WordPress安全插件之一。这个插件将简单性与强大的保护工具结合起来,例如强大的登录安全功能和安全事件恢复工具。Wordfence的主要优势之一是您可以深入了解整体流量趋势和黑客尝试。
WordPress插件-Wordfence Security
Wordfence拥有更令人印象深刻的免费解决方案之一,从防火墙阻止到防止暴力攻击,应有尽有。但是,一个站点的高级版本每年售价约为99美元。插件创建者还使开发人员更便宜,当您注册多个站点密钥时提供大幅折扣。例如,如果您购买15个以上的许可证,您将获得25%的折扣或每个许可证74.25美元。总的来说,如果您正在开发多个网站并希望保护它们,那么考虑Wordfence是值得的。
WordFence核心功能包括:
- 免费版本对于较小的网站来说已经足够强大了。
- 开发人员在注册多个站点密钥时可以节省大量资金。
- 它有一个完整的防火墙套件,其中包含用于国家/地区阻止、手动阻止、暴力保护、实时威胁防御和Web应用程序防火墙的工具。
- 该插件的扫描部分可以抵御恶意软件、实时威胁和垃圾邮件。它会扫描您所有文件中的恶意软件,而不仅仅是WordPress文件。
- 该插件通过查看Google抓取活动、登录和注销、人类访问者和机器人等内容来监控实时流量。
- 您可以访问一些独特的工具,例如使用手机登录和密码审核的选项。
- 提供垃圾评论过滤器,就不再需要安装单独的插件此。
- 它会监控您的插件并让您知道它们是否已从WordPress插件存储库中删除(通常是由于不安全或被黑客入侵)不再更新并已被放弃。
推荐阅读:如何在WordPress上安装和设置WordFence插件
4. All In One WP Security & Firewall
作为功能最丰富的免费安全插件之一,All In One WP Security & Firewall提供直观的界面和体面的客户支持,而且没有价格标签。
这是一个高度可视化的安全插件,带有图表来解释初学者指标,如安全强度以及需要做些什么来使您的网站更强大。
All In One WP Security & Firewall插件
这些功能分为三类:基本、中级和高级。因此,如果您是更高级的开发人员,您仍然可以使用该插件。
该插件主要通过保护您的用户帐户、阻止强制登录尝试以及增强用户注册安全性来发挥作用。数据库和文件安全性也被打包到插件中。
All In One WP Security & Firewall核心功能:
- WordPress 安全插件有一个阻止列表工具,您可以在其中设置特定要求来阻止用户。
- 您可以备份.htaccess和. wp配置文件。如果出现任何问题,还有一个工具可以恢复它们。
- 该插件显示一个图表来指定您的网站有多强大,另一个图表指向您网站的特定问题区域。对于普通用户来说,它是可视化网站安全状况的最佳功能之一。
- 有一个用于紧急情况的临时锁定按钮。
- 您可以导出和导入某些安全功能。
- 阻止其他网站使用iframe显示您的网站内容。
- 您可以对机器人和其他入侵者隐藏网站信息。
- 该插件是免费的,一路上没有任何追加销售。
5. BulletProof
BulletProof安全插件正在积极开发、更新,并且似乎包含比市场上大多数其他安全插件更多的功能。您会收到隔离、电子邮件警报、反垃圾邮件、自动恢复等功能。
它作为一个全方位的WordPress安全插件工作得相当好,特别是考虑到它处理数据库备份和登录安全性。
BulletProof -WordPress安装插件
我们建议您先试用免费插件,因为它提供以下工具:
- 登录安全和监控。
- 数据库备份和恢复。
- MScan恶意软件扫描程序。
- 反垃圾邮件和反黑客工具。
- 安全日志。
- 隐藏的插件文件夹。
- 维护模式。
- 一个完整的设置向导。
它不是最适合初学者的WordPress安全插件。尽管如此,它仍然适用于想要利用独特设置和功能(如反漏洞保护和FTP文件锁定)的高级开发人员。它还具有设置向导自动修复功能,以帮助使其更容易一些。
BulletProof核心功能:
- 它拥有市场上一些独特的高级安全工具,具有BPS Pro ARQ入侵检测和预防系统 (ARQ IDPS) 加密解决方案和计划的cron cURL扫描、文件夹锁定等功能。
- 免费版本包含足够的功能,可用于普通网站。
- 免费版本中提供了数据库备份。
- 您可以隐藏单个插件文件夹。
- 维护模式功能在大多数其他安全插件中都找不到。
- 安全性和HTTP错误日志记录密切关注漏洞。
- 该插件强制您设置强密码。
- 当主题或插件更新可用时,您会收到提醒。
扫描和阻止恶意软件、病毒和可疑IP的最佳方法
6.SecuPress
SecuPress是市场上较新的安全插件(最初于2016年作为免费增值版发布),但它绝对是增长迅速的插件。它实际上是由WP Media的原始联合创始人之一Julio Potier开发的,在他们开发WP Rocket和Imagify时,您可能会认出他。有免费版和高级版,其中包含许多附加功能。
WordPress安全插件-SecuPress
如果您想要一个具有出色UI和易于使用的界面的安全插件,SecuPress绝对是您的最佳选择。免费版具有反暴力登录、拦截IP和防火墙功能。它还包括保护您的安全密钥以及阻止来自不良机器人的访问(您通常需要在其他安全插件中为此付费)。
如果您想要更多功能,他们的高级版本每个站点每年59美元起,包括附加功能,例如警报和通知、双因素身份验证、IP地理定位阻止、PHP恶意软件扫描和PDF报告。
SecuPress核心功能包括:
- SecuPress中的用户界面可能是最好的用户界面之一!这使得它非常易于使用,即使对于初学者也是如此。
- 高级版本肯定会增加很多价值。在5分钟内检查35个安全点,获得一份不错的报告,然后强化您的WordPress网站。
- 它包括更改您的WordPress登录URL以便机器人无法找到它的功能。
- 帮助您检测易受攻击或被篡改以包含恶意代码的主题和插件。
7. WPScan – WordPress安全扫描器
WordPress安全插件WPScan采用不同的方法,以安全性,因为它需要手动策划的漏洞数据库所在的专用安全专家和社会大众每日更新的基础上的优势。该数据库由Automattic赞助,包含21,000多个已知安全漏洞。
多亏了它,WPScan插件能够扫描您的WordPress核心版本、插件和主题以查找已知的安全漏洞。
WordPress 插件-WPScan
此外,该插件还有各种其他安全检查,例如扫描暴露的调试日志文件、备份的wp-config.php文件、密码弱的用户等等。WPScan有一个免费的 API 计划,应该适用于大多数WordPress网站,但是,也为可能需要更多API调用的用户提供付费计划。
WPScan核心功能包括:
- 它使用自己不断更新的漏洞数据库
- 它根据您的需要提供免费和付费选项
- 额外的安全检查
- 发现漏洞时发送电子邮件通知的选项
- 您可以安排扫描在特定时间运行
8.Security Ninja
Security Ninja已经存在七年多了。作为CodeCanyon上销售的首批安全插件之一(有四个附加组件),它在2016年转向免费增值模式。附加组件被抛弃,转而只有两个版本——免费和高级。主模块(这是唯一一个免费提供的模块)执行50多项安全测试,范围从检查文件和MySQL权限到各种PHP设置。
WordPress插件-Security Ninja
Security Ninja还会对所有用户密码进行强力检查,以清除使用“12345”或“password”等弱密码的帐户。这有助于对用户进行安全教育。它确实包含一个自动修复模块,但对于那些想要了解发生了什么的人来说,每个测试都有详细的解释,包括手动修复安全问题的代码。如果您不喜欢插件弄乱您的站点,Security Ninja提供了一个很好的替代方法,可以替代通常的“只需单击此处修复它”的方法。付费版本中的其他模块,每个站点每年29美元起。
Security Ninja核心功能包括:
- 安全测试器模块(在免费版本中可用)在您的站点上执行50多项安全测试。
- 不懂技术?没问题,自动修复模块可以解决检测到的任何问题。
- 扫描WordPress核心,通过将它们与wordpress.org上的安全和最新副本进行比较来确保核心文件的完整性。
- 扫描插件和主题以搜索可疑代码和恶意软件。
- 利用大量已知的有问题的IP并自动拦截它们。
- 记录您的WordPress站点上发生的所有事件,从用户登录到更改设置。
- 您可以安排定期扫描。
9. MalCare Security
MalCare Security插件提供了一个基于云的恶意软件扫描程序,它会考虑您的整个网站来识别从插件问题到风险IP的所有内容。bot保护派上用场,但它作为一个快速的恶意软件查找器非常出色。
该插件具有一键式删除工具,因此您可以在搜索引擎发现任何问题之前清理您的网站。此外,智能扫描过程利用来自数千个网站的数据来处理可能影响您的网站。
MalCare安全插件
MalCare Security还会在您的站点出现故障时向您发送通知,让您有足够的时间响应攻击。最后,MalCare Security在保持轻量级方面做得非常出色,以免降低您的网站速度,因为在恶意软件扫描空间中,庞大的插件在某种程度上是标准的。
MalCare Security有一个包含恶意软件扫描、插件防火墙、登录保护和机器人检测的免费计划。
高级计划提供额外的工具,如即时恶意软件删除、实时防火墙更新以及查看被黑文件的能力。这是定价:
- 基本版:每年99美元
- Plus版:每年149美元
- 专业版:每年299美元
定价包括对一个网站的支持;随着您添加更多站点,计划价格会上涨。他们还提供附加组件,例如实时备份(每个站点每年100美元)、每小时备份和扫描(每个站点每年500美元)、视觉回归测试(每个站点每年100美元)和额外的临时站点(每个站点100美元)每年)。
MalCare核心功能
- 一种基于云的恶意软件扫描系统,可分析整个站点。
- 机器人保护不仅可以识别机器人,还可以帮助您阻止它们。
- 一个智能插件监控系统和防火墙,以防止入侵。
- 登录保护在登录页面上打击黑客,消除异常流量来源,并允许您阻止来自特定国家的 IP。
- 一键式恶意软件扫描按钮。
- 验证码技术可加强您的登录页面。
- 一键式网站强化,使用来自整个行业的最佳实践,并在几秒钟内在您的网站上实施。
- 正常运行时间监控。
- 抵御独特的威胁,如网站图标病毒黑客、cookie窃取和谷歌黑名单黑客。
- 查看有关黑客的信息并立即消除问题的选项。
10. Security & Malware Scan by CleanTalk
Security & Malware Scan by CleanTalk是另一个出色的解决方案,用于运行彻底的恶意软件检查并识别可疑IP和机器人。CleanTalk是一项使用云安全来自动阻止网站威胁并为网站所有者提供他们未来改进安全措施所需的信息的服务。
它的插件是免费的,但您必须注册高级云安全服务才能利用大多数功能。简而言之,我们喜欢CleanTalk的插件,因为它可以持续监控不良IP地址和恶意软件。
云连接还有助于使大多数安全活动远离您的服务器,从而保持可观的站点速度。
Security & Malware Scan by CleanTalk
该插件非常容易理解,显示可能导致问题的文件列表。之后,您需要有编码经验才能打开这些文件并查看问题所在。但是,CleanTalk允许付费用户发送文件,之后,CleanTalk客户支持代表会分析和清理它们。
它不像某些竞争对手那样是自动化系统,但您无法击败扫描仪的效率和准确性。
您还可以获得其他一些功能,用于阻止暴力攻击、检查出站链接、激活双因素身份验证等。
该插件是免费的,但您必须注册CleanTalk Cloud Security服务才能使用任何功能。
以下是CleanTalk的云安全服务的一些定价:
- 1个网站:每年49美元
- 3个网站:每年24美元
- 5个网站:每年36美元
- 10个网站:每年63美元
- 20个网站:每年117美元
支持40个站点的价格高达每年180美元,或者您可以选择每月18美元的无限制网站计划。
Security & Malware Scan核心功能
- 它使用基于云的恶意软件扫描程序工作,确保您不会浪费服务器资源。
- 有防病毒扫描以及恶意软件功能。
- 所有客户都会收到自动安全防火墙。
- 您会收到每日报告、审核日志和实时流量监控。
- 该插件检查所有出站链接。
- 扫描(每天)自动运行,并在云中存储几个月。
- 非编码人员可以将易受攻击的文件发送给CleanTalk团队以解决问题。
- 该插件具有一些登录安全功能,例如蛮力保护、登录尝试日志以及阻止来自某些国家或 IP 地址的登录尝试。
- 每当出现威胁时,都会向管理员发送电子邮件通知。
最适合拦截垃圾邮件和机器人
11. Jetpack
大多数使用WordPress的人都对Jetpack很熟悉,主要是因为该插件具有如此多的功能,但也因为该插件是由WordPress.com的人制作的。Jetpack提供增强社交媒体、网站速度和垃圾邮件防护的模块。Jetpack中有如此多的功能,绝对值得探索。
WordPress安全插件-Jetpack
Jetpack 还包含一些安全工具,对于那些想要省钱并依赖信誉良好的解决方案的人来说,它是一个有吸引力的插件。例如,Protect 模块是免费的,它可以阻止可疑活动的发生。Jetpack 的基本安全功能也支持暴力攻击保护和白名单。
也就是说,Jetpack 的付费版本在安全性方面更强大。例如,每年 99 美元的计划包括恶意软件扫描、定期网站备份以及出现问题时的恢复。此外,每年 299 美元的计划提供按需恶意软件扫描和实时备份,以提供终极保护。
Jetpack核心功能包括:
- 免费计划为小型网站提供了相当多的安全性,然后您可以升级到价格合理的高级计划并获得全面支持和市场上最好的插件之一。
- 高级计划使插件更像是一个套件,具有备份、垃圾邮件保护和安全扫描等优点。
- 插件更新完全通过Jetpack进行管理。
- 您还可以获得停机时间监控。
- Jetpack也是一个无需其他插件的插件。例如,它具有电子邮件营销、社交媒体、网站定制和优化的功能。
12. Astra Web Security
Astra Web Security是WordPress网站的首选“安全套件”。使用Astra,您不必担心恶意软件、SQLi、XSS、垃圾评论、暴力破解和100多种威胁,这意味着您可以摆脱其他安全插件并让Astra来处理这一切。Astra超级直观的仪表盘没有一百个按钮,让您感觉自己是驾驶舱中的飞行员!
适用于WordPress的Astra Web Security
吉列、非洲联盟、福特和阿曼航空公司等许多知名品牌都使用Astra安全解决方案。他们的定价从$9/m起,如果该计划按年计费,他们会提供20%的固定折扣。总体而言,如果您打算在网站安全上花钱,Astra可能是一项不错的投资。
Astra Web Security核心功能包括:
- Astra安全解决方案作为WordPress插件安装,无需更改DNS设置。
- 他们提供即时的恶意软件清理,一个坚如磐石的防火墙,可以阻止 SQLi、XSS、代码注入、Bad Bots、暴力破解、SEO 垃圾邮件和其他 100 多种网络攻击等攻击。
- 完整的安全审计,包括您的 WordPress 网站的业务错误逻辑。
- 直观的仪表盘记录所有攻击,并为您提供阻止或白名单国家、IP 范围或URL、持续黑名单和声誉监控、每小时管理员登录通知等的选项。
- 一个免费的社区安全或漏洞赏金管理平台,您可以在其中为黑客提供一种安全可靠的方式来报告他们在您的网站上发现的任何漏洞。每个报告的问题都经过Astra工程师的验证。
13. Stop Spammers Security
Stop Spammers Security是用于减少垃圾邮件的最佳WordPress安全插件之一,它也不仅仅是用于评论垃圾邮件!该插件通过插件、表单、评论等来识别和阻止垃圾邮件。
您可以在运行插件之前配置特定的阻止机制,例如阻止某些国家、用户或只是一般的可疑行为。
Stop Spammers Security插件
该插件背后的想法是根据您网站的特定需求创建自定义垃圾邮件阻止公式。这意味着您可以从各种设置中进行选择并关闭不需要的设置。
为了加强这种垃圾邮件保护,Stop Spammers Security将其核心功能与登录安全措施相结合,例如显示验证码的选项、打开会员专用模式或在用户尝试登录网站时要求访问。
免费版本提供基本功能(例如阻止可疑行为、垃圾邮件、垃圾评论和国家/地区的能力)。您可以使用高级版本升级以获得更多功能。它的起价为每年29美元,并且随着您添加更多许可证而价格上涨。
高级版独有的功能包括服务器级防火墙保护、暴力登录安全、日志导出、Contact Form 7保护等。
Stop Spammers Security核心功能
- 该插件具有用于定位可疑行为和机器人、隔离威胁以及通知站点所有者的工具。
- 阻止您发现可疑活动更为频繁的国家/地区。
- 最大限度地减少所有类型的网站垃圾邮件,从通过表单进入的类型到评论垃圾邮件。
- 阻止 URL 缩短器、一次性电子邮件和其他隐藏麻烦用户身份的元素。
- 您可以在您的站点上阻止或允许特定的用户名、电子邮件和 IP 地址。
- 强制某些用户请求访问您的网站。
- 该插件可以选择在您的登录页面上放置验证码表单。
- 有一种仅限会员模式,可确保访问内容的唯一用户是您批准的用户。
- 您可以在高级版本中激活高级防火墙。
- 高级版附带通知控制、导入设置、导出和主题页面。
- 当您注册高级插件时,您会收到一个内置的联系表和联系表 7 保护。
14. Titan Anti-spam and Security
Titan Anti-spam and Security汇集了一套工具,用于减少和减少垃圾邮件,同时扫描恶意软件等安全威胁。每当有可疑的东西试图访问您的网站时,该插件都会定期进行审核和报告。
这些工具与防火墙规则配对,以指定您希望从您的网站阻止的内容。该界面非常简单,初学者可以理解,可以看到仪表盘如何将每个功能分隔到其选项卡中。
因此,站点所有者只需单击一个按钮即可轻松访问防火墙、站点检查器和错误日志等元素。
Titan Anti-spam and Security
我们特别喜欢反垃圾邮件统计,它显示了过去一周所有垃圾邮件攻击的图表。这可以帮助您了解插件是否正常工作,并显示您的网站是否已成为一般垃圾邮件的目标。
从技术上讲,您可以使用Titan Anti-spam and Security作为一个包罗万象的安全插件,但它主要是因为它的自学习垃圾邮件机制而大放异彩。简而言之,您不会在评论线程上发布恶意内容,这些内容可能会给您的用户带来麻烦的攻击。
有一个免费版本,带有标准的垃圾邮件拦截功能。高级版(具有所有额外的非垃圾邮件功能)有几个定价计划:
- 1 个站点:每年 55 美元
- 3 个站点:每年 159 美元
- 6 个站点:每年 319 美元
Titan Anti-spam and Security核心功能
- 该插件不需要验证码,因此界面更简洁。
- 它提供了一个在后台运行的自学垃圾邮件减少工具,并不断改进其用于检测特定网站上的垃圾邮件的算法。
- 所有垃圾评论都会立即从您的网站中删除并标记为垃圾评论。
- 可以打开防火墙规则并运行恶意软件扫描。
- 您可以实时阻止IP地址。
- 攻击日志存储所有可疑活动实例,并允许您下载日志以与他人共享或放入您自己的文件中。
- 根据主机名、IP、用户名、引荐来源网址等制定高级阻止规则。
- 安全扫描器使用超过1000个签名,高级版使用多达6000个签名。
- 您可以调整扫描速度。
- 如果您希望每月或每周运行一次扫描,则可以使用扫描计划。
- 所有用户都可以直接从仪表盘删除不需要的文件。
- 该插件需要强密码,甚至隐藏作者登录区域以保护您的登录模块。您还可以隐藏WordPress版本。
最适合向入侵者隐藏文件
15.Hide My WP
Hide My WP是一个流行的WordPress安全插件,它向攻击者、垃圾邮件发送者以及Wappalyzer或BuiltWith等主题检测器隐藏了您使用WordPress作为CMS的事实。
Hide My WP插件
此安全插件捆绑了Solid Art 入侵检测器 (IDS) 以阻止实时安全攻击,如SQL注入、XSS 等。Hide My WP是一款高级WordPress安全插件,售价24美元。
Hide My WP核心功能包括:
- 隐藏主题名称、插件、更改固定链接、隐藏wp-admin、登录URL等。
- 阻止直接访问PHP文件、清理WP类名称、禁用目录列表。
- 使用攻击者的完整详细信息(包括用户名、IP 地址、日期等)通知任何潜在的不良行为。
- 包括一个信任网络2,它会自动阻止来自不良源IP地址的流量。
- 易于使用,从预制设置中进行选择,一键部署。
- 兼容多站点、apache、Nginx、IIS、高级主题等安全插件。
16. WP Hide and Security Enhancer
WP Hide and Security Enhancer利用您的WordPress文件来隐藏插件、主题、登录页面和其他核心文件等内容,以快速简便地防止入侵者找出您的站点身份,并使用您的任何文件进行恶意目的。
为了让用户更轻松,WP Hide插件使用URL重写方法来隐藏和处理您的文件,而不是物理更改目录。安装插件后,这一切都会自动完成,让您可以隐藏网站最关键的部分并继续您的一天。
WP Hide and Security Enhancer
WP Hide and Security Enhancer独特的另一个原因是它隐藏和阻止默认的WordPress文件,而不是简单地更改slug(仍然让黑客可以访问这些文件)。
最后,开发人员已确保消除对可能妨碍您网站功能的其他插件、主题或核心文件的阻止。对于那些对隐藏WordPress URL、凭据和默认设置感兴趣的人来说,它是最好的WordPress安全插件之一。
WP-Hide提供了一个免费插件,具有文件阻止、URL重写,甚至自定义登录URL功能。开发人员表示,基本的WordPress网站应该没有免费版本的问题。
高级升级主要是如果您在WordPress上使用复杂的插件或主题,或者如果您使用的服务器类型不是IIS或Apache。
如果从免费版本升级,价格如下:
- 单一站点:每年39美元
- 开发商:每年130美元
最适合身份验证和登录安全性
17. WP fail2ban
WP fail2ban提供了一项功能,但它是一个相当重要的功能:防止暴力攻击。该插件采用了一种不同的方法,许多人认为这种方法比您从上面列出的某些安全套件插件中获得的方法更有效。WP fail2ban使用LOG_AUTH将所有登录尝试(无论其性质或成功)记录到系统日志中。您可以选择实施软禁令或硬禁令,这与仅选择一种的更传统方法不同。
安全插件-WP fail2ban
在WP fail2ban插件的配置方面没有太多需要了解的。事实上,您所要做的就是安装它并让它发挥它的魔力。此外,蛮力安全插件是完全免费的,因此您不必担心花任何钱。这个插件真的很出色,因为用户一直报告说它完美无缺。
WP fail2ban核心功能包括:
- 在硬或软拦截之间进行选择。
- 与CloudFlare和代理服务器集成。
- 记录评论以防止垃圾邮件或恶意评论。
- 该插件还记录有关垃圾邮件、pingback和用户枚举的信息。
- 您还可以选择创建一个短代码,在有机会进入登录过程之前立即阻止用户。
18. miniOrange’s Google Authenticator
大多数具有单独安全功能的插件安装起来没有多大意义。这是因为您通常可以使用iThemes Security Pro之类的插件,并将该功能与其他许多功能一起使用。
但是,双因子身份验证是另一回事,因为似乎许多安全套件都不包含它。因此,使用这样的插件加强登录安全性可能是有意义的。
WordPress插件-miniOrange's Google Authenticator
miniOrange's Google Authenticator插件为您的登录模块增加了第二层安全性,这一点至关重要,因为大多数黑客攻击都是在登录时发生的。
除了您的常规密码外,此插件还会向您的手机发送推送通知或其他形式的身份验证,例如使用二维码或询问安全问题。
这样一来,您的登录就变得不那么可渗透了,因为第二层很可能是您只知道或只有您自己拥有的东西(例如您的手机)。
除了选择身份验证类型之外,另一个很酷的功能可以让您指定应该通过身份验证的用户角色类型。因此,您可以让管理员更轻松地进入,但您可能会要求作者或其他用户完成两个因素的过程。
基本的双因子身份验证工具可作为免费插件使用。
更多高级功能和产品(如无限站点/用户、更多身份验证方法、备份登录方法和无密码登录)要求您使用以下计划之一进行升级:
- Premium Lite:每年 99 美元
- Premium:每年 199 美元
- Enterprise:每年 59 美元起(但随着用户的增加而增加)
miniOrange's Google Authenticator核心功能:
- 这是消除登录区域漏洞的最接近方法。
- 您可以选择对您来说最简单的两因素身份验证方法。
- 您可以选择需要通过身份验证过程的用户类型。
- 该插件有一个用于自定义登录页面的简码。
- 您可以在高级版本中询问安全问题或发送电子邮件验证。
- 可以通过Whatsapp、Telegram、SMS或电子邮件激活一次性密码。
- 您可以更改密码策略以要求使用强密码或选择无密码登录。
- 提供高级安全功能,例如文件保护、监控、国家/地区阻止、IP拦截、数据库备份和浏览器阻止。
- 插件开发人员出售多个附加组件,用于记住设备、会话管理、页面限制、基于属性的重定向等。
19. Defender
Defender插件基于底层技术使WordPress安全变得简单,就像愚蠢,简单。免费版和专业版都从最有效的强化技术列表开始,以立即升级您的WordPress安全性。
WordPress安全插件-Defender
您可以运行免费扫描来检查WordPress是否有可疑代码。Defender扫描工具将您的WordPress安装与目录进行比较,报告更改并让您单击即可恢复原始文件。他们还提供专业版,其中包括具有 10 GB 远程存储的云备份、用于监控更改的审计日志、自动安全扫描和黑名单监控。他们的专家甚至会帮助您清理被黑网站。
Defender核心功能包括:
- 谷歌两步验证。
- WordPress核心文件扫描和修复。
- 登录屏幕屏蔽。
- IP黑名单管理器和日志记录。
- 无限文件扫描。
- 用于登录保护的定时锁定蛮力攻击盾。
- 用于阻止漏洞扫描的404限制器。
- IP锁定通知和报告。
20. WP Cerber Security
WP Cerber Security将各种安全功能捆绑到一个插件中,包括反垃圾邮件、恶意软件扫描和登录保护。它对于全面的安全性是可行的,但其突出的目的涉及登录保护。
这是因为您可以使用多种元素来完全阻止登录页面入侵者,包括Google reCAPTCHA、注册监控、不良用户跟踪、登录尝试限制和暴力攻击阻止等选项。
您甚至可以选择激活双因子身份验证,在登录前向应用程序或电子邮件发送验证码。
WP Cerber Security
除了所有登录安全性之外,我们喜欢WP Cerber为WordPress和支持WooCommerce的网站提供反垃圾邮件工具,并提供保护注册表单、丢失密码表和评论区的选项。
您可以与Cloudflare集成,导出所有安全数据,并安排定期扫描以识别恶意软件和其他威胁。不仅如此,WP Cerber Security还会删除受影响的文件并恢复过去的版本以使您的站点恢复正常。
WP Cerber Security有三个计划,其中之一是具有自动垃圾邮件保护和登录安全性的免费插件。
- Free:每月0美元
- Single:每年99美元
- 5站点包:每年399美元
他们以季度或年度计划出售插件,年度计划(如上所列)为您提供最佳的长期价格。高级升级为您提供自动恶意软件扫描、专业支持、云保护、分层垃圾邮件保护等。
WP Cerber Security核心功能
- 免费版可让您限制登录尝试或根据IP地址识别限制。
- 完全通过IP地址限制登录。
- 生成自定义登录URL。
- 运行反垃圾邮件引擎以阻止联系表格和评论垃圾邮件。
- 您可以在登录网站之前运行双重身份验证以获取发送到设备的验证码。
- 该插件的安全扫描程序会检查所有核心站点文件。
- 所有用户实例都会被记录下来,然后插件会查找可疑行为和机器人。
- 每当发现文件更改或异常活动时,您都会收到电子邮件通知。
- 它阻止所有未登录网站的用户访问WordPress仪表盘 ( wp-admin )。
- 您可以阻止单个用户或打开“authorized users only”模式。
最适合站点文件备份
21. VaultPress
不要忘记VaultPress,因为它的工作原理类似于iThemes Security Pro和Sucuri Scanner等插件。您需要付费才能获得任何类型的保护,但该计划的起价仅为每年39美元,使其成为更实惠的高级安全插件之一。该网站指出,该计划更适合小型企业和博主,但您也可以选择以每年99美元或每年299美元的价格升级到更强大的计划。
WordPress安全插件-VaultPress
每日和实时备份是操作的基础,并带有漂亮的日历视图,用于指定您希望何时完成备份。您还可以通过快速单击鼠标来完成站点恢复。更重要的是,恢复文件记录在仪表盘中,其中存储了几个,以便您可以选择所需的文件。VaultPress在备份方面最好的部分是它们是增量的。这对性能非常有用。
主要的安全工具监控您网站上的可疑活动,带有用于查看您的历史记录并查看已处理或忽略的威胁的选项卡。您还可以通过干净的仪表盘方便地查看统计信息并管理整个安全细节。
VaultPress核心功能包括:
- 定价比大多数其他高级WordPress安全插件便宜些。
- 对于所有用户来说,仪表盘看起来干净且易于理解。
- 您可以使用日历进行实时或手动备份。
- 统计信息选项卡显示有关您网站上最受欢迎的访问时间的信息,同时还显示在这些时间发生了哪些威胁。
- 您可以联系VaultPress的专家来帮助您完成站点恢复和备份等任务。
最佳漏洞修复与反黑客插件
22. Shield Security
Shield Security的首要作用是承担您日益增加的站点安全负担。我们都没有时间,所以我们需要更智能的防御和一个安全插件,它知道如何响应威胁而不用电子邮件打扰您。Shield 适合初学者和高级用户,从您激活它的那一刻起,它就会开始扫描和保护您的网站。所有选项都有完整的文档记录,因此您可以在闲暇时进一步深入了解站点的安全性。
WordPress插件-Shield Security
Shield Security的核心是永远免费的。需要更深层次保护和24小时全天候支持的专业人士和企业,只需12美元/站点即可获得Shield Pro。Shield Security背后的使命是“不让任何网站掉队”——目标是让每个网站都可以访问Pro-Grade安全,而不仅仅是少数富人。Pro带来更多扫描、更频繁地运行、用户密码策略、更大的审计跟踪、对WooCommerce的支持、流量监控以及使用户的安全策略更流畅的功能。
Shield Security核心功能包括:
- 限制某些用户访问其自身设置的唯一安全插件之一。
- 更智能的保护功能在后台不知疲倦地工作,而不会用通知打扰您。
- 唯一免费提供三种类型的两因素身份验证的安全插件,以及选择哪些用户可以使用它的选项。
- 每个站点12美元的专业升级 – 批量定价,无需批量购买。
- Pro提供6倍强大的扫描,以检测站点所有区域的问题。
23.WebARX
WebARX是一个高级网站安全平台,支持每个PHP应用程序。WebARX以其高级端点防火墙而闻名,它允许您通过基于云的仪表盘完全控制网站之间的流量。事实上,WebARX有一个托管的Web应用程序防火墙,可以保护您的站点免受插件漏洞、机器人攻击和虚假流量的侵害。
WordPress插件-WebARX
此插件允许您创建自己的防火墙规则、强化WordPress安装、创建备份、监控正常运行时间和安全问题、接收警报、导出报告等等。设置也很容易。
WebARX核心功能包括:
- 高级网站防火墙(可从WebARX门户完全自定义)。
- 虚拟补丁自动接收规则以修补插件和主题漏洞。
- WordPress安装加固:2FA、recaptcha、自动添加安全头、阻止暴力攻击、更改wp-admin、添加 cookie 等。
- 正常运行时间监控:当站点出现故障时接收松弛和电子邮件警报。
- 自定义PDF安全报告(使用您自己的徽标自定义它们以发送给客户)。
- 无限网站的集中安全。
24. Anti-Malware Security and Brute-force Firewall
Anti-Malware Security and Brute-force Firewall运行完整的网站扫描以阻止各种威胁。主要功能限制了后门脚本和数据库注入等问题,同时还有助于在问题导致站点文件损坏后进行修复。
这会自动发生,因此网站所有者不必担心消除威胁。
Anti-Malware Security and Brute-force Firewall
最强大的 hack 修补功能出现在高级版本中,具有修补wp-login问题和恢复核心 WordPress 文件完整性的选项。
这是一个相对简单易懂的插件,具有查看 SQL 报告、单击按钮扫描恶意软件以及查看所有隔离威胁的选项。
提供免费版本,包括彻底的网站扫描和自动删除数据库脚本和注入等内容。您还可以在免费插件中访问防火墙阻止和恶意软件检测。
高级功能可用于可选捐赠给开发人员。这开启了高级修补、核心文件检查和已知威胁的新定义等功能。
Anti-Malware Security and Brute-force Firewall核心功能
- 该插件可防止出现在您网站上的所有新威胁。
- 运行自动或手动安全扫描以识别数据库注入和后门脚本。
- 防火墙具有特定工具来保护您网站上的某些插件。
- 当脚本有易受攻击的版本时,您可以升级它们。
- 您可以选择在DDoS或暴力攻击后修补您网站的某些区域。
- 该插件检查所有核心文件是否存在问题。
- 下载WordPress网站的新常见威胁的定义。
最佳安全日志插件
25. WP Activity Log
WP Activity Log会生成您网站上所有进程的日志,以检查您的用户是否有效率,如果有人试图入侵您的网站并在出现问题时进行故障排除。
它也是管理您的网站和访问用户的绝佳解决方案。所有日志记录都是实时发生的,让您随时关注发生的事情。
WP Activity Log
该插件会记录网站的几个部分,包括标签、类别、小工具、配置文件和用户运行的更改。您可以看到日志中记录的所有页面、文章和自定义文章类型更改。
这包括从元数据到自定义字段以及从 URL 到标题的所有内容。WP Activity Log是一种让工作人员保持任务的方式。尽管如此,它也是一个必不可少的插件,用于确定是否有任何内部或外部用户计划弄乱您的网站文件。
免费版本插件,其中包含绝大多数活动日志功能。高级版的扩展功能具有以下定价计划:
- 入门者:每年 99 美元
- 专业:每年 139 美元
- 商业:每年 149 美元
- 企业:每年 199 美元
WP Activity Log核心功能
- 该插件会主动跟踪和记录您网站上的所有活动,重点关注文章和页面。
- 它记录页面和文章标签可能发生的标签、类别和其他更改。
- 您可以查看用户修改,例如个人资料更改、活动以及对主题和插件的调整。
- 检查以查看小工具、菜单、WordPress核心文件、您的多站点网络、表单、数据库、登录页面等的任何其他更改。
- 查看有关这些更改的信息,例如数据、时间、源IP地址和负责用户。
- 该插件的高级版本提供了查看哪些用户登录到您的站点的选项。你可以看到他们都在做什么。
- 您可以接收有关问题的消息并使用按钮引导用户。
- 保存、存档和发送活动日志。
- 使用过滤器和文本搜索日志。
- 在其他软件中镜像您的日志。
最佳SSL插件
26. Really Simple SSL
Really Simple SSL提供了将WordPress站点迁移到SSL环境所需的基础,将其连接到SSL证书(保护在线连接,主要用于保护交易和个人数据免受电子商务网站上的黑客攻击)。
Really Simple SSL
该插件通过在您的托管环境中打开SSL来工作。之后,它会自动为您的网站创建一个SSL证书,从Let's Encrypt提取。然后,您只需单击一下即可打开SSL。
启用SSL证书需要一些技术知识(或为您做这件事的主机)。这就是为什么Really Simple SSL插件对初学者来说很方便。
核心插件是免费的,并提供快速工具来检测SSL环境,如果您还没有证书,则生成证书。
高级插件具有以下价格点:
- 个人:每年 29 美元
- 专业:每年 69 美元
- 代理:每年 169 美元
高级计划添加了额外的功能,如预加载列表、混合内容修复程序和安全标题。
Really Simple SSL核心功能
- 它具有一键式SSL证书安装程序。
- 您可以快速扫描您的网站,看看它是否已经有任何安全连接。
- 打开SSL后,扫描也会有所帮助,因为它会检查它是否在所有页面上都正常工作。
- 您可以打开HTTP严格传输安全性。
- 高级版扫描并修复混合内容。
- 在几秒钟内实施高级安全标头。
- 您会在WordPress仪表盘上收到反馈和安全提示。
哪个WordPress安全插件最适合您?
既然我们已经浏览了最好的WordPress安全插件,请查看下面的主要建议。这使您可以更轻松地选择一两个插件,而无需测试每个插件。请记住,根据您的WordPress主机已经提供的功能,可能不需要安全插件。
这些建议针对您可能会选择一个安全插件而不是另一个的特定情况。
- 对于主动监控和全方位安全:Sucuri Security、iThemes Security、Wordfence Security、All In One WP Security & Firewall 或 BulletProof Security。
- 扫描和阻止恶意软件、病毒和可疑IP:SecuPress、WPScan、Security Ninja、MalCare Security 或 CleanTalk的安全和恶意软件扫描。
- 对于垃圾邮件和机器人防护:Jetpack、Astra Web Security、Stop Spammers Security 或 Titan Anti-spam。
- 对于入侵者隐藏文件:Hide my WP 或 WP Hide & Security Enhancer。
- 对于身份验证和登录安全性:WP fail2ban、miniOrange 的 Google Authenticator 或 WP Cerber Security。
- 对于站点文件备份:VaultPress。
- 对于黑客修复:Shield Security、Patchstack 或 Anti-Malware Security 和 Brute-force Firewall。
- 对于运行安全日志:WP Activity Log。
- 用于激活SSL(安全套接字层):Really Simple SSL。
除了安装插件外,您还可以采取进一步措施来提高网站的安全性。例如,Lockr的异地密钥管理(这是一项高级服务)解决方案可防止关键站点漏洞并帮助保护您的数据。简单的集成可用于WordPress。
当然,我们不能涵盖所有的插件。这些只是我们根据我们与用户的经验推荐的那些。如果您认为应该包含在此列表中,请在下面的评论中告诉我们。
如果您经营的是电子商务网站,请阅读我们的电子商务欺诈预防指南。
原文地址:https://www.wbolt.com/wordpress-security-plugins.html