8 个最好的 WordPress 安全插件来锁定你的网站

WordPress 为互联网上超过 35% 的网站提供支持，这使其成为全球恶意行为者的重要目标。

如果您想保护您的网站或客户的网站，专用的安全插件可以为您完成很多繁重的工作。

为了帮助您选择最适合您需求的 WordPress 安全插件，我们收集了 8 个出色的选项，可以帮助您进行安全强化、防火墙和恶意软件扫描。

让我们深入了解，首先快速概述大多数 WordPress 安全插件的实际作用。

WordPress 安全是一个非常广泛的话题，所以当我说“WordPress 安全插件”时，它可以包含一系列不同的功能。

因此，在我介绍插件之前，让我们回顾一下这些不同的高级功能是什么，以便您了解这些工具中的每一个都在做什么。

基本的安全强化是“使您的 WordPress 网站更安全的配置更改或工具”的统称。

例如，安全插件通常会通过以下功能帮助您保护登录页面：

• 限制登录尝试
• 两步验证
• 更改 WordPress 登录 URL
• 强制执行强密码
• 设置密码过期
• 添加验证码

这些都是硬道理。

其他流行的强化策略包括监控核心 WordPress 文件以检测是否有任何更改、禁用 XML-RPC 等 WordPress 功能、停止用户枚举等。

您会经常看到的另一种策略是防火墙。

从本质上讲，网站防火墙是位于您的 WordPress 网站与其访问者之间的东西。 普通访问者使用您的网站没有问题，但如果防火墙检测到恶意活动（通过 IP 地址、操作等），则会在该访问者导致问题之前阻止该访问者。

使用 WordPress，您会看到这称为Web 应用程序防火墙或 WAF。

请务必注意，并非所有防火墙都相同。 也就是说，仅仅因为两个插件都提供了“防火墙”，这并不意味着这些工具自动相等，因为防火墙仅与它遵循的规则一样好。

一些 WordPress 安全插件，如 Wordfence，会不断实时更新其防火墙规则，以适应新出现的安全威胁。 其他的基本上是一组永远不会改变的静态规则。 两者都有用 - 只是其中一个会更有效地保护您免受新型漏洞的侵害。

WordPress 安全插件的另一个流行部分是恶意软件扫描。 您可能在自己的计算机上运行扫描时熟悉这个概念。

基本上，该工具将扫描您的站点以查找恶意代码并返回它发现的任何内容的报告。

同样，恶意软件扫描的有效性取决于其规则和方法。 也就是说，仅仅因为两个插件都进行“恶意软件扫描”，这并不意味着它们相等。

首先，就像防火墙一样，检测规则也不同。 恶意软件扫描程序依靠“恶意软件签名”来识别恶意软件。 因此，如果您的恶意软件扫描程序没有紧急威胁的签名，它可能无法检测到它。

其次，你有办法。 一些插件/工具，如流行的 Sucuri SiteCheck 工具，只扫描您网站的前端。 这可以捕获可从您网站前端检测到的恶意软件，但不会检测到隐藏在您的服务器上的恶意软件。

要检测未在站点前端出现的恶意软件，您需要使用恶意软件扫描程序来扫描服务器上的所有文件。

有了这个介绍，让我们帮助您选择最适合您需求的 WordPress 安全插件。

以下是我们将要研究的八个插件：

1. 苏库里
2. iThemes 安全
3. 多合一 WP 安全和防火墙
4. 防弹安全
5. 喷气背包
6. 安全出版社
7. Cerber 安全
8. 文字围栏

Sucuri 是另一种流行的网站安全工具。 Sucuri 有两个部分：

1. WordPress.org 上的免费插件
2. 付费防火墙、监控和黑客清理服务

WordPress.org 上的免费插件主要帮助您进行基本的安全加固。

它将为您提供可以应用的各种规则和提示，例如禁用仪表板插件和主题编辑以及在某些敏感目录中阻止 PHP 执行。

其他安全功能包括：

• 监控核心文件的文件完整性
• 跟踪失败的登录尝试
• 接收各种操作的安全警报通知
• 列出您网站上的脚本和 iframe。

除此之外，该插件还附带用于恶意软件扫描的 Sucuri SiteCheck 服务。 但是，重要的是要了解此服务仅扫描您站点的前端是否存在问题——它不会像其他一些恶意软件扫描那样扫描您服务器上的文件。 你也不需要插件来使用这个工具——你可以从 Sucuri 网站运行它。

为了提高安全性，该插件可以帮助您连接到付费的 Sucuri 防火墙服务。 该防火墙是基于云的 WAF，具有来自 Sucuri 团队的定期更新规则。 防火墙还允许您：

• 将某些 IP 地址列入白名单或黑名单
• 封锁整个国家
• 使用 CAPTCHA、双因素身份验证或其他密码保护敏感区域（例如您的 WordPress 仪表板/登录名）。

付费的 Sucuri 服务还可以帮助保护您的站点免受 DDoS 攻击。

价格： Sucuri 插件 100% 免费。 Sucuri 防火墙每月收费 19.98 美元，整个 Sucuri 平台（包括恶意软件检测和清理）每年收费 299.99 美元。

iThemes Security 是来自...iThemes 的免费增值安全插件——因此得名。 如果您不熟悉，iThemes 是包括 BackupBuddy 在内的一系列插件背后的流行开发者。 iThemes 于 2018 年被 Liquid Web 收购。

iThemes Security 专注于 WordPress 安全加固。 它确实允许您连接到 Sucuri SiteCheck 服务以进行前端恶意软件检测——但您可以从 Sucuri 的网站运行此功能，因此它并不是真正内置的恶意软件扫描。

它不会宣传防火墙，但它确实包含可让您阻止某些机器人和 IP 地址的功能。 还有一个“网络暴力保护”功能，可以自动阻止试图暴力破解其他 WordPress 站点的 IP 地址。

至于安全加固，iThemes Security 可以通过以下功能帮助您保护登录过程：

• 限制登录尝试
• 更改 WordPress 登录 URL
• Google reCAPTCHA（付费）
• 两步验证（付费）
• 强密码强制执行
• 密码过期（付费）

它还提供了一种“离开”模式，您可以在不访问它的时候基本上锁定您的站点。

其他安全强化功能包括：

• 文件更改检测
• 更改数据库前缀
• 关闭仪表板内文件编辑
• 用户操作记录（付费）
• 更改 wp-content 路径

如果您需要管理多个 WordPress 站点，它还可以与 iThemes Sync 集成。

价格： WordPress.org 上的免费版本。 付费版起价为 80 美元。

All In One WP Security & Firewall 是一款流行的 WordPress 安全插件，100% 免费。

它可以帮助您实现大量不同的安全强化功能，例如：

• 更改 WordPress 数据库前缀
• 监控文件权限
• 禁用仪表板内文件编辑
• 文件完整性监控
• 隐藏 WordPress 版本号

它还包括保护您的登录过程的功能，例如：

• 限制登录尝试
• 一定时间后强制注销用户
• 添加 reCAPTCHA 以进行登录保护
• 将某些 IP 地址列入白名单
• 停止用户枚举

它还将为您提供一个“安全强度计”，以帮助您提高站点的安全性。

All In One WP Security & Firewall 确实包括它所谓的防火墙，但它不如 Wordfence 或 Sucuri 那样强大。 它更像是一组静态规则——它不像其他插件那样适应新出现的威胁。

价格：在 WordPress.org 上 100% 免费。

BulletProof Security 是另一种选择，它提供了一种多合一的 WordPress 安全方法：

• 硬化
• 防火墙
• 恶意软件扫描

免费版本提供基本的强化，例如：

• 登录安全
• 更改数据库表前缀
• 安全日志
• 数据库备份

它还包括免费版本中的恶意软件扫描，而付费版本包括 BulletProof Security 的 AutoRestore|Quarantine Intrusion Detection and Prevention System (ARQ IDPS) 的实时保护。

付费版本还增加了其他功能，例如：

• 数据库监控和差异检查
• 上传保护
• 插件防火墙

用户界面看起来很陈旧，不像其他工具那样令人愉快，但 BulletProof Security 在其有效性方面备受推崇。

价格： WordPress.org 上的免费版本。 付费版起价为 69.95 美元。

Jetpack 是来自 Automattic 的一款流行的一体式插件，它是 WordPress.com 和 WooCommerce 的幕后推手。

与所有这个名单上的其他插件，Jetpack的是不是只关注WordPress的安全性，但它确实有足够的安全功能在其免费和付费计划。

免费版本通过强力保护和使用安全 WordPress.com 登录的选项帮助保护您的 WordPress 登录。 也就是说，您可以使用您的 WordPress.com 凭据登录到您自己的 WordPress 站点。

使用付费计划，您还可以访问备份和恶意软件扫描（这些功能以前称为 VaultPress。现在，VaultPress 已与 Jetpack 合并）。

备份和扫描功能联系在一起，这是使它们独一无二的部分原因。 对于大多数恶意软件扫描工具，该工具会扫描您实际 WordPress 服务器上的文件。 这对于捕获恶意软件很有用，但它也会消耗您的实时网站服务器上的资源。

使用 Jetpack，Jetpack 首先将您的站点备份到异地位置。 然后，它会扫描您网站的备份副本中是否存在恶意软件，这意味着它不会影响您的实时网站的性能。

作为扫描的一部分，Jetpack 会寻找：

• 对核心 WordPress 文件的更改
• 基于 Web 的 shell
• TimThumb 漏洞

如果 Jetpack 确实发现了恶意内容，它可以帮助您修复问题。

价格：一些功能在免费版本中可用。 高级计划及更高版本提供恶意软件扫描，每月 9 美元起。 这还可以让您访问许多其他 Jetpack 功能。

SecuPress 是另一个著名的 WordPress 安全插件，有免费和付费版本。

SecuPress 最初由 WP Media 推出，WP Media 是流行的 WP Rocket 插件背后的同一家公司。 但是，WP Media 后来将所有权转让给了当前所有者（他是 WP Media 的联合创始人之一）。 基本上，这是说你会看到与 WP Rocket 的一些设计相似之处，但两者不再是同一个实体。

使用免费版本，您可以：

• 阻止 IP 地址和恶意机器人
• 保护您的登录免受暴力攻击
• 隐藏登录页面
• 隐藏您的 WordPress 和 WooCommerce 版本
• 管理 XML-RPC 和 REST API
• 记录重要的用户操作

您还可以在免费版本中获得防火墙。

高级版本增加了额外的功能，例如：

• 双重身份验证以保护您的登录
• 反垃圾邮件功能
• 备份数据库和文件
• 检测具有已知安全漏洞的主题或插件
• PHP 恶意软件扫描
• 国家封锁（地理定位）
• 任务调度

SecuPress 的一项突出功能是界面。 它具有此列表中任何工具中最令人愉悦的界面，如果您的客户会看到它，那就特别好。 同样，您绝对可以在界面中看到 WP Rocket 的影响。

价格： WordPress.org 上的免费版本。 付费版起价 65 美元。

Cerber Security 是另一个流行的一体化 WordPress 安全插件，它带有：

• 安全加固
• 防火墙
• 恶意软件扫描

首先，它包含安全强化规则，例如：

• 更改 WordPress 登录页面
• 在上传文件夹中禁用 PHP
• 停止用户枚举
• 限制登录尝试
• 监控文件完整性
• 两步验证

您还可以设置规则，例如自动阻止任何尝试使用不存在的用户名登录的 IP 地址。 您还可以创建基于角色的自定义策略，例如要求管理员用户执行两个因素并在一定时间后自动将其注销。

作为防火墙的一部分，您将获得一个实时流量检查器，您可以在其中查看站点上发生的所有事情，包括监控登录会话和访问者。 您还可以获得地理封锁规则。

最后，您可以获得恶意软件扫描，包括安排自动运行扫描的能力。

如果您需要管理多个站点，它还包括Cerber.Hub功能，可让您从一个仪表板管理多个站点。 与 Wordfence 不同，此仪表板是自托管的。 您将指定一个 WordPress 站点作为“主”，然后将其他安装“从”到该主仪表板。

价格： WordPress.org 上的免费版本。 付费版起价为 99 美元。

首先，WordPress 包含大量工具来帮助进行基本的 WordPress 安全加固，例如：

• 禁用上传目录中的代码执行
• 隐藏您的 WordPress 版本
• 停止用户枚举

您还可以获得一个专用的登录安全选项卡，您可以从中控制登录安全措施，例如：

• 使用双因素身份验证（适用于所有用户或仅适用于某些用户角色）
• 禁用 XML-RPC 身份验证
• 在登录页面添加 reCAPTCHA
• 限制失败的登录尝试（这是防火墙的一部分）
• 强制执行强密码

Wordfence 还包括它自己的WAF 。 Wordfence 团队不断实时添加新规则，以适应新出现的威胁。 您还可以配置防火墙的功能，例如将某些 IP 地址和服务列入白名单。

您还可以立即阻止尝试访问某些敏感 URL 的 IP 地址。 使用高级版本，您可以通过地理定位来屏蔽整个国家/地区。

最后，您还可以获得详细的恶意软件扫描。 这些扫描可以扫描您服务器上的所有文件，并检查其他安全问题，例如：

• 评论中的恶意链接
• 新创建的管理员用户
• 过时的主题或插件
• 弱密码

因此，它是一种“通用 WordPress 安全漏洞扫描”，其中还包括恶意软件扫描。

您还可以获得配置扫描频率和扫描深度的规则，这可以帮助您控制扫描消耗的服务器资源。

如果您正在管理大量 WordPress 站点（如客户端站点），Wordfence 还包含一个 Wordfence Central 工具，可让您从一个中央位置管理所有站点的安全性。 您还可以创建 Wordfence 设置模板，您可以将这些模板快速应用于新网站，并在您的任何网站发生某些事情时收到警报。

核心 Wordfence 插件和大部分功能都是免费的。 但是，在 Wordfence 用于其防火墙和恶意软件扫描的规则方面存在显着差异。

使用高级版本，您可以获得这些规则的实时更新。 因此，一旦 Wordfence 检测到威胁（它非常主动），Wordfence 会立即将这些规则添加到您的站点。

但是，对于免费版本，这些规则更新会延迟 30 天。

价格： Wordfence 在 WordPress.org 上免费提供。 付费版本起价为 99 美元，可在单个站点上使用，大量站点可享受批量折扣。

不！ 不是由一个长镜头。

虽然所有这些安全插件肯定有助于保护您的网站，但 WordPress 安全并不像安装一个插件然后一天一天地调用它那么简单。

这并不意味着安全插件没有用——它只是意味着如果你没有把小事做好，即使是安全插件也无法拯救你。

您可以做的最重要的事情之一就是及时更新WordPress 核心软件、插件和主题——尤其是对于较小的安全版本（例如WordPress 5.4.X ）。

根据Sucuri的 2019 年黑客网站报告，大约一半的WordPress 网站在其网站被感染时运行的是过时版本的核心软件。 此外，44% 的被黑网站运行的是过时的插件。

长话短说，以下操作与使用 WordPress 安全插件一样重要，甚至更重要：

• 及时更新您的站点及其安全版本的扩展。
• 小心您选择的扩展（并且永远不要安装来自可疑来源的无效插件）。
• 使用强密码，尤其是管理员帐户。

有关更多提示，请查看我们关于如何保护您的WordPress 网站的完整指南。

如果您不确定要选择哪个插件，那么将Wordfence作为第一选择肯定不会出错。