8 個最好的 WordPress 安全插件來鎖定你的網站

WordPress 為互聯網上超過 35% 的網站提供支持，這使其成為全球惡意行為者的重要目標。

如果您想保護您的網站或客戶的網站，專用的安全插件可以為您完成很多繁重的工作。

為了幫助您選擇最適合您需求的 WordPress 安全插件，我們收集了 8 個出色的選項，可以幫助您進行安全強化、防火牆和惡意軟件掃描。

讓我們深入了解，首先快速概述大多數 WordPress 安全插件的實際作用。

WordPress 安全是一個非常廣泛的話題，所以當我說“WordPress 安全插件”時，它可以包含一系列不同的功能。

因此，在我介紹插件之前，讓我們回顧一下這些不同的高級功能是什麼，以便您了解這些工具中的每一個都在做什麼。

基本的安全強化是“使您的 WordPress 網站更安全的配置更改或工具”的統稱。

例如，安全插件通常會通過以下功能幫助您保護登錄頁面：

• 限制登錄嘗試
• 兩步驗證
• 更改 WordPress 登錄 URL
• 強制執行強密碼
• 設置密碼過期
• 添加驗證碼

這些都是硬道理。

其他流行的強化策略包括監控核心 WordPress 文件以檢測是否有任何更改、禁用 XML-RPC 等 WordPress 功能、停止用戶枚舉等。

您會經常看到的另一種策略是防火牆。

從本質上講，網站防火牆是位於您的 WordPress 網站與其訪問者之間的東西。 普通訪問者使用您的網站沒有問題，但如果防火牆檢測到惡意活動（通過 IP 地址、操作等），則會在該訪問者導致問題之前阻止該訪問者。

使用 WordPress，您會看到這稱為Web 應用程序防火牆或 WAF。

請務必注意，並非所有防火牆都相同。 也就是說，僅僅因為兩個插件都提供了“防火牆”，這並不意味著這些工具自動相等，因為防火牆僅與它遵循的規則一樣好。

一些 WordPress 安全插件，如 Wordfence，會不斷實時更新其防火牆規則，以適應新出現的安全威脅。 其他的基本上是一組永遠不會改變的靜態規則。 兩者都有用 - 只是其中一個會更有效地保護您免受新型漏洞的侵害。

WordPress 安全插件的另一個流行部分是惡意軟件掃描。 您可能在自己的計算機上運行掃描時熟悉這個概念。

基本上，該工具將掃描您的站點以查找惡意代碼並返回它發現的任何內容的報告。

同樣，惡意軟件掃描的有效性取決於其規則和方法。 也就是說，僅僅因為兩個插件都進行“惡意軟件掃描”，這並不意味著它們相等。

首先，就像防火牆一樣，檢測規則也不同。 惡意軟件掃描程序依靠“惡意軟件簽名”來識別惡意軟件。 因此，如果您的惡意軟件掃描程序沒有緊急威脅的簽名，它可能無法檢測到它。

其次，你有方法。 一些插件/工具，如流行的 Sucuri SiteCheck 工具，只掃描您網站的前端。 這可以捕獲可從您網站前端檢測到的惡意軟件，但不會檢測到隱藏在您的服務器上的惡意軟件。

要檢測未在站點前端出現的惡意軟件，您需要使用惡意軟件掃描程序來掃描服務器上的所有文件。

有了這個介紹，讓我們幫助您選擇最適合您需求的 WordPress 安全插件。

以下是我們將要研究的八個插件：

1. 蘇庫裡
2. iThemes 安全
3. 多合一 WP 安全和防火牆
4. 防彈安全
5. 噴氣背包
6. 安全出版社
7. Cerber 安全
8. 文字圍欄

Sucuri 是另一種流行的網站安全工具。 Sucuri 有兩個部分：

1. WordPress.org 上的免費插件
2. 付費防火牆、監控和黑客清理服務

WordPress.org 上的免費插件主要幫助您進行基本的安全加固。

它將為您提供可以應用的各種規則和提示，例如禁用儀表板插件和主題編輯以及在某些敏感目錄中阻止 PHP 執行。

其他安全功能包括：

• 監控核心文件的文件完整性
• 跟踪失敗的登錄嘗試
• 接收各種操作的安全警報通知
• 列出您網站上的腳本和 iframe。

除此之外，該插件還附帶用於惡意軟件掃描的 Sucuri SiteCheck 服務。 但是，重要的是要了解此服務僅掃描您站點的前端是否存在問題——它不會像其他一些惡意軟件掃描那樣掃描您服務器上的文件。 你也不需要插件來使用這個工具——你可以從 Sucuri 網站運行它。

為了提高安全性，該插件可以幫助您連接到付費的 Sucuri 防火牆服務。 該防火牆是基於雲的 WAF，具有來自 Sucuri 團隊的定期更新規則。 防火牆還允許您：

• 將某些 IP 地址列入白名單或黑名單
• 封鎖整個國家
• 使用 CAPTCHA、雙因素身份驗證或其他密碼保護敏感區域（例如您的 WordPress 儀表板/登錄名）。

付費的 Sucuri 服務還可以幫助保護您的站點免受 DDoS 攻擊。

價格： Sucuri 插件 100% 免費。 Sucuri 防火牆每月收費 19.98 美元，整個 Sucuri 平台（包括惡意軟件檢測和清理）每年收費 299.99 美元。

iThemes Security 是來自...iThemes 的免費增值安全插件——因此得名。 如果您不熟悉，iThemes 是包括 BackupBuddy 在內的一系列插件背後的流行開發者。 iThemes 於 2018 年被 Liquid Web 收購。

iThemes Security 專注於 WordPress 安全加固。 它確實允許您連接到 Sucuri SiteCheck 服務以進行前端惡意軟件檢測——但您可以從 Sucuri 的網站運行此功能，因此它並不是真正內置的惡意軟件掃描。

它不會宣傳防火牆，但它確實包含可讓您阻止某些機器人和 IP 地址的功能。 還有一個“網絡暴力保護”功能，可以自動阻止試圖暴力破解其他 WordPress 站點的 IP 地址。

至於安全加固，iThemes Security 可以通過以下功能幫助您保護登錄過程：

• 限制登錄嘗試
• 更改 WordPress 登錄 URL
• Google reCAPTCHA（付費）
• 兩步驗證（付費）
• 強密碼強制執行
• 密碼過期（付費）

它還提供了一種“離開”模式，您可以在不訪問它的時候基本上鎖定您的站點。

其他安全強化功能包括：

• 文件更改檢測
• 更改數據庫前綴
• 關閉儀表板內文件編輯
• 用戶操作記錄（付費）
• 更改 wp-content 路徑

如果您需要管理多個 WordPress 站點，它還可以與 iThemes Sync 集成。

價格： WordPress.org 上的免費版本。 付費版起價為 80 美元。

All In One WP Security & Firewall 是一款流行的 WordPress 安全插件，100% 免費。

它可以幫助您實現大量不同的安全強化功能，例如：

• 更改 WordPress 數據庫前綴
• 監控文件權限
• 禁用儀表板內文件編輯
• 文件完整性監控
• 隱藏 WordPress 版本號

它還包括保護您的登錄過程的功能，例如：

• 限制登錄嘗試
• 一定時間後強制註銷用戶
• 添加 reCAPTCHA 以進行登錄保護
• 將某些 IP 地址列入白名單
• 停止用戶枚舉

它還將為您提供一個“安全強度計”，以幫助您提高站點的安全性。

All In One WP Security & Firewall 確實包括它所謂的防火牆，但它不如 Wordfence 或 Sucuri 那樣強大。 它更像是一組靜態規則——它不像其他插件那樣適應新出現的威脅。

價格：在 WordPress.org 上 100% 免費。

BulletProof Security 是另一種選擇，它提供了一種多合一的 WordPress 安全方法：

• 硬化
• 防火牆
• 惡意軟件掃描

免費版本提供基本的強化，例如：

• 登錄安全
• 更改數據庫表前綴
• 安全日誌
• 數據庫備份

它還包括免費版本中的惡意軟件掃描，而付費版本包括 BulletProof Security 的 AutoRestore|Quarantine Intrusion Detection and Prevention System (ARQ IDPS) 的實時保護。

付費版本還增加了其他功能，例如：

• 數據庫監控和差異檢查
• 上傳保護
• 插件防火牆

用戶界面看起來很陳舊，不像其他工具那樣令人愉快，但 BulletProof Security 在其有效性方面備受推崇。

價格： WordPress.org 上的免費版本。 付費版起價為 69.95 美元。

Jetpack 是來自 Automattic 的一款流行的一體式插件，它是 WordPress.com 和 WooCommerce 的幕後推手。

與所有這個名單上的其他插件，Jetpack的是不是只關注WordPress的安全性，但它確實有足夠的安全功能在其免費和付費計劃。

免費版本通過強力保護和使用安全 WordPress.com 登錄的選項幫助保護您的 WordPress 登錄。 也就是說，您可以使用您的 WordPress.com 憑據登錄到您自己的 WordPress 站點。

使用付費計劃，您還可以訪問備份和惡意軟件掃描（這些功能以前稱為 VaultPress。現在，VaultPress 已與 Jetpack 合併）。

備份和掃描功能聯繫在一起，這是使它們獨一無二的部分原因。 對於大多數惡意軟件掃描工具，該工具會掃描您實際 WordPress 服務器上的文件。 這對於捕獲惡意軟件很有用，但它也會消耗您的實時網站服務器上的資源。

使用 Jetpack，Jetpack 首先將您的站點備份到異地位置。 然後，它會掃描您網站的備份副本中是否存在惡意軟件，這意味著它不會影響您的實時網站的性能。

作為掃描的一部分，Jetpack 會尋找：

• 對核心 WordPress 文件的更改
• 基於 Web 的 shell
• TimThumb 漏洞

如果 Jetpack 確實發現了惡意內容，它可以幫助您修復問題。

價格：一些功能在免費版本中可用。 高級計劃及更高版本提供惡意軟件掃描，每月 9 美元起。 這還可以讓您訪問許多其他 Jetpack 功能。

SecuPress 是另一個著名的 WordPress 安全插件，有免費和付費版本​​。

SecuPress 最初由 WP Media 推出，WP Media 是流行的 WP Rocket 插件背後的同一家公司。 但是，WP Media 後來將所有權轉讓給了當前所有者（他是 WP Media 的聯合創始人之一）。 基本上，這是說你會看到與 WP Rocket 的一些設計相似之處，但兩者不再是同一個實體。

使用免費版本，您可以：

• 阻止 IP 地址和惡意機器人
• 保護您的登錄免受暴力攻擊
• 隱藏登錄頁面
• 隱藏您的 WordPress 和 WooCommerce 版本
• 管理 XML-RPC 和 REST API
• 記錄重要的用戶操作

您還可以在免費版本中獲得防火牆。

高級版本增加了額外的功能，例如：

• 雙重身份驗證以保護您的登錄
• 反垃圾郵件功能
• 備份數據庫和文件
• 檢測具有已知安全漏洞的主題或插件
• PHP 惡意軟件掃描
• 國家封鎖（地理定位）
• 任務調度

SecuPress 的一項突出功能是界面。 它具有此列表中任何工具中最令人愉悅的界面，如果您的客戶會看到它，那就特別好。 同樣，您絕對可以在界面中看到 WP Rocket 的影響。

價格： WordPress.org 上的免費版本。 付費版起價 65 美元。

Cerber Security 是另一種流行的一體化 WordPress 安全插件，它具有：

• 安全加固
• 防火牆
• 惡意軟件掃描

首先，它包含安全強化規則，例如：

• 更改 WordPress 登錄頁面
• 在上傳文件夾中禁用 PHP
• 停止用戶枚舉
• 限制登錄嘗試
• 監控文件完整性
• 兩步驗證

您還可以設置規則，例如自動阻止任何嘗試使用不存在的用戶名登錄的 IP 地址。 您還可以創建基於角色的自定義策略，例如要求管理員用戶執行兩個因素並在一定時間後自動將其註銷。

作為防火牆的一部分，您將獲得一個實時流量檢查器，您可以在其中查看站點上發生的所有事情，包括監控登錄會話和訪問者。 您還可以獲得地理封鎖規則。

最後，您可以獲得惡意軟件掃描，包括安排自動運行掃描的能力。

如果您需要管理多個站點，它還包括Cerber.Hub功能，可讓您從一個儀表板管理多個站點。 與 Wordfence 不同，此儀表板是自託管的。 您將指定一個 WordPress 站點作為“主”，然後將其他安裝“從”到該主儀表板。

價格： WordPress.org 上的免費版本。 付費版起價為 99 美元。

首先，WordPress 包含大量工具來幫助進行基本的 WordPress 安全加固，例如：

• 禁用上傳目錄中的代碼執行
• 隱藏您的 WordPress 版本
• 停止用戶枚舉

您還可以獲得一個專用的登錄安全選項卡，您可以從中控制登錄安全措施，例如：

• 使用雙因素身份驗證（適用於所有用戶或僅適用於某些用戶角色）
• 禁用 XML-RPC 身份驗證
• 在登錄頁面添加 reCAPTCHA
• 限制失敗的登錄嘗試（這是防火牆的一部分）
• 強制執行強密碼

Wordfence 還包括它自己的WAF 。 Wordfence 團隊不斷實時添加新規則，以適應新出現的威脅。 您還可以配置防火牆的功能，例如將某些 IP 地址和服務列入白名單。

您還可以立即阻止嘗試訪問某些敏感 URL 的 IP 地址。 使用高級版本，您可以通過地理定位來屏蔽整個國家/地區。

最後，您還可以獲得詳細的惡意軟件掃描。 這些掃描可以掃描您服務器上的所有文件，並檢查其他安全問題，例如：

• 評論中的惡意鏈接
• 新創建的管理員用戶
• 過時的主題或插件
• 弱密碼

因此，它是一種“通用 WordPress 安全漏洞掃描”，其中還包括惡意軟件掃描。

您還可以獲得配置掃描頻率和掃描深度的規則，這可以幫助您控制掃描消耗的服務器資源。

如果您正在管理大量 WordPress 站點（如客戶端站點），Wordfence 還包含一個 Wordfence Central 工具，可讓您從一個中央位置管理所有站點的安全性。 您還可以創建 Wordfence 設置模板，您可以將這些模板快速應用於新網站，並在您的任何網站發生某些事情時收到警報。

核心 Wordfence 插件和大部分功能都是免費的。 但是，在 Wordfence 用於其防火牆和惡意軟件掃描的規則方面存在顯著差異。

使用高級版本，您可以獲得這些規則的實時更新。 因此，一旦 Wordfence 檢測到威脅（它非常主動），Wordfence 會立即將這些規則添加到您的站點。

但是，對於免費版本，這些規則更新會延遲 30 天。

價格： Wordfence 在 WordPress.org 上免費提供。 付費版本起價為 99 美元，可在單個站點上使用，大量站點可享受批量折扣。

不！ 不是由一個長鏡頭。

雖然所有這些安全插件肯定有助於保護您的網站，但 WordPress 安全並不像安裝一個插件然後一天一天地調用它那麼簡單。

這並不意味著安全插件沒有用——它只是意味著如果你沒有把小事做好，即使是安全插件也無法拯救你。

您可以做的最重要的事情之一就是及時更新WordPress 核心軟件、插件和主題——尤其是對於較小的安全版本（例如WordPress 5.4.X ）。

根據Sucuri的 2019 年黑客網站報告，大約一半的WordPress 網站在其網站被感染時運行的是過時版本的核心軟件。 此外，44% 的被黑網站運行的是過時的插件。

長話短說，以下操作與使用 WordPress 安全插件一樣重要，甚至更重要：

• 及時更新您的站點及其安全版本的擴展。
• 小心您選擇的擴展（並且永遠不要安裝來自可疑來源的無效插件）。
• 使用強密碼，尤其是管理員帳戶。

有關更多提示，請查看我們關於如何保護您的WordPress 網站的完整指南。

如果您不確定要選擇哪個插件，那麼將Wordfence作為第一選擇肯定不會出錯。