All-In-One Security 安全防護外掛程式
All-In-One Security 安全防護外掛程式,這是一款超過百萬安裝啟用數的熱門外掛程式,整合了網站安全防護與基本防火牆功能的設計,可以說是全方位的安全防護外掛程式。
關於 WordPress 網站的安全防護外掛程式,去年曾經跟大家分享過另外一款外掛程式,有興趣的朋友可以參考 Solid Security 安全防護外掛程式這篇文章。今天分享的這個 AIOS 外掛程式,可以算是我多年實際測試使用的分享,有鑑於 Solid Security 外掛程式經過併購改版後,常有朋友反應網站運作效能變差了,如果你也有這樣的困擾,那麼不要錯過今天分享的這個 All-In-One Security 外掛程式。
All-In-One Security 安全防護外掛程式
1. 外掛程式安裝步驟一樣,登入網站控制台,接著到外掛/安裝外掛,關鍵字請輸入:All-In-One Security,找到以後請點擊立即安裝就可以了。
2. 外掛程式啟用以後,可以在控制台看到外掛程式選單,首先看到就是兩個提示設定,一個是同意外掛程式以 PHP Base 來設定防火牆,另外一個提示是需要偵測目前的 IP,建議依序做好設定。同時大家應該也有注意到一個分數圖示,來顯示目前網站的安全分數。
3. 外掛程式會抓到目前管理者的 IP,如果你的使用環境可以申請固定 IP 的話,建議使用固定 IP,那麼會讓外掛程式的防護效果更好。
4. 接下來會就外掛程式的設定項目跟大家說明,而設定項目也非常多,請耐心閱讀。Settings/General settings,這裡可以大概快速瞭解一下設定的項目。
5. 這裡需要特別注意的設定是 Settings/Delete plugin settings,Delete database tables 與 Delete settings 這兩項,這是當我們停用移除外掛程式時,一併移除外掛程式建立的資料庫檔案。
6. WP version info,一些駭客攻擊是透過掃描 WordPress 版本來進行,所以可以選擇啟用隱藏 WP version info 這個版本資訊設定。接著的 Import/Export 匯入與匯出外掛程式的設定,Advanced settings 是我們步驟三提到的 IP 設定,Two factor authentication 這裡的設定是針對成員(使用者)看看是否需要啟用,可以依據網站需要自己決定。
7. User Security/User accounts,這裡設定與管理者有關,需要特別注意的是如果使用 admin 之類的管理帳號,建議修改掉,Prevent users enumeration 這裡建議將它啟用,避免網站成員名單被陳列出來。
8. User Security/Login lockout,這裡設定登入的限制,對於惡意嘗試登入後台可以進行控制與封鎖,原則上建議啟用。另外,如果有申請固定 IP 的朋友,那麼 Login lockout IP whitelist settings 白名單設定就非常好用,可以避免自己被網站外掛程式封鎖無法登入管理。
9. User Security/Force logout 強制登出設定,如果是多成員的網站這裡建議啟用,避免成員長時間連線卻沒有進行任何動作,被有心人盜用登入後台造成問題。
10. User Security/Additional settings 這裡需要留意一下就是 WordPress 5.6 新功能 “Application passwords”,如果你不需要的話請關閉這個功能。
11. Database security 資料庫安全管理,這裡主要是針對資料庫的設定,Database prefix options 與 Database backup 資料庫備份,如果你不曉得這是什麼的話,可以採預設設定就可以。
12. File security 檔案安全管理,File permissions scan 檔案權限掃描後,外掛程式會以黃色顯示需要調整檔案權限的檔案,不過如果你不小的檔案權限的話,不需要調整,避免有些外掛程式需要寫入權限時發生錯誤。
13. File security/File protection 檔案防護,這裡的設定避免網站檔案被惡意寫入不法的程式碼,可以檢視自己網站需求逐一啟用。
14. File security 檔案安全管理還有一個需要注意的功能就是 Copy protection 拷貝防護與 Frames 防護,如果是內容為主的大型內容網站,那麼這兩項設定可以啟用防護。
15. Firewall 防火牆設定,PHP rules 這裡的設定建議啟用,防範網站被惡意程式攻擊。
16. Firewall/.htaccess firewall settings 這裡可以透過 .htaccess 檔案來設定基本的防火牆功能。
17. Firewall/.6G firewall rules,如果看過這裡文章的朋友,已經安裝了 BBQ 外掛程式,那麼這裡就不需要重複設定。
18. Firewall/Internet bot settings 這裡可以設定封鎖假冒的搜尋爬蟲程式,如果你的網站常常被偽裝的爬蟲程式騷擾,那麼這裡可以啟用設定。
19. Firewall/Blacklist 這裡可以設定黑名單,將惡意到訪的訪客 IP 填入封鎖。
20. Firewall/WP REST API 如果你不需要遠端操作後台管理或是開發程式,那麼請記得啟用限制管理。
21. Firewall/Advanced settings 防火牆的最後一個需要注意的設定就是 Allow list,有固定 IP 的朋友一定要使用這個功能,可以避免被自己的網站防護封鎖,造成無法登入網站管理的窘境。
22. Brute force/Rename login page,這裡可以修改登入頁面的網址,避免 Brute force 惡意登入這個 WordPress 網站常見的攻擊之一。
23. Brute force/Cookie based brute force prevention 這裡的設定會依照瀏覽器的 Cookie 來做識別,如果你不曉得什麼意思,在啟用前先閱讀外掛程式提示的連結說明內容。
24. Brute force/CAPTCHA settings,如果有申請 CAPTCHA 服務的話可以在這裡做設定。
25. Brute force/Login whitelist 設定白名單,有固定 IP 的朋友,記得這裡設定一下。
26. Brute force/404 detection ,有很多的惡意攻擊模式會產生大量的 404錯誤,在這裡可以設定相關設定,如果有啟用也可以透過記錄檔觀察惡意訪問的錯誤關鍵字有哪些,來改善網站的安全設定。
27. Brute force/Honeypot 誘捕設計,可以是網站需求選擇要不要啟用,預設是不啟用。
28. Spam prevention/Comment spam 垃圾訊息防護,如果你的 WordPress 網站還沒有安裝其他防垃圾訊息的外掛程式,那麼這裡可以啟用相關設定。
29. Spam prevention/Comment spam IP monitoring 垃圾訊息留言 IP 監控,這裡可以讓我們管理這些垃圾訊息的 IP位置,進而加以防範封鎖。
30. Scanner 檔案掃描,這裡外掛程式提供了主檔案程式變動的掃描檢測,如果是售駭客感染的檔案掃描 Malware scan 需要升級到付費版本才可以。
31. Tools 其他工具,外掛程式提供了 密碼強度檢測工具,WHOIS lookup 網域擁有者查詢工具,Custom .htaccess rules 自訂規則,Visitor lockout 網站維護模式…工具方便管理者使用。
32. Two Factor Authentication Settings 兩階段驗證功能,外掛程式也提供了更強的兩階段登入驗證功能,加強網站登入管理。
33. 經過一番的調整設計以後,回到外掛程式控制頁面,可以看到網站安全防護分數已經升高了非常多,在安全防護範圍。
- 外掛程式名稱:All-In-One Security (AIOS) – Security and Firewall
- 外掛程式網址:https://tw.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
- 外掛程式推薦:★★★★★
結論
在 WordPress 外掛程式區可以找到非常多關於安全防護的外掛程式,沒有說哪一個外掛程式最好用,只要可以與自己的 WordPress 網站相容就是最好的外掛程式,建議大家可以多做幾次測試,找到最適合自己網站的外掛程式,這樣對於往後的網站管理也會比較輕鬆。
