想象一下醒来看到一个被黑的 WordPress 网站——谈论一个噩梦般的场景,对吧?但是尽管出现了噩梦般的情况,许多 WordPress 用户并没有考虑 WordPress 的安全性……直到为时已晚。
如果您正在阅读这篇文章,那么您已经比大多数 WordPress 用户做得更好,因为它表明您正在采取积极主动的方法来保护 WordPress 安全。
但是那里有很多 WordPress 安全插件和工具,因此很难知道哪些有效,哪些无效。当赌注如此之高时,您不想猜测,对吧?
为了提供帮助,我们收集了 10 个最好的 WordPress 安全插件,以及使用哪些工具以及何时使用的建议。
如果您赶时间,可以在此处查看列表——但我们建议您通读整篇文章以更好地了解每个工具的作用:
| 插入 | 目的 | 免费选项? | 专业版价格 |
| 苏库里 | DNS级防火墙+安全加固 | ✅ | 16.66 美元/月 |
| WebARX | 应用级防火墙+漏洞监控 | ❌ | 14.99 美元/月 |
| 文字围栏 | 加固、登录保护、应用防火墙+恶意软件扫描 | ✅ | 99 美元 / 年 |
| 医疗保健 | 恶意软件扫描+基本防火墙和加固 | ✅ | 99 美元 / 年 |
| Cloudflare | DNS 级别的安全性 | ✅ | 20 美元/月 |
| iThemes 安全 | 安全加固、登录保护+恶意软件扫描 | ✅ | 80美元/年 |
| 多合一 WP 安全和防火墙 | 安全加固+登录保护 | ✅ | 不适用 – 100% 免费 |
| Cerber 安全 | 加固、登录保护、应用防火墙+恶意软件扫描 | ✅ | 99 美元 / 年 |
| 保险柜出版社 | 备份 + 恶意软件扫描 | ✅ | 39 美元 / 年 |
| 安全忍者 | 基础安全加固+恶意软件扫描 | ✅ | 39 美元 / 年 |
在我们进入下面的安全插件之前,重要的是要解释在应用程序级别工作的插件和在DNS级别工作的防火墙之间的区别。
了解这些工具如何保护您——防火墙与插件
防火墙通过自动过滤掉恶意 IP 地址和操作来阻止威胁。例如,如果恶意机器人试图访问您的登录页面以进行暴力攻击,防火墙会在该机器人加载您的页面之前将其阻止。
您将在这篇文章中看到两种类型的防火墙:
- DNS 级防火墙
- 插件级防火墙(即在应用程序级别工作的防火墙)
我们建议使用 DNS 级别的防火墙,因为它甚至可以在威胁到达您的服务器之前将其过滤掉。如果您使用插件级防火墙,防火墙只会在威胁已经袭击您的服务器后开始工作。
话虽如此,在应用程序级别工作的 WordPress 安全插件仍然是有益的,因为它们可以帮助您实现……
- 基本强化,例如禁用文件编辑、强制执行正确的文件权限等。
- 登录强化,例如限制登录尝试、验证码、双因素身份验证等。
- 恶意软件和文件完整性扫描以查找服务器上的恶意文件
- 用户活动记录
为获得最佳效果,我们建议将 DNS 级防火墙与 WordPress 安全插件结合使用:
- 防火墙甚至会在许多威胁到达您的服务器之前过滤掉它们。
- 该插件将确保您的网站更有可能抵御使其通过防火墙的任何威胁。
10 个最佳 WordPress 安全插件和防火墙
- 1. 苏库里
- 2.WebARX
- 3. Wordfence
- 4. MalCare
- 5. Cloudflare
- 6. iThemes 安全
- 7.多合一的WP安全和防火墙
- 8. Cerber 安全
- 9. 保险柜出版社
- 10.安全忍者
1.苏库里
Sucuri 提供两种 WordPress 安全工具:
- WordPress.org 上的免费安全加固插件
- 付费的 DNS 级防火墙和 CDN 服务
本质上,它遵循我们推荐的相同方法——将安全强化插件与 DNS 级防火墙配对。
WordPress.org 上的免费插件将帮助您:
- 监控文件完整性
- 实施基本的强化最佳实践
- 在 Google 安全浏览中监控您的网站
然后,高级防火墙服务将自动过滤 DNS 级别的威胁并保护您免受 DDoS 攻击。防火墙服务还包括一个 CDN,它可以帮助加快您的全局加载时间。
防火墙和 CDN 服务的起价为每个站点每月 16.66 美元。或者,您还可以获得完整的 Sucuri 平台,其中包括恶意软件扫描和黑客清理以及更高的计划。访问网站
2.WebARX _
WebARX 是一个基于云的网站安全平台,它可以非常轻松地从一个方便的仪表板管理多个 WordPress 网站的安全性。
WebARX 的核心服务是应用级防火墙。虽然我们认为 DNS 级防火墙通常是 WordPress 安全性的更好方法,但 WebARX 的应用程序级防火墙仍然比您在 WordPress 安全插件中看到的大多数其他应用程序级防火墙更全面。
除了防火墙功能外,WebARX 还实现了一些 WordPress 特定的安全规则,包括:
- 两因素身份验证
- 验证码
- 蛮力保护
- 用户活动日志
- 主题/插件漏洞监控
再说一次,WebARX 真正方便的事情之一是它使管理多个站点变得多么容易。因此,如果您正在为客户管理网站,WebARX 可以为您简化该过程。
WebARX 提供 14 天免费试用。之后,付费计划的起价为每个站点每月 14.99 美元。访问网站
3. Wordfence
从数字上看,Wordfence 绝对是最受欢迎的 WordPress 安全插件——它在超过 300 万个 WordPress 网站上活跃。
它提供了一个慷慨的免费版本,具有全面的 WordPress 安全性方法:
- 基础安全加固
- 登录保护,包括双重身份验证
- 恶意软件扫描和文件完整性监控
- 应用级端点防火墙
如果您管理多个 WordPress 站点,它还具有方便的 Wordfence Central 功能,可让您从单个云仪表板管理多个站点。
在那个慷慨的免费版本之后,还有一个 99 美元的 Pro 版本,它提供防火墙和恶意软件签名的实时更新,以及其他一些好处。免费版的签名延迟 30 天。访问网站
4. MalCare
MalCare 主要是一个WordPress 恶意软件扫描和删除插件,尽管它确实包括一些基本的加固和应用程序级防火墙。
这个工具最独特的地方之一是它的恶意软件扫描方法。MalCare 不会扫描您服务器上的实际文件,而是将您的文件复制到 MalCare 的服务器并在那里进行扫描。这种方法的好处是它不会减慢您的实时网站。
如果 MalCare 确实发现任何问题,高级版可让您一键修复问题。
除了恶意软件扫描功能外,MalCare 还有助于:
- 用于阻止恶意 IP 地址的基本应用程序级防火墙
- 验证码登录保护
- 基本的安全强化,例如禁用文件编辑和保护您的上传文件夹
它还提供了一个云仪表板,可以轻松管理多个 WordPress 站点。
您可以在 WordPress.org 上尝试使用有限的免费插件进行恶意软件扫描。专业版起价为每年 99 美元。访问网站
5. Cloudflare
Cloudflare 是一个反向代理,可以帮助保护和加速您的 WordPress 网站。与 Sucuri 一样,它能够在 DNS 级别保护您的站点,以在威胁到达您的服务器之前阻止它们。
要使用 Cloudflare,您需要将域的名称服务器更改为指向 Cloudflare 的名称服务器。然后,Cloudflare 将自动过滤掉恶意机器人流量,并使用全球 CDN 加速您的网站。
Cloudflare 的两个独特之处在于:
- 全面性。Cloudflare 不仅仅是安全性,它本身也是一个出色的性能优化工具。
- 灵活性。通过 Cloudflare 仪表板,您可以设置自己的自定义安全规则并更改站点的整体安全级别。例如,您可以对您的 WordPress 管理区域应用更严格的安全性。
Cloudflare 包含一项免费服务,可提供基本的 DNS 级别保护(和 CDN)。但是,如果您想访问 Cloudflare 的 DNS 级 Web 应用程序防火墙,则需要每月 20 美元的 Pro 计划。访问网站
6. iThemes 安全
iThemes Security 是一个免费增值插件,可帮助您实施安全强化和文件扫描。
WordPress.org 上的免费版本可帮助您:
- 通过限制登录尝试和强制使用强密码来保护您的登录页面
- 通过禁用文件编辑、修复文件权限等来加强 WordPress 的安全性。
- 根据恶意软件黑名单检查您的网站以发现问题
然后,专业版可以帮助您:
- 恶意软件扫描和文件完整性监控
- 使用 CAPTCHA 和双因素身份验证提供更多登录保护
- 用户活动记录
如果您需要管理多个网站,还可以将 iThemes Security 与 iThemes Sync 配对。
不过, iThemes Security 不包括防火墙。事实上,开发人员特别建议将其与 Sucuri 的 DNS 级防火墙配对,尽管我们也认为它与 Cloudflare 配合得很好。
iThemes Security Pro 起价为每年 80 美元。访问网站
7.多合一的WP安全和防火墙
All In One WP Security & Firewall 在超过 800,000 个网站上活跃,是最受欢迎的 WordPress 安全插件之一。它也是 100% 免费的,这也是其受欢迎程度的一部分。
尽管有这个名字,All In One WP Security & Firewall 不包括强大的防火墙。插件所说的防火墙实际上只是一组 .htaccess 规则。虽然这些规则很有帮助,但它们与 Sucuri 之类的规则不同。
该插件做得很好的是实现了大量有效的 WordPress 安全强化实践,例如:
- 禁用仪表板内文件编辑
- 识别文件权限不正确的文件和文件夹
- 阻止访问您的调试日志文件
- 监控核心 WordPress 文件的文件完整性
它还包括许多登录强化功能,例如:
- 限制登录尝试
- 自动注销用户
- 将 IP 地址列入白名单或黑名单
- 验证码
由于这些原因,这可能是与 DNS 级防火墙配对的一个很好的免费选择。访问网站
8. Cerber 安全
Cerber Security 是一个流行的免费增值安全插件,与 Wordfence 一样,它提供了一种全面的 WordPress 安全方法:
- 许多登录保护工具——限制登录尝试、双重身份验证、用户白名单、验证码等
- 恶意软件扫描和文件完整性监控
- 注册和评论表单的反垃圾邮件保护
- 应用级 Web 应用防火墙和实时流量日志(称为 Traffic Inspector)
- 许多基本的强化规则
Cerber Security 还包括一个选项,可将不同的 WordPress 站点“从属”到“主”WordPress 站点。虽然这并没有为您的所有站点提供单独的云仪表板,但它确实让您可以从“主”站点的 WordPress 仪表板管理“从属”网站的安全性。
WordPress.org 上有一个免费的免费版本。之后,Pro 版起价为 99 美元/年访问网站
9.保险柜出版社
VaultPress 是来自 Automattic 的 WordPress 备份和安全插件,该公司是 WordPress.com 和 Jetpack 背后的公司。
VaultPress 实际上是两种服务合二为一:
- 每日自动备份到安全的异地位置,包括帮助您恢复或迁移站点的工具
- 文件扫描和自动文件修复
它使用与 MalCare 相同的方法 – VaultPress 首先将您的文件备份到其异地存储位置。然后,它会扫描您网站的备份副本以查找恶意软件和其他威胁。如果它找到任何东西,它会提供一个自动文件修复工具。
您仍然希望将 VaultPress 与防火墙和一些基本的安全强化功能配对,但它在确保您的站点数据安全且没有恶意软件方面做得很好。
VaultPress 是 Jetpack Personal 计划的一部分,每年收费 39 美元。访问网站
10.安全忍者
Security Ninja 是一个易于使用的 WordPress 安全插件,可帮助您实现一些最流行的 WordPress 安全加固原则。
WordPress.org 上的免费版本运行 50 多个测试,并为您提供有关如何解决问题的提示(例如提供代码片段以禁用文件编辑)。
然后,Pro 版本可以自动修复这些问题,并添加其他工具,例如:
- 恶意软件扫描和文件完整性监控
- 应用级防火墙(阻止 600+ 百万个已知恶意 IP)
- 用户活动跟踪
专业版起价仅为 39 美元。
因为它可以帮助您实施许多基本的安全强化规则,所以这可能是与 Sucuri 或 Cloudflare 等 DNS 级防火墙配对的不错选择。访问网站
什么是最适合您的 WordPress 安全插件?
如果您的网站对您的业务很重要,或者您正在为客户管理网站,那么投资网站安全是有意义的。虽然在没有直接投资回报的情况下花钱买东西从来都不是一件有趣的事,但被黑客入侵的网站造成的损失可能远远超过您在主动WordPress 安全性上花费的成本。
我们认为,您可以在这里进行的最佳投资是将免费的 Sucuri 插件与付费的 Sucuri 防火墙和 CDN 服务相结合,起价仅为每月 10 美元。
这对二人组提供了基本的强化和主动保护,当与其他基本的 WordPress 安全最佳实践结合使用时,应该可以确保您的网站安全。
如果您预算有限且无法负担付费服务,另一个不错的组合是将免费的 iThemes Security 插件与Cloudflare配对,以实现基本的 DNS 级安全性。您可以使用 Cloudflare 页面规则和安全级别来找到最适合您的安全级别。
