防火墙设置允许更好地保护您的WordPress网站以及其他选项,如暴力破解和评论垃圾邮件预防。为您的WordPress网站启用防火墙的一种简单方法是使用“All in one WP security and firewall”(AIOWPS)之类的插件。
在本文中,我们将详细讨论如何使用AIOWPS插件提供的防火墙设置来保护WordPress站点。
AIOWPS插件提供的防火墙设置
安装并激活插件后,导航到“WP Security > Firewall”菜单以查看以下选项:
- 基本防火墙规则
- 附加防火墙规则
- 6G黑名单防火墙规则
- 爬虫机器人
- 防盗链
- 404检测
- 自定义规则
启用这些选项中的大多数将在.htaccess文件中插入代码并防止黑客访问您的站点。强烈建议在启用防火墙选项之前备份您的整个站点和.htaccess。
启用防火墙后,还要检查您网站的可访问性。例如,在Google搜索控制台或PageSpeed Insights工具中使用fetch作为Google选项来检查 Googlebot 是否可以通过防火墙访问您的网站。
插件提供启用每个防火墙设置的积分,并将积分相加以在“仪表盘”部分下显示总积分。更多的点表明您的网站的安全性更高,但考虑到您的网站的可访问性不受影响。
基本防火墙规则(共 40 分)
您在基本防火墙规则选项卡下有三个选项。
1. 基本防火墙设置(15 分)
此选项将为您的站点添加以下功能:
- 拒绝访问 .htaccess和wp-config.php文件
- 禁用服务器签名
- 将文件上传大小限制为10MB
理想情况下,您应该能够激活此选项,而不会对您的站点产生任何其他不利影响。
2. WordPress XMLPRC & Pingback漏洞保护(15 分)
当您使用cPanel托管帐户中可用的统计工具之一监控流量时,您会看到许多机器人试图访问您网站上的“xmlprc.php”文件。黑客使用WordPress提供的这种XML-PRC API服务,使用“拒绝服务”(DoS) 等方法攻击您的网站。确保您没有将XML-PRC用于其他功能,例如通过 WordPress iOS/android应用程序发布。如果启用,您将无法通过移动应用发布。
3. 阻止对调试文件的访问(10 分)
启用调试后,WordPress将在“wp-content”文件夹下生成一个debug.log文件。此文件可能包含重要信息,启用此选项将拒绝访问该文件。您可以通过FTP帐户访问调试文件。
附加防火墙规则(共 55 分)
在这里,您可以找到WordPress网站的高级防火墙设置。
1.目录内容列表(5分)
此选项将禁用浏览器上的目录列表视图。通常WordPress允许您列出允许任何人查看您站点的目录结构的文件目录。例如,用户可以查看“yoursite.com/wp-content/uploads/”以查看您网站上所有上传的文件。因此,建议启用此选项以防止目录列表。如果您发现此选项不起作用,您可以与您的主机讨论托管服务器是否配置为支持此功能。
2. Trace and Track (10 分)
禁用跟踪和跟踪将有助于防止HTTP跟踪攻击。这种类型的攻击通常用于从HTTP标头请求中提取cookie和其他信息。
3. 代理评论发布(10 分)
启用此选项可防止使用代理服务器发布评论。据信,大多数机器人使用代理服务器发布评论,因此启用此选项将阻止垃圾评论。
4. 错误的查询字符串(15 分)
停止错误的查询字符串将防止跨脚本攻击 (XSS)。由于插件和主题可以使用查询字符串,请确保启用此选项不会破坏您的网站。
5. 高级字符串过滤器(15 分)
这与上一个选项类似,并防止使用某些高级字符串。当黑客使用其中一个字符串时,插件将返回403 access denied并保护您的站点。如果您的任何插件或主题使用AIOWPS插件阻止的字符串,此选项也可能会破坏您的站点。
6G黑名单防火墙规则(共20分)
6G防火墙规则是由第三方网站Perishable Press定义的.htaccess指令。它是旧版5G防火墙黑名单的更新和改进版本。6G保护包括以下内容:
- 格挡字符通常用于攻击。
- 阻止恶意编码URL字符。
- 阻止黑客在查询字符串中使用非法字符。
- 防止常见的利用模式。
您可以为您的站点启用5G和6G防火墙保护。再次确保站点没有损坏,并且搜索引擎机器人可以在启用防火墙设置后访问您的站点。
互联网机器人(共 5 分)
该插件将通过测试机器人并节省带宽来阻止所有具有“Googlebot”等字符串的假机器人。
防盗链(共 10 分)
盗链表示在其他一些网站上使用您的图像。每次在其他站点上加载图像时,这都会耗尽您的服务器资源。启用“防图像盗链”复选框将拒绝从其他站点链接时访问您的图像。
404检测(共5分)
对于尝试访问站点上不存在的URL的用户,将显示404错误页面。但有时一些机器人会反复尝试访问旧页面或不存在的页面并消耗带宽。您可以启用“启用404 IP检测和锁定”复选框来监控和阻止您怀疑的IP地址。
自定义规则
在本节下,您可以编写自定义指令并插入.htaccess文件以提高WordPress站点的安全性。仅当您知道如何编写指令时才使用此部分,否则不要选中它。
小结
AIOWPS插件仅为防火墙部分提供135分,总共470分。这表明为您的WordPress网站使用防火墙的重要性。同时,我们注意到一些选项会阻止网站或Googlebot访问该网站。确保测试您网站的可访问性并仅启用您所需的选项,尽管总点数较少。