在太阳下
不管你喜不喜欢,高不高兴,爱与不爱;太阳照旧照耀着你!温暖着你!

WordPress 安全插件 SiteGuard WP Plugin

WordPress 安全插件 SiteGuard WP Plugin
TIME 2019-08-23 21:52
TIME 2019-09-09 08:29 更新

SiteGuard WP Plugin 

描述
只需安装SiteGuard WP插件,WordPress的安全性就得到了改进。
这个插件是一个安全插件,专门用于强力攻击的登录攻击,例如保护和管理功能。
笔记
  • 它不支持WordPress的多站点功能。
  • 它仅支持Web服务器的Apache 1.3,2.x。
  • 要使用CAPTCHA函数,应在php上安装扩展库“mbstring”和“gd”。
  • 要使用管理页面过滤功能和登录页面更改功能,应在Apache上加载“mod_rewrite”。
  • 要使用WAF Tuning Support,应在Apache上安装WAF(SiteGuard Lite)。
有以下功能。
  • 管理页面IP过滤器
它是防止攻击管理页面的功能(在wp-admin下)。
对于从未登录管理页面的连接源IP地址的访问,返回404(未找到)。
在登录时,将记录连接源IP地址,并允许访问该页面。
连续删除超过24小时的连接源IP地址。
可以指定排除此功能的URL(在wp-admin下)。
  • 重命名登录
它可以降低针对非法登录尝试攻击(如暴力攻击或密码列表攻击)的漏洞。
登录页面名称(wp-login.php)已更改。初始值为“login_ <5 random digits>”,但可以将其更改为收藏夹名称。
  • CAPTCHA
它可以降低针对非法登录尝试攻击的漏洞,例如暴力攻击或密码列表攻击,
或者减少垃圾评论。对于CAPTCHA的角色,可以选择平假名和字母数字字符。
  • 登录锁定
它可以降低针对非法登录尝试攻击(如暴力攻击或密码列表攻击)的漏洞。
特别是,它是防止自动攻击的功能。
在指定时间内登录失败次数达到指定数量的连接源IP地址将在指定时间内被阻止。
每个用户帐户都未锁定。
  • 登录提醒
它的功能是更容易注意到未经授权的登录。登录后,电子邮件将发送给登录用户。
如果您收到电子邮件,但没有登录的想法,请怀疑未经授权登录。
  • 失败一次
它是减少密码列表攻击漏洞的功能。即使登录输入正确,首次登录也必须失败。
5秒后,在60秒内,另一个正确的登录输入使登录成功。在第一次登录失败时,将显示以下错误消息。
  • 禁用Pingback
pingback功能被禁用,防止滥用。
  • 更新通知
安全的基础是始终使用最新版本。如果需要WordPress核心,插件和主题更新,请发送电子邮件通知管理员。
  • WAF调整支持
如果在Web服务器上安装了JP-Secure的WAF(SiteGuard Lite),则可以创建规则以避免WordPress中的错误检测(包括正常访问时发生403错误)。WAF防止外部攻击Web服务器,
但对于某些WordPress或插件函数,WAF可能会检测到实际上没有攻击的攻击并阻止该功能。
通过创建WAF排除规则,可以激活WAF保护功能,同时防止对指定功能的错误检测。

 

管理页面IP过滤器
目前还不知道该功能是干嘛的怎么使用的

重命名登录
可以降低非法登录;如果对方不知道你的登录地址,那对方怎么非法登录呢?
所以你需要设置一个你有你知道的登录地址,这个登录地址尽可能的复杂,从而降低非法登录的次数;但还是不能完全杜绝非法登录

CAPTCHA(验证码)
开启验证码以后,可以有效的降低暴力破解,和机器人垃圾评论
登录页面:就是登录的时候需要输入验证码,可以有效的降低暴力破解
评论页面:可以有效的降低垃圾评论,如果觉的开启了验证码有碍使用体验可以关闭
忘记密码:同样的可以有效降低暴力破解的滥用
注册页面:同样可以有效的降低滥用注册

相同的登录错误消息
简单来说就是;不管是用户名或者是密码任意错误,只返回一种结果;即“用户名或密码不正确”

登录锁定
可以有效的降低暴力破解的次数
如上设置的意思即,允许间隔五秒登录一次,连续三次错误,则需要间隔一分钟
当然你也可以根据自己的喜好设置

登录提醒
意思就是说注意到未经授权的登录后,将电子邮件通知管理员

失败一次
目标用户,如果勾选【仅限管理员】那么只针对管理员,否者则反之
就是说开启该功能,就算用户名和密码都是正确的情况下,都会返回不正确的提示;要间隔5秒钟以后再提交登录请求,并且要在60秒以内完成登录

开启该功能可以有效的杜绝暴力字典破解(这个创意真的很赞)
不觉得登录的时候麻烦的话,可以开启

保护XMLRPC
不知道什么意思

更新通知
建议禁用,不然感觉有点烦
当然为了安全起见最好还是第一时间更新到最新版的最好

WAF Tuning支持
暂时不知道是什么东西

高级设置
暂时不知道是什么东西

登录历史记录
那就是所有用户的登录历史记录咯
通过排查正查登录记录来查找非法登录


返回《WordPress 学习笔记

点击数:98

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
Verified by MonsterInsights