通过AIOWPS插件使用防火墙保护WordPress站点

防火墙设置可以让你更好地保护你的WordPress网站以及其他选项，如暴力开心和垃圾评论预防。为你的WordPress网站启用防火墙的一个简单的方法是使用一个插件，比如“所有在一个WP安全和防火墙”(AIO WPS)。

在本文中，我们将详细讨论如何使用AIOWPS插件提供的防火墙设置来保护WordPress站点。

AIOWPS插件提供的防火墙设置

安装并激活插件后，导航到“WP安全>防火墙”菜单查看以下选项:

AIOWPS插件防火墙设置

基本防火墙规则

附加防火墙规则

6G黑名单防火墙规则

机器人

安全链

404检测

自定义规则

启用这些选项中的大多数会将代码插入到。htaccess文件，防止黑客访问您的网站。强烈建议备份您的整个站点和。htaccess，然后启用防火墙选项。

启用防火墙后，还要检查网站的可访问性。例如，使用谷歌搜索控制台中的fetch as Google选项或PageSpeed Insights工具来检查Googlebot是否可以通过防火墙访问您的网站。

该插件提供启用每个防火墙设置的点数，并将这些点数相加，以在“仪表板”部分下显示总点数。点数多说明你网站的安全性更高，但是考虑到你网站的可访问性不受影响。

基本防火墙规则(共40分)

“基本防火墙规则”选项卡下有三个选项。

1. 基本防火墙设置（15 分）

此选项将向您的站点添加以下功能:

获得。htaccess和wp-config.php文件被拒绝。

禁用服务器签名

将文件上传大小限制为10MB

理想情况下，您应该能够激活此选项，而不会对您的站点产生任何其他负面影响。

2. WordPress XMLPRC & Pingback漏洞保护（15 分）

当你使用cPanel hosting account中可用的统计工具之一来监控流量时，你会看到许多机器人试图访问你网站上的“xmlprc.php”文件。使用黑客WordPress提供的XML-PRC API服务，使用“拒绝服务”(DoS)等方法攻击您的网站。确保您没有将XML-PRC用于其他功能，例如通过WordPress iOS/android应用程序发布。如果启用，您将无法通过移动应用程序发布。

3. 阻止对调试文件的访问（10 分）

调试完成后，WordPress会在“wp-content”文件夹下生成一个debug.log文件。该文件可能包含重要信息。启用此选项将拒绝对此文件的访问。您可以通过FTP帐户访问调试文件。

附加防火墙规则(共55分)

在这里，你可以找到WordPress网站的高级防火墙设置。

1.目录内容列表（5分）

此选项将禁用浏览器上的目录列表视图。通常WordPress允许你列出允许任何人查看你的站点目录结构的文件目录。例如，用户可以查看“your site . com/WP-content/uploads/”来查看您网站上所有上传的文件。因此，建议启用此选项以防止目录列表。如果您发现此选项不起作用，您可以与您的主机讨论受控服务器是否配置为支持此功能。

2. Trace and Track (10 分)

禁用跟踪和追踪将有助于防止HTTP跟踪攻击。这种类型的攻击通常用于从HTTP头请求中提取cookie和其他信息。

3. 代理评论发布（10 分）

启用此选项可防止代理服务器发布评论。据信，大多数机器人使用代理服务器来发布评论，因此启用此选项将防止垃圾评论。

4. 错误的查询字符串（15 分）

停止的查询字符串将防止跨脚本攻击(XSS)。由于插件和主题可以使用查询字符串，请确保启用此选项不会破坏您的网站。

5. 高级字符串过滤器（15 分）

这类似于前一个选项，并防止使用一些高级字符串。当黑客使用其中一个字符串时，插件将返回403拒绝访问并保护您的网站。如果你的插件或主题使用了被AIOWPS插件阻止的字符串，这个选项也可能会破坏你的站点。

6G黑名单防火墙规则(共20分)

6G防火墙规则是。第三方网站易腐出版社定义的htaccess说明。它是旧的5G防火墙黑名单的更新和改进版本。6G防护包括以下内容:

块字符通常用于攻击。

防止URL字符的恶意编码。

防止黑客在查询字符串中使用非法字符。

防止常见的利用模式。

您可以为您的站点启用5G和6G防火墙保护。同样，确保网站没有损坏，并且在启用防火墙设置后，搜索引擎机器人可以访问您的网站。

6G黑名单/防火墙设置

互联网机器人(共5分)

该插件将通过测试机器人和节省带宽来阻止所有带有“Googlebot”等字符串的伪机器人。

防盗链(共10分)

偷链是指在其他一些网站上使用你的形象。每次图像被加载到其他网站，这将耗尽您的服务器资源。当从其他网站链接时，启用复选框“防止图像盗窃”将拒绝访问您的图像。

44项测试(共5分)

对于试图访问网站上不存在的URL的用户，将显示404错误页面。但有时一些机器人会反复尝试访问旧页面或不存在的页面，消耗带宽。您可以启用“启用404 IP检测和锁定”复选框来监控和阻止您怀疑的IP地址。

自定义规则

在此部分下，您可以编写自定义说明并插入。htaccess文件来提高WordPress站点的安全性。只有当你知道如何写指令时，才使用这一部分，否则不要检查它。

总结

AIOWPS插件只为防火墙部分提供了135分，总共470分。这显示了为你的WordPress网站使用防火墙的重要性。同时，我们注意到一些选项会阻止网站或Googlebot访问网站。确保测试你的网站的可访问性，只启用你需要的选项，尽管总点数很少。