选择最好的 WordPress 安全插件:前 12 个插件比较

已发表: 2021-08-04

无论您拥有博客、小型企业网站还是电子商务商店,安全都是绝对必要的。 毕竟,如果您的网站被黑客入侵,您就有可能损害您的声誉、丢失您的文件和数据库、损害您的 SEO 排名,以及将个人客户和访问者数据交给黑客。

与生活中的许多事情一样,预防胜于治疗。 而且,值得庆幸的是,WordPress 可以轻松保护您的网站并防止黑客入侵。

我们将深入研究 12 个最佳 WordPress 安全插件,在各个领域进行比较,并帮助您为特定站点选择最佳插件。 另外,我们将回答一些常见的 WordPress 安全问题。

我需要 WordPress 安全插件吗?

您不一定需要 WordPress 安全插件来运行安全站点。 许多最佳实践——比如定期更新和安全密码——可以在没有一个的情况下实施。 然而,最好的 WordPress 安全插件将事情提升到一个新的水平,增加了一层额外的安全性,并且在没有开发人员帮助的情况下更容易添加高级保护。

安全是您不想忽略的领域。 无论您运营哪种类型的网站,黑客攻击都可能严重影响访问者、客户和客户对您品牌的看法。 它还可能损害您的搜索引擎排名(谷歌不喜欢不安全的网站),减少您收到的销售和潜在客户数量,并使信用卡数据等信息面临风险。

因此,虽然不一定需要 WordPress 安全插件,但将一个用于任何站点都是一个好主意。

WordPress 最佳安全插件的比较

WordPress 顶级安全插件示例

让我们比较前 12 个 WordPress 安全插件,以帮助您选择最适合您网站的选项:

  1. 喷气背包安全
  2. 文字围栏
  3. iThemes 安全
  4. 苏库里
  5. 多合一 WP 安全和防火墙
  6. 后卫临
  7. 防弹安全
  8. 安全忍者
  9. 安全出版社
  10. 阿斯特拉安全
  11. WP扫描
  12. 盾牌安全

您可以使用上面的列表快速滚动到特定插件并查看它们最重要的功能、定价选项以及最重要的——它们如何帮助保护您的网站。

1. 喷气背包安全

与许多其他插件不同,Jetpack Security 负责多项任务:免费和付费功能包括从暴力攻击预防到停机监控、备份、恶意软件扫描、垃圾邮件防护等一切。 这些功能结合起来创建了一个整体的 WordPress 安全插件,对于初学者来说很容易使用,但对于最大的网站来说足够全面。 而且,作为奖励,因为扫描是在 Jetpack 服务器上运行的,它们不会减慢您的网站速度。

Jetpack 也由 WordPress.com 背后的人员构建和支持,特别是针对WordPress。 Jetpack 团队对 WordPress 了如指掌,并了解 WordPress 网站所有者每天面临的确切问题,这正是它是可用的最佳安全插件的原因。

Jetpack Security 的主要特点:

  • 每日和实时自动备份
  • 每日和实时恶意软件扫描
  • 自动垃圾邮件预防
  • 详细的活动日志,显示您网站上发生的所有事情
  • 停机时间监控
  • 蛮力攻击保护
  • 两因素身份验证
  • 具有警报和访问备份、扫描结果和活动日志的移动应用程序

让我们更详细地了解其中的一些功能。

蛮力攻击保护

蛮力攻击是黑客使用机器人猜测用户名和密码组合,直到找到正确的组合。 由于他们使用大型计算机网络,他们每秒可以尝试数千个密码。

Jetpack 的蛮力攻击保护功能可在恶意 IP 到达您的站点之前阻止不需要的登录尝试。

来自 Jetpack 网站已关闭的通知

停机时间监控

Jetpack 停机时间监控从世界各地访问您的网站,并在网站出现故障时向您发送即时警报。 为什么这有帮助? 你无法解决你不知道的问题! 如果您的网站长时间停机,您可能会失去流量、销售额——甚至是搜索引擎排名。 通过停机时间监控,您将立即了解问题,以便尽快解决问题。

两因素身份验证

双重身份验证通过要求的不仅仅是用户名和密码,为您的登录页面增加了额外的安全级别。 当您登录网站时,Jetpack 会向您的手机发送一个代码,您需要输入该代码。 这意味着,要让黑客进入,他们必须知道您的用户名和密码,并实际拥有您的移动设备——这是一个不太可能的组合。

Jetpack 活动日志显示站点上发生的所有事情,包括可用的备份

自动备份

如果您的网站因任何原因中断,完整备份将非常宝贵。 想象一下失去所有的辛勤工作、投入的资金以及客户或访客的数据。 WordPress 备份让您高枕无忧。

但并非所有备份解决方案都是平等的。 Jetpack 备份包括:

  • 自动化,因此您无需手动创建备份。
  • 安全,因此您的备份受到保护并且始终可用。
  • 易于设置,如果您不熟悉编码或服务器管理,这将特别有用。
  • 快速恢复,因此您可以尽快让您的网站再次运行。
  • 提供两种格式:每日和实时。

每日备份每天自动发生一次,对于餐厅、博客和其他每 24 小时不超过一次更新的网站来说,这是一个很好的解决方案。

实时备份会在您工作时自动进行,因此您拥有网站的最新记录——每次更改都会在您进行时保存。 它们非常适合在线商店、会员网站、论坛和任何定期更新的网站。

无论您选择哪种选项,您都可以相信您的网站已备份,如果您需要,只需点击几下即可恢复。

在网站上运行的 Jetpack Scan

自动恶意软件扫描

如果黑客获得了对您网站的访问权限,他们可以植入“后门”——一种恶意软件,允许他们在您想要窃取数据或在您不知情的情况下插入恶意软件或病毒时随时访问您的网站。 恶意软件会损害您的声誉,并使您的信息和客户数据面临风险。

这就是 Jetpack Scan 发挥作用的地方。 它每天对您的站点代码进行自动恶意软件扫描,检查是否有任何可疑之处。 它检测到威胁的那一刻,您将收到一封电子邮件通知,其中包含有关受感染文件的详细信息。

而且它会变得更好:Jetpack 会自动修复大多数已知威胁。 因此,您不仅会立即知道问题,而且您可能无需费力就能解决问题。

自动垃圾邮件过滤

垃圾邮件通常以不相关的评论形式出现,其中包括指向声誉不佳的网站的链接。 使用正确的软件,垃圾邮件发送者可以留下数百万条评论——这些评论很快就会变得难以管理。

Jetpack Anti-spam 自动过滤已知垃圾邮件的评论、pingback 和联系表单提交,为您节省数小时的时间。 如果您担心真实评论被标记为垃圾邮件,您可以查看它们并恢复您想要的任何内容,或者只是将 Jetpack 设置为摆脱最糟糕的评论,这样您就不必看到它们了。

多台设备上的 Jetpack 移动应用仪表板

Jetpack 移动应用程序

黑客不会因为您离开计算机而停止。 借助 Jetpack 移动应用程序,无论您身在何处,都可以检查站点活动、恢复备份并查看恶意软件扫描结果。

此外,如果您的网站出现故障或发现任何恶意软件,您将收到即时警报,让您高枕无忧。 发现不对劲? 您可以直接从应用程序中一键解决大多数已知威胁。

便于使用:

Jetpack 的设计目的是让任何网站所有者都可以使用它,无论他们的技术水平如何。 只需单击几下即可打开所有功能,无需编码知识或开发人员。

支持和文档:

Jetpack 由真正关心您、您的网站和您的业务的 WordPress 专家维护和支持——恰当地说,他们被称为幸福工程师。 免费计划包括高质量的电子邮件支持,付费计划提供更快的优先关注,以便您在需要时立即获得所需的帮助。

还有大量文档可指导您完成设置和故障排除。

定价和计划选项:

  • Jetpack Free包括停机时间监控、暴力攻击保护和包含最近 20 个事件的免费活动日志。
  • Jetpack Security Daily包括所有功能,以及每日备份、每日安全扫描和 30 天活动日志,每月 11.97 美元起。
  • Jetpack Security Real-time包括所有功能,以及实时备份、实时安全扫描和为期一年的活动日志,每月 33.57 美元起。
  • 您还可以单独购买一些功能,例如 Jetpack Backup、Jetpack Scan 和 Jetpack Anti-spam,起价为每月 4.77 美元。

非常适合:

任何规模的博客、电子商务商店和网站。 Jetpack Security 是几乎适用于任何场景的最全面、最好的 WordPress 安全插件。

WordPress 存储库中列出的 Wordfence 插件

2. Wordfence

Wordfence 是一个 Web 应用程序防火墙,它还提供一些附加功能,例如恶意软件扫描。 由于防火墙是端点防火墙,它与WordPress深度集成,无法绕过,也无法泄露数据。 这使其比云替代方案更安全。

设置 Wordfence 后,如果它检测到任何与过时的插件、恶意代码或病毒有关的内容,您将收到电子邮件通知。

但是,Wordfence 确实以减慢您的网站速度而闻名,因为它添加了许多繁重的数据库表,并在恶意软件扫描期间给您的服务器带来压力。

Wordfence 的主要特点:

  • Web 应用程序防火墙
  • 安全扫描仪
  • 泄露密码保护
  • 两因素身份验证
  • 手动屏蔽和国家屏蔽
  • 自动文件修复

让我们仔细看看其中的一些功能。

启用 Wordfence 防火墙功能

网络应用防火墙

防火墙无疑是 Wordfence 最强大的功能。 它利用从其保护的超过 400 万个网站收集的数据来了解黑客如何攻击、攻击是什么样子以及它们来自何处。 他们会定期更新防火墙规则和他们阻止的恶意 IP 地址列表以进行持续保护。

Wordfence 扫描设置仪表板

安全扫描仪

安全扫描程序会检查您的站点是否存在恶意软件、错误 URL、垃圾邮件、恶意重定向和代码注入。 它还报告对核心 WordPress 文件所做的任何更改、已知的安全漏洞和过时的插件。

手动屏蔽和国家屏蔽

高级计划提供对这些功能的访问,这实际上只是为防火墙增加了额外的功能。 通过手动阻止,您可以选择阻止整个恶意网络或您希望的任何人类或机器人活动。 通过国家/地区阻止,您可以阻止来自特定国家/地区的所有流量,这在攻击期间特别有用。 请记住,不建议出于 SEO 目的而长期封锁国家/地区。

自动文件修复

如果 Wordfence 发现某个核心 WordPress 文件被恶意修改,您可以一键将文件恢复到原始状态。 然而,重要的是要注意,这与删除恶意软件或修复被黑客入侵的网站不同,后者需要 Wordfence 额外支付 490 美元。

便于使用:

虽然没有技术知识的人可以使用 Wordfence,但设置面板可能会让人不知所措和复杂。 所有功能都一​​次列出,可能很难理解您的网站需要什么。 默认情况下,Wordfence 还会发送大量电子邮件警报,其中许多不需要网站所有者的任何回复,初学者可能很难理解他们需要对每个警报做什么。

支持和文档:

Wordfence 通过 WordPress 论坛提供免费支持,并通过在线票务系统提供高级支持。 他们还有一个文档数据库,提供有关插件设置和故障排除的详细信息。

定价和计划选项:

  • Wordfence Free包括免费的基本 Web 应用程序防火墙、恶意软件扫描程序和暴力攻击保护。
  • Wordfence Premium以每年 99 美元的价格增加了实时防火墙更新、IP 阻止列表检查和国家/地区阻止等功能。

非常适合:

专门寻找防火墙并且不需要保护信用卡信息等重要数据的小型网站。 虽然 Wordfence 确实包含其他功能,但它并不是此列表中最全面的 WordPress 安全插件。 Web 应用程序防火墙使其脱颖而出。

WordPress 存储库中的 iThemes 安全插件页面

3. iThemes 安全性

iThemes Security 是一个免费增值插件,它更多地专注于强化您的网站——增加保护层——而不是识别和解决黑客攻击。 他们通过设置正确的文件权限、强制使用强密码和更改登录 URL 等安全措施来做到这一点。

iThemes 安全的主要特点:

  • 蛮力保护
  • 文件更改和404检测
  • 数据库备份
  • 隐藏登录和管理页面
  • 强大的密码保护
  • 两因素身份验证

以下是有关其中一些功能的更多详细信息:

蛮力保护

当人们多次尝试进入并失败时,将其锁定在外面。 这可以防止机器人在短时间内猜测您的密码和用户名组合数千次。

数据库备份

自动生成数据库备份,然后通过电子邮件发送给您。 请注意,这包括数据库,不包括您的任何文件、媒体、插件或主题。

隐藏登录页面

默认情况下,所有 WordPress 站点都使用 URL /wp-admin 作为登录和仪表板页面。 当然,这使得黑客很容易找到该页面,因为它总是相同的。 将 URL 更改为其他内容,iThemes Security 允许您在没有自定义代码的情况下执行此操作,增加了额外的保护层。

iThemes 安全设置仪表板

便于使用:

像 Wordfence 一样,iThemes 设置仪表板对于初学者和非技术用户来说可能是压倒性的。 有很多可以打开或关闭的小设置,很难知道哪些适合您的网站。

支持和文档:

iThemes Security 的免费版本通过 WordPress.org 论坛运行。 高级版包括票务支持系统。 还有大量可用的文档。

定价和计划选项:

  • iThemes Security Free包括免费的强化措施、数据库备份、暴力攻击保护和文件更改保护(以及其他功能)。
  • iThemes Blogger (Premium) 添加了预定的恶意软件扫描、双重身份验证和 reCAPTCHA(以及其他功能),每个站点每年 80 美元。

非常适合:

登录保护和站点加固。 尽管还包含许多其他功能,但许多其他 WordPress 安全插件可以更好地处理它们,以一种对用户来说更容易的方式。

WordPress 存储库中显示的 Sucuri 安全插件

4. 苏库里

Sucuri 是一个基于云的 WordPress 安全解决方案,这意味着它完全在自己的服务器上运行,防止您的服务器滞后。 它不是专门为 WordPress 构建的,适用于任何平台或内容管理系统。 虽然它确实提供了 Web 应用程序防火墙和恶意软件扫描工具,但它的清理服务确实很出色。

WordPress 仪表板中的 Sucuri 强化选项

需要注意的是,Sucuri 非常清楚地将其免费和高级功能区分开来。 免费插件提供恶意软件扫描和 WordPress 加固,而高级版本包括 Web 应用程序防火墙和黑客清理服务。

Sucuri的主要特点:

  • 恶意软件扫描
  • 黑名单状态监控
  • Web 应用程序防火墙
  • 分布式拒绝服务 (DDoS) 缓解
  • 暴力攻击预防
  • 网站清理服务

让我们更仔细地研究其中的一些。

黑名单状态监控

Sucuri 通过各种服务运行您的 URL,以查看您是否被列入黑名单。 而且,由于列入黑名单的网站会损失大量流量,这可能是一个巨大的优势。

分布式拒绝服务 (DDoS) 缓解

DDoS 攻击是通过大量虚假流量压倒服务器来破坏服务器流量的恶意尝试。 这从本质上阻止了正常、合法的访问者和客户访问您的网站。 Sucuri 的 DDoS 缓解功能阻止了这些攻击。

网站清理服务

Sucuri 的专家团队可以在黑客入侵后修复和恢复您的网站。 他们从您的文件和数据库中删除恶意代码,提交黑名单删除请求,并修复 SEO 垃圾邮件(如链接注入)。

便于使用:

对于非开发人员来说,设置高级版 Sucuri 可能会有些棘手,因为您必须更改域 DNS 设置才能使用 Sucuri 的服务器。 对于非开发人员来说,免费 WordPress 插件的设置要简单得多。

支持和文档:

免费版的支持通过 WordPress 支持论坛提供,而高级版使用票务系统。 还有一个广泛的知识库可用于回答常见问题。

定价和计划选项:

  • Sucuri Free包括免费的恶意软件扫描、阻止列表监控和 WordPress 加固。
  • Sucuri Basic以每年 199 美元的价格添加了 Web 应用程序防火墙和清理服务。 但是,没有保证清除响应时间,恶意软件扫描每 12 小时运行一次。
  • Sucuri Pro每年 299.99 美元,包括基本计划中的所有内容,但将恶意软件扫描的频率增加到 6 小时。
  • Sucuri Business将恶意软件扫描频率提高到每 30 分钟一次,并保证对黑客的响应时间为 6 小时。 这些福利的年费为 499.99 美元。

非常适合:

在网站被黑客入侵后强化和清理网站。 由于该插件的免费版本不包含防火墙等基本功能,因此最好坚持使用高级版本或选择其他插件选项。

WordPress 存储库中列出的多合一 WP 安全和防火墙

5.多合一的WP安全和防火墙

顾名思义,All in One WP Security and Firewall 插件是一个完全免费、全面的 WordPress 解决方案。 它根据其安全级别(以及它们可能破坏您网站上某些内容的可能性)将其功能分为几类,因此无论技能水平如何,每个人都可以找到一些东西。

但是,所有功能都专注于保护您的网站免受黑客攻击,而不是扫描恶意软件和清理被黑客入侵的网站。

All in One WP 安全和防火墙的主要特点:

  • 用户账户加固
  • 登录页面安全
  • 数据库备份
  • 文件系统安全
  • 黑名单功能
  • 防火墙
  • 安全扫描仪
  • 蛮力攻击保护

以下是有关其中一些功能的更多信息:

登录页面安全

该插件在一定次数的登录尝试后阻止用户,在设定的时间段后强制注销,将 reCAPTCHA 添加到登录页面,并记录每次登录和注销。 这有助于保护您的网站免受黑客和机器人的攻击。

文件系统安全

All in One WP Security and Firewall 检查您的文件和文件夹是否存在权限问题,并让您只需单击一下即可修复它们。 它还允许您防止黑客和机器人查看容易被破坏的文件(如 readme.html、license.txt)并禁用文件编辑。

安全扫描仪

安全扫描程序通过将文件与默认的核心 WordPress 文件进行比较来检查文件中的更改。 请注意,这不会为您解决问题或扫描恶意软件。

便于使用:

因为功能是按安全级别划分的——将可能破坏您网站的功能与不能破坏网站的功能分开——它是一个适合初学者使用的简单插件。 它还具有一个安全强度计,可让您快速了解您在任何特定时刻的位置。

支持和文档:

只能通过 WordPress.org 论坛获得支持,并且某些功能的文档有限。

定价和计划选项:

这个插件只有一个版本——免费版本——包含所有功能。

非常适合:

初学者和基本网站。 在不破坏您的网站的情况下,相对较快地开始使用很容易。 但是,由于这个插件没有高级版本,它确实缺乏恶意软件扫描和删除等有价值的功能。 对于不想在网站安全性上投入大量资金的爱好博客来说,这可能是一个很好的解决方案。

Defender Pro 的 WPMUDev 登录页面

6.后卫临

Defender Pro 由 WPMU DEV 创建,这是一家 WordPress 开发公司,为从安全和选择加入到测验和分析的所有内容构建解决方案。 它可以单独购买,也可以作为网站工具套件的一部分购买。

Defender Pro 的主要特点:

  • 安全扫描
  • 登录保护
  • 两因素身份验证
  • 阻止列表监控
  • 更改的文件恢复和修复

便于使用:

Defender Pro 包含一个易于使用的设置向导,非常适合初学者。

支持和文档:

WPMU Dev 提供实时聊天支持,以及论坛、电子邮件和详细文档。

定价和计划选项:

  • 对于上面列出的功能, Defender Pro 每年只需60 美元。
  • 安全和备份包增加了额外的产品,比如备份和迁移工具,每年 90 美元。
  • WPMU Dev Membership是一整套工具——包括选择加入、分析等——每年 190 美元。

非常适合:

想要购买完整工具套件而不仅仅是安全性的站点。 虽然 Defender Pro 是一个不错的安全选项,但它缺乏防火墙和垃圾邮件预防等关键功能。 但是,当包含在全套 WPMU 开发工具中时,这是一个不错的奖励。

WordPress 存储库中的 BulletProof 安全页面

7. 防弹安全

Bulletproof Security 是一个免费增值的 WordPress 插件,专门针对开发人员。 它很全面,可以进行大量后端调整,但初学者很难使用。

Bulletproof Security 的主要特点:

  • 恶意软件扫描程序
  • 隐藏的插件文件夹
  • 登录安全和监控
  • 空闲会话注销
  • 身份验证 cookie 过期
  • 安全日志
  • 各种其他高级安全功能

便于使用:

同样,这不是为初学者设计的插件。 虽然它确实提供了设置向导,但更改或调整设置会变得非常复杂,并且可能会破坏您的网站。

支持和文档:

通过 WordPress.org 论坛提供对免费插件的支持。 高级支持是通过一个特殊的支持论坛提供的。 提供有限的文档和视频教程。

定价和计划选项:

  • BulletProof Security Free提供上面列出的许多功能,无需额外费用。
  • BulletProof Security Pro包括无限安装和高级功能(如数据库备份和监控、插件防火墙和网站文件的自动恢复),售价 69.95 美元。

非常适合:

希望个性化定制其网站安全各个方面的开发人员和高级用户。

WordPress 存储库中的安全忍者页面

8.安全忍者

虽然 Security Ninja 是一个相对全面的安全解决方案,但其“声名鹊起”是内置的 50 多项安全检查。 这些测试涵盖了从最新的主题和插件到 WordPress 版本、文件可访问性和数据库表前缀的所有内容。

安全忍者的主要特点:

  • Web 应用程序防火墙
  • 恶意软件扫描
  • 登录表单保护
  • 插件漏洞扫描
  • 事件记录

便于使用:

这个插件相对容易使用,但确实需要你做一些工作。 它不会自动修复它发现的问题。 相反,您对您的网站和安全修复负全部责任。 当然,这对于那些知道自己在做什么的人来说可能是一个好处,但对于初学者来说也可能是困难的。 但是请注意,如果您选择采用该方法,Pro 版本会自动修复大约 30 个问题。

支持和文档:

免费版的支持通过 WordPress.org 论坛提供,而专业版包括支持票务系统。 有详细的文档可用。

定价和计划选项:

  • Security Ninja Free包括上述 50 多项免费安全检查。
  • Security Ninja Starter以每年 49 美元的价格为一个站点添加防火墙、恶意软件扫描程序、自动修复程序等。 如果您想覆盖多个站点,您可以以每年 129 美元的价格购买他们的 plus 计划(三个站点)或以每年 199 美元的价格购买专业计划(五个站点)。 每个计划还可以选择以额外费用获得终身许可证。

非常适合:

想要非常清楚地了解自己所处位置的网站,以及至少对 WordPress 和安全性有中等了解的网站。

9. SecuPress

SecuPress 将许多安全功能打包到一个插件中,而不会给您的网站带来太大压力。 免费版和高级版都易于所有技能水平的人使用。 最好的功能之一是安全报告,它可以让您了解您的网站所处的位置并提供明确的改进建议。

SecuPress 的主要特点:

  • 站点健康扫描仪
  • 限制登录尝试
  • WordPress强化功能
  • 两因素身份验证
  • 恶意软件扫描
  • 数据库和文件备份

便于使用:

SecuPress 有一个简单的界面,任何技能水平的网站所有者都可以轻松浏览。 它根据用途对功能进行分类,并解释每个功能在现场的作用。

支持和文档:

免费版包括通过 WordPress 论坛提供的支持,而高级版包括票务系统。

定价和计划选项:

  • SecuPress Free包括健康扫描仪、许多强化功能以及免费限制登录尝试(以及其他功能)。
  • SecuPress Pro增加了双重身份验证、恶意软件扫描和备份等高级功能,每年只需 69.99 美元。

非常适合:

小型企业,尤其是那些可以将一些钱投入到 WordPress 安全插件中的企业。 由于免费版不包含恶意软件扫描等最有价值的功能,因此建议您购买高级版。

WordPress 存储库中的 Astra Security 页面

10. 阿斯特拉安全

Astra Security 是一款仅限高级版的安全工具,将自己描述为“提供全面保护、省去麻烦的一体化安全套件”。 需要注意的是,虽然它确实保护了 WordPress 网站,但它并不是专门为 WordPress 构建的,并且适用于任何类型的网站。 由于它不是以 WordPress 为中心的,您可能会错过特定于该平台的有价值的功能。

Astra Security 的主要特点:

  • 网站防火墙
  • 恶意软件扫描和清理
  • 阻止列表监控
  • 不良机器人保护
  • IP 和国家/地区封锁

便于使用:

Astra Security 易于设置且相对易于配置。 高级支持团队也可以提供帮助。

支持和文档:

您获得的支持级别取决于您购买的计划。 通过 24/7 实时聊天提供支持,并且有文档和知识库可以帮助您入门。

定价和计划选项:

  • 专业计划包括防火墙、12 小时内的恶意软件清理、恶意软件扫描程序、不良机器人保护和青铜级支持(以及其他功能),每年 228 美元。
  • 高级计划增加了 300 多项安全测试、八小时内清除恶意软件、垃圾邮件预防和白银支持(以及其他功能),每年只需 468 美元。
  • 商业计划增加了 6 小时内的恶意软件清理、500 多项安全测试和金牌支持(以及其他功能),每年只需 1428 美元。

非常适合:

较大的企业,尤其是在不同平台上拥有多个站点的企业。 由于这是一个更昂贵的选择,并且不是专门为 WordPress 构建的,因此它很可能不是大多数 WordPress 博客和企业的最佳选择。

WordPress 存储库中的 WPScan 页面

11. WP扫描

WPScan 是一个免费增值的单一功能插件,专门用于测试您网站的安全性。 虽然它是此列表中唯一的单一功能插件,但它被包括在内是因为它擅长于它的功能并提供大多数其他插件所没有的东西。 它包含一个大型漏洞数据库,在扫描时会引用这些漏洞。

WPScan 的主要特点:

  • 扫描 WordPress、插件和主题中的 21,000 多个已知安全漏洞
  • 检查可能造成安全风险的 debug.log 文件、wp-config.php 备份文件和导出的数据库文件
  • 寻找弱密码
  • 检查是否启用或使用了 XML-RPC 和默认密钥

便于使用:

该插件非常容易设置。 您需要做的就是在他们的网站上注册一个 API 密钥,将该密钥添加到已安装的插件中​​,然后在非常基本的设置之间进行选择。

支持和文档:

通过 WordPress 论坛提供支持,并提供基本说明。

定价和计划选项:

定价基于您每天需要的 API 请求数量。 WPScan 为 WordPress 核心发出一个 API 请求,为每个安装的主题发出一个请求,为您使用的每个插件发出一个请求。 因此,如果您安装了 10 个插件和一个主题,那将是每天 12 个 API 请求。

  • 免费计划包括 25 个 API 请求。 绝大多数网站都会落入这一点。
  • Starter 计划包括 75 个 API 请求,每月 5 欧元。
  • 专业计划包括 300 个 API 请求,每月 25 欧元。

非常适合:

任何想要监控安全漏洞并且不使用包含此功能的安全插件的站点。 但是,重要的是要注意这不是一个完整的安全包,应该与其他东西一起使用。

WordPress 存储库中的 ShieldSecurity 插件页面

12. 盾牌安全

Shield Security 使用一个简单的策略:从预防开始,然后在网站被黑客入侵时提供修复。 由于机器人负责大多数安全问题,因此 Shield Security 专门用于阻止它们进入您的站点。 它们还提供保护常见 WordPress 插件的功能,例如 Yoast、Gravity Forms、Advanced Custom Fields、Contact Form 7 和 Elementor。

Shield Security 的主要特点:

  • 反机器人检测引擎
  • 恶意软件和漏洞扫描程序
  • 垃圾邮件检测
  • 两因素身份验证
  • Web 应用程序防火墙

便于使用:

入门相对简单,但确实提供了很多信息和设置,对于初学者来说可能会不知所措。

支持和文档:

通过 WordPress.org 论坛提供免费支持。 通过票务系统提供高级支持。 还有大量可用的文档以及在线课程。

定价和计划选项:

  • ShieldFREE包括免费的机器人检测、双重身份验证和防火墙(以及其他功能)。
  • ShieldPRO以每年 79 美元的价格增加了恶意软件扫描程序、漏洞扫描程序和垃圾邮件预防(以及其他功能)。

非常适合:

对安全性有一定了解的网站所有者,他们可以将一些钱投入到高级插件中。 由于免费版不包含恶意软件扫描程序,因此最好购买专业版。

如何为 WordPress 选择最佳安全插件

虽然 WordPress 非常安全,但添加额外保护以保护您的辛勤工作和访问者信息始终是一个好主意。 站点可以针对任何规模,但额外安全性的重要性随着站点的受欢迎程度和内容量的增加而增加。

提高安全性的最简单方法是通过信誉良好的插件。 但是为您的网站选择最好的 WordPress 安全插件可能会变得很棘手,因为有很多不同的选项! Site owners should consider available prevention and cleanup features, along with cost and required technical knowledge.

Backed by a team of WordPress experts, Jetpack is the top choice for WordPress website security. It balances robust prevention and resolution features with reasonable costs, easy setup, and superior support.

If you're just looking for a security scanning tool and don't want all the other features and functionality, WPScan is a great choice. Not only is it completely free, it also excels at identifying security vulnerabilities to help you harden and lock down your WordPress site.

Or if you're a developer who's looking for an advanced, customizable option, you may want to consider BulletProof Security. It allows you to tweak just about everything in the backend so that you can provide unique, comprehensive security features for all of your client sites.

Frequently asked WordPress security questions

Does WordPress have security issues?

WordPress powers over 40% of the web and is the most popular content management system (CMS). While its popularity does make it a target for hackers, the software itself doesn't have security issues.

You see, hackers rarely access websites through vulnerabilities with WordPress. Instead, most sites are hacked due to preventable security issues like out-of-date plugins and themes, insecure passwords, or a poor hosting environment.

While no content management system is 100% secure, core WordPress developers work very hard to make it as safe as possible with each and every update. And, if you follow some basic best practices, you shouldn't have anything to worry about.

How can I improve my WordPress security?

  1. Choose a quality hosting provider. Security starts with your host, so choose one with a good reputation. Look for features like automatic backups, an SSL certificate, a server-level firewall, and malware protection. And before purchasing a plan, check reviews for common security-related issues. See Jetpack's recommended WordPress hosting providers.
  2. Regularly update WordPress, themes, and plugins. New releases often include patches for security vulnerabilities — along with additional features and functionality — so make sure that you're updating everything as soon as possible.
  3. Choose reliable themes and plugins. Only install plugins and themes that come from a reliable source and have excellent reviews. And never purchase free (also called “nulled”) versions of premium themes and plugins. These are often full of malware and vulnerabilities.
  4. Create secure usernames and passwords. Use a unique password for your WordPress site that's at least 20 characters in length and combines uppercase letters, lowercase letters, numbers, and symbols. This keeps both hackers and bots guessing.
  5. Set appropriate user permissions. WordPress user roles define what actions each account can take on your site. Only give people the minimum role they need to do their job and remove any accounts that are no longer being used.
  6. Take automatic backups that are stored off-site. Set up automated backups that happen, at a minimum, every 24 hours. Then, store these backups completely separately from your host, so that if anything happens to your server, your backup isn't affected.
  7. Set up brute force attack protection. Brute force attacks occur when bots guess thousands of username/password combinations every minute to force their way into your site. But a good tool can block suspicious IP addresses before they even get to you.
  8. Scan for malware. While you can't physically monitor your site for malware 24/7, choose a tool or plugin that can. Finding out the second anything suspicious happens enables you to solve the issue and prevent it from becoming widespread.
  9. Set up two-factor authentication. Two-factor authentication requires both a password and physical device to log into your site. Typically, it sends a unique code to your phone, which you have to input to log in. This makes it nearly impossible for hackers to get in with a username and password.
  10. Get rid of spam comments. 垃圾评论不仅烦人; they can include links to harmful phishing sites, therefore hurting your website visitors as well. You can get rid of these manually, or install a plugin that automatically filters comments and deletes spam.

Can WordPress plugins contain viruses?

Yes, unsafe WordPress plugins can contain viruses. Since WordPress is open source, anyone can modify and use its code to create new plugins. This is incredibly beneficial because it means that there's a solution for nearly any need, but it also means that unsavory developers can take advantage of the system.

But all you need is a little due diligence when selecting plugins. Always install them from trusted sources (like the WordPress.org repository) and check reviews thoroughly for signs of any issues. And, most importantly, never install nulled (or free) versions of premium plugins. These are often full of malware and vulnerabilities.

Can WordPress be hacked?

Yes, WordPress, like any other content management system, can be hacked. But the majority of hacks happen through completely preventable methods. If you put a few best practices into place — like choosing a high-quality host, setting secure passwords, updating your software, and installing a WordPress security plugin — there's no reason your site will be more vulnerable than any other.

What types of sites are most likely to be hacked?

While it may seem like hackers only target large websites with a lot of traffic, that's not really the case. The reality is that small businesses and blogs are just as likely to be attacked, but often have fewer security measures in place.

The majority of hackers don't target specific sites. Instead, they use automated bots to search the web, looking for easy opportunities. And automated bots don't discriminate.

Does my website need a firewall?

A good firewall is recommended for any website, because it acts as a shield between your site and all incoming traffic. A firewall should be included with any hosting plan you choose — this protects your site on a server level — but you should also install a web application firewall to secure your website against attacks specific to content management systems.

Think of a firewall as a guard standing at the door of your website. It monitors every visitor and bot that stops by, identifies suspicious characters (like bad IP addresses, botnets, and traffic to hidden pages) and blocks them before they even have a chance to attack. The best and easiest way to add a firewall to your WordPress site is with a plugin.

Is WordPress secure for eCommerce websites?

When it comes to WooCommerce security, it makes sense to be vigilant. After all, you're responsible for protecting customer data in addition to your site files and database. However, WordPress is an excellent, secure choice for an online store.

As the most popular content management system, it can be a target for hackers. However, it has a plethora of built-in security measures that will keep your site safe. And with a few best practices in place — like strong passwords, a quality host, and a great WordPress security plugin — you'll be set for success.

How do I check my WordPress security?

The best place to start is with a malware scanning tool. This will scan your website for any suspicious code and alert you if it finds anything. Some also fix any problems they find automatically.

Here are a few more ways to check your WordPress security:

  • 确保您的 SSL 证书有效。 SSL 证书可保护您网站上传输的数据,例如付款和联系信息。 为确保您的工作正常,只需在浏览器中检查 URL 旁边的锁定图标即可。
  • 监控停机时间。 如果您的网站出现故障,则可能是黑客入侵的迹象。 安装一个自动化工具,如果您的网站无法访问,该工具会提醒您,以便您立即进行故障排除。
  • 确保没有浏览器安全警告。 如果您的网站遭到黑客入侵,Google Chrome 和 Safari 等浏览器会在您输入 URL 时显示安全警告。 您可能希望在隐身或私人窗口中访问您的网站,以获得最准确的结果。
  • 在 Google Search Console 中查看通知。 如果您有 Google Search Console 帐户,则可以快速访问安全问题报告,该报告将让您知道您的网站是否被黑客入侵或是否遵循任何不安全的做法。
  • 遵循安全最佳实践。 确保您的 WordPress 网站安全的最佳方法是实施良好的安全措施。 采取适当的步骤来强化您的网站(使用来自 Jetpack 等受信任来源的指南),您会确信自己可以抵御黑客。