WPMU Defender Pro
已发表: 2019-03-19安全性是(或应该是)任何网站所有者的主要优先事项之一,没有太安全的事情。 今天我要回顾一个特别有趣的处理安全的插件,它是由 WPMU 和它的 Defender Pro 制作的。 这个插件提供了大量直观、易于使用的工具和真正有用的功能,它是 WPMU 作为基于订阅的模型提供的包的一部分。
后卫价格
在那之后,一切都变得容易多了。 安装 WPMU Dev Dashboard 后,添加任何插件就像在列表中单击它一样简单,然后就可以离开了。
后卫功能
可以从通过订阅模型提供的插件列表中安装 Defender。 在安装之前,您可以查看它必须提供的功能。
除了分析您的网站和提供调整等基本安全功能外,Defender Pro 还提供高级功能,如 2 因素身份验证 (2fa)、IP 锁定工具和谷歌黑名单监控等:该插件不仅仅是向内查看您可以进行哪些更改为您的网站制作以使其更安全,它还向外关注现实世界的威胁并帮助您管理它们。 这是一个很好的打包插件。
之前和之后的表现
在深入研究这些功能之前,让我们先看看网站性能,没有缓存和没有启用 Defender Pro。
前
后
而现在,这是启用 Defender Pro 后的表现。 您可以看到该插件没有向站点添加任何额外的请求,并且性能与该插件不存在时完全相同。 由于这不是一个速度增强插件,我们不是在寻找改进的结果,我们只是不想要更糟糕的结果。 到目前为止做得很好。
配置
现在,对于欢迎屏幕。 Defender Pro 让您通过快速设置启用所有功能,或者您可以跳过此欢迎屏幕并自行完成所有操作。 对于有经验的人,我推荐后者。
该插件的主要功能分为:自动文件扫描、审计日志、IP 锁定和黑名单监视器。 您将看到还有更多功能需要启用,这些功能不属于此快速设置的一部分。
仪表板
启用并准备好插件后,您会看到以下仪表板。
WPMU 知道如何做仪表板,这是肯定的。 一切都清晰明了,即使这是您第一次查看安全插件的 UI,您也可能能够按照自己的方式解决问题。 该插件将通过显示黄色和红色警告来通知任何违规行为。 文件扫描在我的网站上检测到 26 个可疑文件,并建议进行一些安全调整。 这些文件恰好是其他插件留下的旧安装,并且被轻松删除。 这些建议也很有帮助且易于执行,因为该插件允许您运行它们而无需求助于任何第三方方法,例如 FTP 等。文件扫描器可以检测您网站上的漏洞,还可以控制 WordPress 核心文件被改变。
安全调整
Defender Pro 建议我禁用 WordPress 中的文件编辑器,重新生成我的安全密钥,并通过应用规则来阻止某些危险文件夹。 由于 Apache 是唯一能够在不更改其自己的配置的情况下执行规则的人,因此与我的服务相关的 NGINX 规则必须复制粘贴到服务器,这不是插件的限制,它只是在 NGINX 中完成的事情。 该插件通过显示需要上传到 NGINX 配置的代码来很容易地做到这一点,非常好。
实施所有安全功能后,插件会显示一个绿色清单。 获胜。
更多功能
Blacklist Monitor 功能显示您的网站针对 Google 黑名单的当前状态。 此功能将每 6 小时检查一次您的网站,并在出现问题时通过电子邮件报告。
高级工具
在“高级工具”菜单下,您会发现该插件的一些最有趣的功能。
两因素身份验证
该插件将双重身份验证添加到您的站点和掩码登录区域。
可以使用手机上的 Google Authenticator 应用程序启用 2 因素身份验证。 这实质上意味着任何试图使用您的登录详细信息的人也需要您的手机在他们面前。 这是确保只有您可以以您自己的身份登录并且您网站上的每个用户都可以登录的好方法。
您还可以自定义发送给用户的电子邮件,并通过提供一次性密码选项来激活故障保险,以防用户丢失手机。
屏蔽登录区
Advanced Tools 下的第二个选项是 Mask Login Area。 这个有用的功能允许您重命名直接链接以登录到您的仪表板。 通过将/wp-login和/wp-admin替换为您想要的任何单词。 虽然通过默默无闻的安全性在 WordPress 和更广泛的软件社区中是一个激烈争论的话题,但我很高兴知道 Defender 给了我这个选项。
更好的是,您甚至可以通过将所有/wp-admin和/wp-login流量重定向到您喜欢的任何 URL 来启用重定向任何尝试登录到您的站点的流量的选项。 酷吧?
在我的情况下,URL 登录需要对我的 NGINX 配置进行微调以跳过缓存,就像/wp-admin一样,否则它将无法工作。 在 Apache 下这不是必需的。
IP 锁定功能
这是 Defender Pro 最有趣和最有用的功能之一,因此我将仔细研究它。 它甚至有自己的仪表板。
该功能的第一部分是最重要的,因为登录保护将使用由尝试和时间范围定义的阈值来限制您网站上的登录尝试。 锁定的持续时间允许您限制您给所述 IP 的秒数,直到允许它再次尝试登录。
404 检测将允许您为任何使用过多 404 尝试的访问配置锁定。 这可能有用,也可能没有用,因为可能有真正的用户试图访问您网站上不再可用的链接。
IP Banning 工具控制您如何处理以前处于锁定状态的 IP 地址,它包括白名单和黑名单选项,正如预期的那样。 继续将您自己的 IP 地址列入白名单是个好主意。
通知允许您控制如何接收电子邮件通知。 您可以在此处添加额外的收件人,还可以控制您收到的电子邮件数量。
最后,这是一个典型的例子,说明当您的网站出现问题时,您将如何接收这些电子邮件。 您始终可以根据自己的喜好控制和调整过程,这是该插件的一大优势。
包起来
在一个插件中拥有一个活动文件扫描器、一个带有登录保护的 IP 锁定功能以及最重要的是一个谷歌黑名单监视器、一个登录区域的掩码和两因素身份验证,再加上活动审计日志的额外好处使得一个极好的并且非常完整的包装。 请记住,在将价格与其他选项进行比较时,您不是为 Defender 付费,而是为 WPMU 提供的所有内容付费,而且很多。 毫无疑问,这是我遇到的最好的安全插件之一,如果安全是您博客或网站的优先事项,我完全推荐它。 再一次证明,WPMU 在他们所做的事情上表现出色,提供了有用的插件,其中包含易于导航和使用的选项。 无论您的技能如何,这个插件都是一个可靠的守门员,感觉稳定、编码良好且功能丰富。