選擇最好的 WordPress 安全插件:前 12 個插件比較

已發表: 2021-08-04

無論您擁有博客、小型企業網站還是電子商務商店,安全都是絕對必要的。 畢竟,如果您的網站被黑客入侵,您就有可能損害您的聲譽、丟失您的文件和數據庫、損害您的 SEO 排名,以及將個人客戶和訪問者數據交給黑客。

與生活中的許多事情一樣,預防勝於治療。 而且,值得慶幸的是,WordPress 可以輕鬆保護您的網站並防止黑客入侵。

我們將深入研究 12 個最佳 WordPress 安全插件,在各個領域進行比較,並幫助您為特定站點選擇最佳插件。 另外,我們將回答一些常見的 WordPress 安全問題。

我需要 WordPress 安全插件嗎?

您不一定需要 WordPress 安全插件來運行安全站點。 許多最佳實踐——比如定期更新和安全密碼——可以在沒有一個的情況下實施。 然而,最好的 WordPress 安全插件將事情提升到一個新的水平,增加了一層額外的安全性,並且在沒有開發人員幫助的情況下更容易添加高級保護。

安全是您不想忽略的領域。 無論您運營哪種類型的網站,黑客攻擊都可能嚴重影響訪問者、客戶和客戶對您品牌的看法。 它還可能損害您的搜索引擎排名(谷歌不喜歡不安全的網站),減少您收到的銷售和潛在客戶數量,並使信用卡數據等信息面臨風險。

因此,雖然不一定需要 WordPress 安全插件,但將一個用於任何站點都是一個好主意。

WordPress 最佳安全插件的比較

WordPress 頂級安全插件示例

讓我們比較前 12 個 WordPress 安全插件,以幫助您選擇最適合您網站的選項:

  1. 噴氣背包安全
  2. 文字圍欄
  3. iThemes 安全
  4. 蘇庫裡
  5. 多合一 WP 安全和防火牆
  6. 後衛臨
  7. 防彈安全
  8. 安全忍者
  9. 安全出版社
  10. 阿斯特拉安全
  11. WP掃描
  12. 盾牌安全

您可以使用上面的列表快速滾動到特定插件並查看它們最重要的功能、定價選項以及最重要的——它們如何幫助保護您的網站。

1. 噴氣背包安全

與許多其他插件不同,Jetpack Security 負責多項任務:免費和付費功能包括從暴力攻擊預防到停機監控、備份、惡意軟件掃描、垃圾郵件防護等一切。 這些功能結合起來創建了一個整體的 WordPress 安全插件,對於初學者來說很容易使用,但對於最大的網站來說足夠全面。 而且,作為獎勵,因為掃描是在 Jetpack 服務器上運行的,它們不會減慢您的網站速度。

Jetpack 也由 WordPress.com 背後的人員構建和支持,特別是針對WordPress。 Jetpack 團隊對 WordPress 瞭如指掌,並了解 WordPress 網站所有者每天面臨的確切問題,這正是它是可用的最佳安全插件的原因。

Jetpack Security 的主要特點:

  • 每日和實時自動備份
  • 每日和實時惡意軟件掃描
  • 自動垃圾郵件預防
  • 詳細的活動日誌,顯示您網站上發生的所有事情
  • 停機時間監控
  • 蠻力攻擊保護
  • 兩因素身份驗證
  • 具有警報和訪問備份、掃描結果和活動日誌的移動應用程序

讓我們更詳細地了解其中的一些功能。

蠻力攻擊保護

蠻力攻擊是黑客使用機器人猜測用戶名和密碼組合,直到找到正確的組合。 由於他們使用大型計算機網絡,他們每秒可以嘗試數千個密碼。

Jetpack 的蠻力攻擊保護功能可在惡意 IP 到達您的站點之前阻止不需要的登錄嘗試。

來自 Jetpack 網站已關閉的通知

停機時間監控

Jetpack 停機時間監控從世界各地訪問您的網站,並在網站出現故障時向您發送即時警報。 為什麼這有幫助? 你無法解決你不知道的問題! 如果您的網站長時間停機,您可能會失去流量、銷售額——甚至是搜索引擎排名。 通過停機時間監控,您將立即了解問題,以便盡快解決問題。

兩因素身份驗證

雙重身份驗證通過要求的不僅僅是用戶名和密碼,為您的登錄頁面增加了額外的安全級別。 當您登錄網站時,Jetpack 會向您的手機發送一個代碼,您需要輸入該代碼。 這意味著,要讓黑客進入,他們必須知道您的用戶名和密碼,並實際擁有您的移動設備——這是一個不太可能的組合。

Jetpack 活動日誌顯示站點上發生的所有事情,包括可用的備份

自動備份

如果您的網站因任何原因中斷,完整備份將非常寶貴。 想像一下失去所有的辛勤工作、投入的資金以及客戶或訪客的數據。 WordPress 備份讓您高枕無憂。

但並非所有備份解決方案都是平等的。 Jetpack 備份包括:

  • 自動化,因此您無需手動創建備份。
  • 安全,因此您的備份受到保護並且始終可用。
  • 易於設置,如果您不熟悉編碼或服務器管理,這將特別有用。
  • 快速恢復,因此您可以盡快讓您的網站再次運行。
  • 提供兩種格式:每日和實時。

每日備份每天自動發生一次,對於餐廳、博客和其他每 24 小時不超過一次更新的網站來說,這是一個很好的解決方案。

實時備份會在您工作時自動進行,因此您擁有網站的最新記錄——每次更改都會在您進行時保存。 它們非常適合在線商店、會員網站、論壇和任何定期更新的網站。

無論您選擇哪種選項,您都可以相信您的網站已備份,如果您需要,只需點擊幾下即可恢復。

在網站上運行的 Jetpack Scan

自動惡意軟件掃描

如果黑客獲得了對您網站的訪問權,他們可以植入“後門”——一種惡意軟件,允許他們在您想要竊取數據或在您不知情的情況下插入惡意軟件或病毒時隨時訪問您的網站。 惡意軟件會損害您的聲譽,並使您的信息和客戶數據面臨風險。

這就是 Jetpack Scan 發揮作用的地方。 它每天對您的站點代碼進行自動惡意軟件掃描,檢查是否有任何可疑之處。 它檢測到威脅的那一刻,您將收到一封電子郵件通知,其中包含有關受感染文件的詳細信息。

而且它會變得更好:Jetpack 會自動修復大多數已知威脅。 因此,您不僅會立即知道問題,而且您可能無需費力就能解決問題。

自動垃圾郵件過濾

垃圾郵件通常以不相關的評論形式出現,其中包括指向聲譽不佳的網站的鏈接。 使用正確的軟件,垃圾郵件發送者可以留下數百萬條評論——這些評論很快就會變得難以管理。

Jetpack Anti-spam 自動過濾已知垃圾郵件的評論、pingback 和聯繫表單提交,為您節省數小時的時間。 如果您擔心真實評論被標記為垃圾郵件,您可以查看它們並恢復您想要的任何內容,或者只是將 Jetpack 設置為擺脫最糟糕的評論,這樣您就不必看到它們了。

多台設備上的 Jetpack 移動應用儀表板

Jetpack 移動應用程序

黑客不會因為您離開計算機而停止。 借助 Jetpack 移動應用程序,無論您身在何處,都可以檢查站點活動、恢復備份並查看惡意軟件掃描結果。

此外,如果您的網站出現故障或發現任何惡意軟件,您將收到即時警報,讓您高枕無憂。 發現不對勁? 您可以直接從應用程序中一鍵解決大多數已知威脅。

便於使用:

Jetpack 的設計目的是讓任何網站所有者都可以使用它,無論他們的技術水平如何。 只需單擊幾下即可打開所有功能,無需編碼知識或開發人員。

支持和文檔:

Jetpack 由真正關心您、您的網站和您的業務的 WordPress 專家維護和支持——恰當地說,他們被稱為幸福工程師。 免費計劃包括高質量的電子郵件支持,付費計劃提供更快的優先關注,以便您在需要時立即獲得所需的幫助。

還有大量文檔可指導您完成設置和故障排除。

定價和計劃選項:

  • Jetpack Free包括停機時間監控、暴力攻擊保護和包含最近 20 個事件的免費活動日誌。
  • Jetpack Security Daily包括所有功能,以及每日備份、每日安全掃描和 30 天活動日誌,每月 11.97 美元起。
  • Jetpack Security Real-time包括所有功能,以及實時備份、實時安全掃描和為期一年的活動日誌,每月 33.57 美元起。
  • 您還可以單獨購買一些功能,例如 Jetpack Backup、Jetpack Scan 和 Jetpack Anti-spam,起價為每月 4.77 美元。

非常適合:

任何規模的博客、電子商務商店和網站。 Jetpack Security 是幾乎適用於任何場景的最全面、最好的 WordPress 安全插件。

WordPress 存儲庫中列出的 Wordfence 插件

2. Wordfence

Wordfence 是一個 Web 應用程序防火牆,它還提供一些附加功能,例如惡意軟件掃描。 由於防火牆是端點防火牆,它與WordPress深度集成,無法繞過,也無法洩露數據。 這使其比雲替代方案更安全。

設置 Wordfence 後,如果它檢測到任何與過時的插件、惡意代碼或病毒有關的內容,您將收到電子郵件通知。

但是,Wordfence 確實以減慢您的網站速度而聞名,因為它添加了許多繁重的數據庫表,並在惡意軟件掃描期間給您的服務器帶來壓力。

Wordfence 的主要特點:

  • Web 應用程序防火牆
  • 安全掃描儀
  • 洩露密碼保護
  • 兩因素身份驗證
  • 手動屏蔽和國家屏蔽
  • 自動文件修復

讓我們仔細看看其中的一些功能。

啟用 Wordfence 防火牆功能

網絡應用防火牆

防火牆無疑是 Wordfence 最強大的功能。 它利用從其保護的超過 400 萬個網站收集的數據來了解黑客如何攻擊、攻擊是什麼樣子以及它們來自何處。 他們會定期更新防火牆規則和他們阻止的惡意 IP 地址列表以進行持續保護。

Wordfence 掃描設置儀表板

安全掃描儀

安全掃描程序會檢查您的站點是否存在惡意軟件、錯誤 URL、垃圾郵件、惡意重定向和代碼注入。 它還報告對核心 WordPress 文件所做的任何更改、已知的安全漏洞和過時的插件。

手動屏蔽和國家屏蔽

高級計劃提供對這些功能的訪問,這實際上只是為防火牆增加了額外的功能。 通過手動阻止,您可以選擇阻止整個惡意網絡或您希望的任何人類或機器人活動。 通過國家/地區阻止,您可以阻止來自特定國家/地區的所有流量,這在攻擊期間特別有用。 請記住,不建議出於 SEO 目的而長期封鎖國家/地區。

自動文件修復

如果 Wordfence 發現某個核心 WordPress 文件被惡意修改,您可以一鍵將文件恢復到原始狀態。 然而,重要的是要注意,這與刪除惡意軟件或修復被黑客入侵的網站不同,後者需要 Wordfence 額外支付 490 美元。

便於使用:

雖然沒有技術知識的人可以使用 Wordfence,但設置面板可能會讓人不知所措和復雜。 所有功能都一​​次列出,可能很難理解您的網站需要什麼。 默認情況下,Wordfence 還會發送大量電子郵件警報,其中許多不需要網站所有者的任何回复,初學者可能很難理解他們需要對每個警報做什麼。

支持和文檔:

Wordfence 通過 WordPress 論壇提供免費支持,並通過在線票務系統提供高級支持。 他們還有一個文檔數據庫,提供有關插件設置和故障排除的詳細信息。

定價和計劃選項:

  • Wordfence Free包括免費的基本 Web 應用程序防火牆、惡意軟件掃描程序和暴力攻擊保護。
  • Wordfence Premium以每年 99 美元的價格增加了實時防火牆更新、IP 阻止列表檢查和國家/地區阻止等功能。

非常適合:

專門尋找防火牆並且不需要保護信用卡信息等重要數據的小型網站。 雖然 Wordfence 確實包含其他功能,但它並不是此列表中最全面的 WordPress 安全插件。 Web 應用程序防火牆使其脫穎而出。

WordPress 存儲庫中的 iThemes 安全插件頁面

3. iThemes 安全性

iThemes Security 是一個免費增值插件,它更多地專注於強化您的網站——增加保護層——而不是識別和解決黑客攻擊。 他們通過設置正確的文件權限、強制使用強密碼和更改登錄 URL 等安全措施來做到這一點。

iThemes 安全的主要特點:

  • 蠻力保護
  • 文件更改和404檢測
  • 數據庫備份
  • 隱藏登錄和管理頁面
  • 強大的密碼保護
  • 兩因素身份驗證

以下是有關其中一些功能的更多詳細信息:

蠻力保護

當人們多次嘗試進入並失敗時,將其鎖定在外面。 這可以防止機器人在短時間內猜測您的密碼和用戶名組合數千次。

數據庫備份

自動生成數據庫備份,然後通過電子郵件發送給您。 請注意,這包括數據庫,不包括您的任何文件、媒體、插件或主題。

隱藏登錄頁面

默認情況下,所有 WordPress 站點都使用 URL /wp-admin 作為登錄和儀表板頁面。 當然,這使得黑客很容易找到該頁面,因為它總是相同的。 將 URL 更改為其他內容,iThemes Security 允許您在沒有自定義代碼的情況下執行此操作,增加了額外的保護層。

iThemes 安全設置儀表板

便於使用:

像 Wordfence 一樣,iThemes 設置儀表闆對於初學者和非技術用戶來說可能是壓倒性的。 有很多可以打開或關閉的小設置,很難知道哪些適合您的網站。

支持和文檔:

iThemes Security 的免費版本通過 WordPress.org 論壇運行。 高級版包括票務支持系統。 還有大量可用的文檔。

定價和計劃選項:

  • iThemes Security Free包括免費的強化措施、數據庫備份、暴力攻擊保護和文件更改保護(以及其他功能)。
  • iThemes Blogger (Premium) 添加了預定的惡意軟件掃描、雙重身份驗證和 reCAPTCHA(以及其他功能),每個站點每年 80 美元。

非常適合:

登錄保護和站點加固。 儘管還包含許多其他功能,但許多其他 WordPress 安全插件可以更好地處理它們,以一種對用戶來說更容易的方式。

WordPress 存儲庫中顯示的 Sucuri 安全插件

4. 蘇庫裡

Sucuri 是一個基於雲的 WordPress 安全解決方案,這意味著它完全在自己的服務器上運行,防止您的服務器滯後。 它不是專門為 WordPress 構建的,適用於任何平台或內容管理系統。 雖然它確實提供了 Web 應用程序防火牆和惡意軟件掃描工具,但它的清理服務確實很出色。

WordPress 儀表板中的 Sucuri 強化選項

需要注意的是,Sucuri 非常清楚地將其免費和高級功能區分開來。 免費插件提供惡意軟件掃描和 WordPress 加固,而高級版本包括 Web 應用程序防火牆和黑客清理服務。

Sucuri的主要特點:

  • 惡意軟件掃描
  • 黑名單狀態監控
  • Web 應用程序防火牆
  • 分佈式拒絕服務 (DDoS) 緩解
  • 暴力攻擊預防
  • 網站清理服務

讓我們更仔細地研究其中的一些。

黑名單狀態監控

Sucuri 通過各種服務運行您的 URL,以查看您是否被列入黑名單。 而且,由於列入黑名單的網站會損失大量流量,這可能是一個巨大的優勢。

分佈式拒絕服務 (DDoS) 緩解

DDoS 攻擊是通過大量虛假流量壓倒服務器來破壞服務器流量的惡意嘗試。 這從本質上阻止了正常、合法的訪問者和客戶訪問您的網站。 Sucuri 的 DDoS 緩解功能阻止了這些攻擊。

網站清理服務

Sucuri 的專家團隊可以在黑客入侵後修復和恢復您的網站。 他們從您的文件和數據庫中刪除惡意代碼,提交黑名單刪除請求,並修復 SEO 垃圾郵件(如鍊接注入)。

便於使用:

對於非開發人員來說,設置高級版 Sucuri 可能會有些棘手,因為您必須更改域 DNS 設置才能使用 Sucuri 的服務器。 對於非開發人員來說,免費 WordPress 插件的設置要簡單得多。

支持和文檔:

免費版的支持通過 WordPress 支持論壇提供,而高級版使用票務系統。 還有一個廣泛的知識庫可用於回答常見問題。

定價和計劃選項:

  • Sucuri Free包括免費的惡意軟件掃描、阻止列表監控和 WordPress 加固。
  • Sucuri Basic以每年 199 美元的價格添加了 Web 應用程序防火牆和清理服務。 但是,沒有保證清除響應時間,惡意軟件掃描每 12 小時運行一次。
  • Sucuri Pro每年 299.99 美元,包括基本計劃中的所有內容,但將惡意軟件掃描的頻率增加到 6 小時。
  • Sucuri Business將惡意軟件掃描頻率提高到每 30 分鐘一次,並保證對黑客的響應時間為 6 小時。 這些福利的年費為 499.99 美元。

非常適合:

在網站被黑客入侵後強化和清理網站。 由於該插件的免費版本不包含防火牆等基本功能,因此最好堅持使用高級版本或選擇其他插件選項。

WordPress 存儲庫中列出的多合一 WP 安全和防火牆

5.多合一的WP安全和防火牆

顧名思義,All in One WP Security and Firewall 插件是一個完全免費、全面的 WordPress 解決方案。 它根據其安全級別(以及它們可能破壞您網站上某些內容的可能性)將其功能分為幾類,因此無論技能水平如何,每個人都可以找到一些東西。

但是,所有功能都專注於保護您的網站免受黑客攻擊,而不是掃描惡意軟件和清理被黑客入侵的網站。

All in One WP 安全和防火牆的主要特點:

  • 用戶賬戶加固
  • 登錄頁面安全
  • 數據庫備份
  • 文件系統安全
  • 黑名單功能
  • 防火牆
  • 安全掃描儀
  • 蠻力攻擊保護

以下是有關其中一些功能的更多信息:

登錄頁面安全

該插件在一定次數的登錄嘗試後阻止用戶,在設定的時間段後強制註銷,將 reCAPTCHA 添加到登錄頁面,並記錄每次登錄和註銷。 這有助於保護您的網站免受黑客和機器人的攻擊。

文件系統安全

All in One WP Security and Firewall 檢查您的文件和文件夾是否存在權限問題,並讓您只需單擊一下即可修復它們。 它還允許您防止黑客和機器人查看容易被破壞的文件(如 readme.html、license.txt)並禁用文件編輯。

安全掃描儀

安全掃描程序通過將文件與默認的核心 WordPress 文件進行比較來檢查文件中的更改。 請注意,這不會為您解決問題或掃描惡意軟件。

便於使用:

因為功能是按安全級別劃分的——將可能破壞您網站的功能與不能破壞網站的功能分開——它是一個適合初學者使用的簡單插件。 它還具有一個安全強度計,可讓您快速了解您在任何特定時刻的位置。

支持和文檔:

只能通過 WordPress.org 論壇獲得支持,並且某些功能的文檔有限。

定價和計劃選項:

這個插件只有一個版本——免費版本——包含所有功能。

非常適合:

初學者和基本網站。 在不破壞您的網站的情況下,相對較快地開始使用很容易。 但是,由於這個插件沒有高級版本,它確實缺乏惡意軟件掃描和刪除等有價值的功能。 對於不想在網站安全性上投入大量資金的愛好博客來說,這可能是一個很好的解決方案。

Defender Pro 的 WPMUDev 登錄頁面

6.後衛臨

Defender Pro 由 WPMU DEV 創建,這是一家 WordPress 開發公司,為從安全和選擇加入到測驗和分析的所有內容構建解決方案。 它可以單獨購買,也可以作為網站工具套件的一部分購買。

Defender Pro 的主要特點:

  • 安全掃描
  • 登錄保護
  • 兩因素身份驗證
  • 阻止列表監控
  • 更改的文件恢復和修復

便於使用:

Defender Pro 包含一個易於使用的設置嚮導,非常適合初學者。

支持和文檔:

WPMU Dev 提供實時聊天支持,以及論壇、電子郵件和詳細文檔。

定價和計劃選項:

  • 對於上面列出的功能, Defender Pro 每年只需60 美元。
  • 安全和備份包增加了額外的產品,比如備份和遷移工具,每年 90 美元。
  • WPMU Dev Membership是一整套工具——包括選擇加入、分析等——每年 190 美元。

非常適合:

想要購買完整工具套件而不僅僅是安全性的站點。 雖然 Defender Pro 是一個不錯的安全選項,但它缺乏防火牆和垃圾郵件預防等關鍵功能。 但是,當包含在全套 WPMU 開發工具中時,這是一個不錯的獎勵。

WordPress 存儲庫中的 BulletProof 安全頁面

7. 防彈安全

Bulletproof Security 是一個免費增值的 WordPress 插件,專門針對開發人員。 它很全面,可以進行大量後端調整,但初學者很難使用。

Bulletproof Security 的主要特點:

  • 惡意軟件掃描程序
  • 隱藏的插件文件夾
  • 登錄安全和監控
  • 空閒會話註銷
  • 身份驗證 cookie 過期
  • 安全日誌
  • 各種其他高級安全功能

便於使用:

同樣,這不是為初學者設計的插件。 雖然它確實提供了設置嚮導,但更改或調整設置會變得非常複雜,並且可能會破壞您的網站。

支持和文檔:

通過 WordPress.org 論壇提供對免費插件的支持。 高級支持是通過一個特殊的支持論壇提供的。 提供有限的文檔和視頻教程。

定價和計劃選項:

  • BulletProof Security Free提供上面列出的許多功能,無需額外費用。
  • BulletProof Security Pro包括無限安裝和高級功能(如數據庫備份和監控、插件防火牆和網站文件的自動恢復),售價 69.95 美元。

非常適合:

希望個性化定制其網站安全各個方面的開發人員和高級用戶。

WordPress 存儲庫中的安全忍者頁面

8.安全忍者

雖然 Security Ninja 是一個相對全面的安全解決方案,但其“聲名鵲起”是內置的 50 多項安全檢查。 這些測試涵蓋了從最新的主題和插件到 WordPress 版本、文件可訪問性和數據庫表前綴的所有內容。

安全忍者的主要特點:

  • Web 應用程序防火牆
  • 惡意軟件掃描
  • 登錄表單保護
  • 插件漏洞掃描
  • 事件記錄

便於使用:

這個插件相對容易使用,但確實需要你做一些工作。 它不會自動修復它發現的問題。 相反,您對您的網站和安全修復負全部責任。 當然,這對於那些知道自己在做什麼的人來說可能是一個好處,但對於初學者來說也可能是困難的。 但是請注意,如果您選擇採用該方法,Pro 版本會自動修復大約 30 個問題。

支持和文檔:

免費版的支持通過 WordPress.org 論壇提供,而專業版包括支持票務系統。 有詳細的文檔可用。

定價和計劃選項:

  • Security Ninja Free包括上述 50 多項免費安全檢查。
  • Security Ninja Starter以每年 49 美元的價格為一個站點添加防火牆、惡意軟件掃描程序、自動修復程序等。 如果您想覆蓋多個站點,您可以以每年 129 美元的價格購買他們的 plus 計劃(三個站點)或以每年 199 美元的價格購買專業計劃(五個站點)。 每個計劃還可以選擇以額外費用獲得終身許可。

非常適合:

想要非常清楚地了解自己所處位置的網站,以及至少對 WordPress 和安全性有中等了解的網站。

9. SecuPress

SecuPress 將許多安全功能打包到一個插件中,而不會給您的網站帶來太大壓力。 免費版和高級版都易於所有技能水平的人使用。 最好的功能之一是安全報告,它可以讓您了解您的網站所處的位置並提供明確的改進建議。

SecuPress 的主要特點:

  • 站點健康掃描儀
  • 限制登錄嘗試
  • WordPress強化功能
  • 兩因素身份驗證
  • 惡意軟件掃描
  • 數據庫和文件備份

便於使用:

SecuPress 有一個簡單的界面,任何技能水平的網站所有者都可以輕鬆瀏覽。 它根據用途對功能進行分類,並解釋每個功能在現場的作用。

支持和文檔:

免費版包括通過 WordPress 論壇提供的支持,而高級版包括票務系統。

定價和計劃選項:

  • SecuPress Free包括健康掃描儀、許多強化功能以及免費限制登錄嘗試(以及其他功能)。
  • SecuPress Pro增加了雙重身份驗證、惡意軟件掃描和備份等高級功能,每年只需 69.99 美元。

非常適合:

小型企業,尤其是那些可以將一些錢投入到 WordPress 安全插件中的企業。 由於免費版不包含惡意軟件​​掃描等最有價值的功能,因此建議您購買高級版。

WordPress 存儲庫中的 Astra Security 頁面

10. 阿斯特拉安全

Astra Security 是一款僅限高級版的安全工具,將自己描述為“提供全面保護、省去麻煩的一體化安全套件”。 需要注意的是,雖然它確實保護了 WordPress 網站,但它並不是專門為 WordPress 構建的,並且適用於任何類型的網站。 由於它不是以 WordPress 為中心的,您可能會錯過特定於該平台的有價值的功能。

Astra Security 的主要特點:

  • 網站防火牆
  • 惡意軟件掃描和清理
  • 阻止列表監控
  • 不良機器人保護
  • IP 和國家/地區封鎖

便於使用:

Astra Security 易於設置且相對易於配置。 高級支持團隊也可以提供幫助。

支持和文檔:

您獲得的支持級別取決於您購買的計劃。 通過 24/7 實時聊天提供支持,並且有文檔和知識庫可以幫助您入門。

定價和計劃選項:

  • Pro Plan包括防火牆、12 小時內的惡意軟件清理、惡意軟件掃描程序、不良機器人保護和青銅支持(以及其他功能),每年 228 美元。
  • 高級計劃增加了 300 多項安全測試、八小時內清除惡意軟件、垃圾郵件預防和白銀支持(以及其他功能),每年只需 468 美元。
  • 商業計劃增加了 6 小時內的惡意軟件清理、500 多項安全測試和金牌支持(以及其他功能),每年只需 1428 美元。

非常適合:

較大的企業,尤其是在不同平台上擁有多個站點的企業。 由於這是一個更昂貴的選擇並且不是專門為 WordPress 構建的,因此它很可能不是大多數 WordPress 博客和企業的最佳選擇。

WordPress 存儲庫中的 WPScan 頁面

11. WP掃描

WPScan 是一個免費增值的單一功能插件,專門用於測試您網站的安全性。 雖然它是此列表中唯一的單一功能插件,但它被包括在內是因為它擅長於它的功能並提供大多數其他插件所沒有的東西。 它包含一個大型漏洞數據庫,在掃描時會引用這些漏洞。

WPScan 的主要特點:

  • 掃描 WordPress、插件和主題中的 21,000 多個已知安全漏洞
  • 檢查可能造成安全風險的 debug.log 文件、wp-config.php 備份文件和導出的數據庫文件
  • 尋找弱密碼
  • 檢查是否啟用或使用了 XML-RPC 和默認密鑰

便於使用:

該插件非常容易設置。 您需要做的就是在他們的網站上註冊一個 API 密鑰,將該密鑰添加到已安裝的插件中,然後在非常基本的設置之間進行選擇。

支持和文檔:

通過 WordPress 論壇提供支持,並提供基本說明。

定價和計劃選項:

定價基於您每天需要的 API 請求數量。 WPScan 為 WordPress 核心發出一個 API 請求,為每個安裝的主題發出一個請求,為您使用的每個插件發出一個請求。 因此,如果您安裝了 10 個插件和一個主題,那將是每天 12 個 API 請求。

  • 免費計劃包括 25 個 API 請求。 絕大多數網站都會落入這一點。
  • Starter 計劃包括 75 個 API 請求,每月 5 歐元。
  • 專業計劃包括 300 個 API 請求,每月 25 歐元。

非常適合:

任何想要監控安全漏洞並且不使用包含此功能的安全插件的站點。 但是,重要的是要注意這不是一個完整的安全包,應該與其他東西一起使用。

WordPress 存儲庫中的 ShieldSecurity 插件頁面

12. 盾牌安全

Shield Security 使用一個簡單的策略:從預防開始,然後在網站被黑客入侵時提供修復。 由於機器人負責大多數安全問題,因此 Shield Security 專門用於阻止它們進入您的站點。 它們還提供保護常見 WordPress 插件的功能,例如 Yoast、Gravity Forms、Advanced Custom Fields、Contact Form 7 和 Elementor。

Shield Security 的主要特點:

  • 反機器人檢測引擎
  • 惡意軟件和漏洞掃描程序
  • 垃圾郵件檢測
  • 兩因素身份驗證
  • Web 應用程序防火牆

便於使用:

入門相對簡單,但確實提供了很多信息和設置,對於初學者來說可能會不知所措。

支持和文檔:

通過 WordPress.org 論壇提供免費支持。 通過票務系統提供高級支持。 還有大量可用的文檔以及在線課程。

定價和計劃選項:

  • ShieldFREE包括免費的機器人檢測、雙重身份驗證和防火牆(以及其他功能)。
  • ShieldPRO以每年 79 美元的價格增加了惡意軟件掃描程序、漏洞掃描程序和垃圾郵件預防(以及其他功能)。

非常適合:

對安全性有一定了解的網站所有者,他們可以將一些錢投入到高級插件中。 由於免費版不包含惡意軟件​​掃描程序,因此最好購買專業版。

如何為 WordPress 選擇最佳安全插件

雖然 WordPress 非常安全,但添加額外保護以保護您的辛勤工作和訪問者信息始終是一個好主意。 站點可以針對任何規模,但額外安全性的重要性隨著站點的受歡迎程度和內容量的增加而增加。

提高安全性的最簡單方法是通過信譽良好的插件。 But choosing the best WordPress security plugin for your site can get tricky because there are so many different options! Site owners should consider available prevention and cleanup features, along with cost and required technical knowledge.

Backed by a team of WordPress experts, Jetpack is the top choice for WordPress website security. It balances robust prevention and resolution features with reasonable costs, easy setup, and superior support.

If you're just looking for a security scanning tool and don't want all the other features and functionality, WPScan is a great choice. Not only is it completely free, it also excels at identifying security vulnerabilities to help you harden and lock down your WordPress site.

Or if you're a developer who's looking for an advanced, customizable option, you may want to consider BulletProof Security. It allows you to tweak just about everything in the backend so that you can provide unique, comprehensive security features for all of your client sites.

Frequently asked WordPress security questions

Does WordPress have security issues?

WordPress powers over 40% of the web and is the most popular content management system (CMS). While its popularity does make it a target for hackers, the software itself doesn't have security issues.

You see, hackers rarely access websites through vulnerabilities with WordPress. Instead, most sites are hacked due to preventable security issues like out-of-date plugins and themes, insecure passwords, or a poor hosting environment.

While no content management system is 100% secure, core WordPress developers work very hard to make it as safe as possible with each and every update. And, if you follow some basic best practices, you shouldn't have anything to worry about.

How can I improve my WordPress security?

  1. Choose a quality hosting provider. Security starts with your host, so choose one with a good reputation. Look for features like automatic backups, an SSL certificate, a server-level firewall, and malware protection. And before purchasing a plan, check reviews for common security-related issues. See Jetpack's recommended WordPress hosting providers.
  2. Regularly update WordPress, themes, and plugins. New releases often include patches for security vulnerabilities — along with additional features and functionality — so make sure that you're updating everything as soon as possible.
  3. Choose reliable themes and plugins. Only install plugins and themes that come from a reliable source and have excellent reviews. And never purchase free (also called “nulled”) versions of premium themes and plugins. These are often full of malware and vulnerabilities.
  4. Create secure usernames and passwords. Use a unique password for your WordPress site that's at least 20 characters in length and combines uppercase letters, lowercase letters, numbers, and symbols. This keeps both hackers and bots guessing.
  5. Set appropriate user permissions. WordPress user roles define what actions each account can take on your site. Only give people the minimum role they need to do their job and remove any accounts that are no longer being used.
  6. Take automatic backups that are stored off-site. Set up automated backups that happen, at a minimum, every 24 hours. Then, store these backups completely separately from your host, so that if anything happens to your server, your backup isn't affected.
  7. Set up brute force attack protection. Brute force attacks occur when bots guess thousands of username/password combinations every minute to force their way into your site. But a good tool can block suspicious IP addresses before they even get to you.
  8. Scan for malware. While you can't physically monitor your site for malware 24/7, choose a tool or plugin that can. Finding out the second anything suspicious happens enables you to solve the issue and prevent it from becoming widespread.
  9. Set up two-factor authentication. Two-factor authentication requires both a password and physical device to log into your site. Typically, it sends a unique code to your phone, which you have to input to log in. This makes it nearly impossible for hackers to get in with a username and password.
  10. Get rid of spam comments. 垃圾評論不僅煩人; they can include links to harmful phishing sites, therefore hurting your website visitors as well. You can get rid of these manually, or install a plugin that automatically filters comments and deletes spam.

Can WordPress plugins contain viruses?

Yes, unsafe WordPress plugins can contain viruses. Since WordPress is open source, anyone can modify and use its code to create new plugins. This is incredibly beneficial because it means that there's a solution for nearly any need, but it also means that unsavory developers can take advantage of the system.

But all you need is a little due diligence when selecting plugins. Always install them from trusted sources (like the WordPress.org repository) and check reviews thoroughly for signs of any issues. And, most importantly, never install nulled (or free) versions of premium plugins. These are often full of malware and vulnerabilities.

Can WordPress be hacked?

Yes, WordPress, like any other content management system, can be hacked. But the majority of hacks happen through completely preventable methods. If you put a few best practices into place — like choosing a high-quality host, setting secure passwords, updating your software, and installing a WordPress security plugin — there's no reason your site will be more vulnerable than any other.

What types of sites are most likely to be hacked?

While it may seem like hackers only target large websites with a lot of traffic, that's not really the case. The reality is that small businesses and blogs are just as likely to be attacked, but often have fewer security measures in place.

The majority of hackers don't target specific sites. Instead, they use automated bots to search the web, looking for easy opportunities. And automated bots don't discriminate.

Does my website need a firewall?

A good firewall is recommended for any website, because it acts as a shield between your site and all incoming traffic. A firewall should be included with any hosting plan you choose — this protects your site on a server level — but you should also install a web application firewall to secure your website against attacks specific to content management systems.

Think of a firewall as a guard standing at the door of your website. It monitors every visitor and bot that stops by, identifies suspicious characters (like bad IP addresses, botnets, and traffic to hidden pages) and blocks them before they even have a chance to attack. The best and easiest way to add a firewall to your WordPress site is with a plugin.

Is WordPress secure for eCommerce websites?

When it comes to WooCommerce security, it makes sense to be vigilant. After all, you're responsible for protecting customer data in addition to your site files and database. However, WordPress is an excellent, secure choice for an online store.

As the most popular content management system, it can be a target for hackers. However, it has a plethora of built-in security measures that will keep your site safe. And with a few best practices in place — like strong passwords, a quality host, and a great WordPress security plugin — you'll be set for success.

How do I check my WordPress security?

The best place to start is with a malware scanning tool. This will scan your website for any suspicious code and alert you if it finds anything. Some also fix any problems they find automatically.

Here are a few more ways to check your WordPress security:

  • 確保您的 SSL 證書有效。 SSL 證書可保護您網站上傳輸的數據,例如付款和聯繫信息。 為確保您的工作正常,只需在瀏覽器中檢查 URL 旁邊的鎖定圖標即可。
  • 監控停機時間。 如果您的網站出現故障,則可能是黑客入侵的跡象。 安裝一個自動化工具,如果您的網站無法訪問,該工具會提醒您,以便您立即進行故障排除。
  • 確保沒有瀏覽器安全警告。 如果您的網站被黑客入侵,當您輸入 URL 時,Google Chrome 和 Safari 等瀏覽器會顯示安全警告。 您可能希望在隱身或私人窗口中訪問您的網站,以獲得最準確的結果。
  • 在 Google Search Console 中查看通知。 如果您有 Google Search Console 帳戶,則可以快速訪問安全問題報告,該報告將讓您知道您的網站是否被黑客入侵或是否遵循任何不安全的做法。
  • 遵循安全最佳實踐。 確保您的 WordPress 網站安全的最佳方法是實施良好的安全措施。 採取適當的步驟來強化您的網站(使用來自 Jetpack 等受信任來源的指南),您會確信自己可以抵禦黑客。