WordPress安全插件推荐：Defender Security_恶意软件扫描_防火墙

自己搭建网站后安全也是非常重要的一个部分，这款名为Defender WordPress Security, Malware Detection, and Firewall的插件可以为你网站进行安全检查，恶意软件扫描和防火墙功能。还可以给予安全建议，推荐大家使用。

Defender Security介绍和下载

Defender WordPress Security, Malware Detection, and Firewall是之前奶爸建站笔记分享的很好用的WordPress优化速度插件：Hummingbird同一个公司的另外一款免费插件。

使用Defender WordPress Security你只需要简单点击几次鼠标，就可以获得最佳的WordPress安全性设置。

Defender WordPress Security支持：

1. 恶意软件扫描；
2. 防火墙；
3. 双重身份验证；
4. 防止暴力登录；
5. 防止SQL注入；
6. 防止跨站点脚本XSS攻击；
7. 其他WordPress漏洞。

插件支持中文，奶爸在建站笔记网站上测试了下，功能还可以，目前正在使用。

下载地址

Defender Security使用教程

1、首次使用插件会有一个快速设置，直接点击开始使用按钮即可。

2、扫描完毕，会有一个扫描结果，有问题的地方会提示你。

3、安全调整这个栏目，会给你一些安全建议，类似于电脑上那些安全助手一样，你可以点击查看每一条建议，根据自己实际情况选择是否接受。

• 停用Trackback和Pingback （推荐采用建议）
• Database Prefix （数据库注入风险，给的建议修改数据库前缀，不过不推荐已经安装好的网站采用这个建议，修改数据库前缀有风险。）
• File Editor（禁用文件编辑，推荐采用建议）
• 安全金钥（推荐采用建议）
• Information Disclosure（防止信息纰漏，需要服务器管理员处理，可以接受建议。）
• 管理登录持续时间（默认是14天，可以调整小一点。）

4、文件扫描File Scanning，会给你扫描出不包含在WordPress默认目录里面的文件和文件夹，如下图：

这个需要自己有一个判断，例如上面图片中的文件好多都是搜索引擎的验证文件，没有安全威胁的，所以直接忽略就可以了。

5、IP锁定

ip锁定就是要给简单的防火墙功能，不过这个功能却非常实用。

日志：进入IP锁定栏目里，可以看到一个日志，如果你网站有别人访问的404页面都会在这里展示出来，这个功能可以帮你排查网站404页面，也可以直接把扫描不存在文件的机器人直接拉黑IP。

登录保护：这个是暴力破解你网站管理员账号的一个有力武器，默认的是5分钟内登录错误5次就禁止访问5分钟，你可以选择更长时间或者永久禁止该IP访问。同时你也可以填写禁止登录的用户名，例如你不是用的admin登录网站，但是有人尝试使用admin登录，那么肯定是机器人在爆破了，直接关进小黑屋。

当然，如果你用了其他的WordPress暴力登录保护插件，那么就可以去把他们停用了删除掉，同样功能的插件装一个就够了。

404检测：默认的如果5分钟内访问了20次404页面，那么将被拉黑5分钟，实际上你可以把这个值设高一点，例如3分钟10次，基本上就可以拦截住那些垃圾机器人了。

IP封锁：这个就是IP黑白名单，如果你想永久阻止一个IP地址，那么直接添加ip就可以了。值得注意的是，这里面自带了一个按照地区封锁IP的功能，所以你可以替换掉iQ Block Country这款插件了。

6、高级工具

高级功能里面有两个功能，一个双重身份验证和一个管理地址隐藏（Mask Login Area），双重验证是使用的Google的，国内无法使用所以考虑清楚是否打开。管理地址隐藏又可以替换掉WPS Hide Login了。

而剩下的高级功能，黑名单监控用处不大，审核日志可以使用WP Security Audit Log来替代。