提升WordPress网站安全：All In One WP Security插件使用教程

前言

老默这篇文章里谈的，可能是很多WordPress站长都头疼的问题——网站安全。是的，你没听错，就是那个让你每次一想到就觉得头大的“安全问题”。

我碰到过不少朋友的网站，内容做得好得很，但一不小心，网站就被黑了，各种奇怪的链接像野草一样冒出来。你说气人不气人？

好消息是，不管你是不是刚接触WordPress，还是关于独立站安全已经摸爬滚打了一段时间，都没关系。

老默这次要给大家推荐一个神器级的安全插件——All In One WP Security。这货简直就是你网站的“金刚不坏之身”，最重要的是，它还是免费的！

接下来，老默就要带大家一探究竟，看看怎么用这个插件把你的网站变成一座安全的堡垒。别担心，全程零代码，小白也能轻松上手。

1.安装并启用插件

插件市场后搜索All In One Security关键词后找到该插件后点击立即安装，安装成功后点击启用。

安装启用过后在你网站后台的左侧功能栏后会多了一个WP安全的栏目，鼠标点击上去会弹出该插件下的所有功能。

不要着急，老默带着你来一个个分析这些功能的作用，让你对这个安全插件了如指掌。

2.仪表盘

点击仪表盘，可以看到你网站当前的安全分数，越高越好，可以看到老默这个站安全初始分数很低，满分575的分数下只拿到了15分。下面就要想办法提高网站的安全分数。

该界面的tab栏点击后可以看到临时被封锁的ip和永久被我们封锁的ip，以及一些安全日志，比如登录记录等等。

在仪表盘页面的顶部会看到一个安装防火墙的提示，点击Set up now完成安装。

安装完成后会有一个五分钟后生效的提示。

当前界面下滑可以看到管理员账户已启用，我们可以启用下面的Login lockout(登录封锁)，该功能主要是为了防止一些程序暴力破解我们的网站，点击ON后跳转到用户登录选项设置界面。

1.勾选启用用户登录封锁功能

2.设置好登录封锁限制

3.在Instantly lockout specific usernames板块输入例如：admin这种程序最容易使用尝试破解的用户名

4.留下自己的邮箱，获取信息

完成后，点击保存设置

接下来继续回到仪表盘后打开File permission

点击打开后会发现关于文件夹权限的内容，点击右下角的Set recommended permissions，完成文件夹权限设置。

再次回到仪表盘，点击打开基本防火墙功能

在勾选如下方的网络防火墙设置时最好确定自己的网站有备份或者使用插件将站点内容本地保存。因为有的时候开启了基础防火墙会导致一些woocommerece出现问题。当然，如果你买的是老默推荐的Hostinger套餐是没关系的，因为主机有每日自动备份。

开启基础防火墙后可以看到安全分数已经从15分涨到了85分。

如果你的仪表盘上方有提示IP地址设置的话，点击设置

然后会自动检测到我们的ip，直接点击保存设置。

点击设置界面的WP version info后，勾选Remove WP generator meta info。不删除版本或者元信息，如果你的网站很长时间没有更新过，WordPress版本太旧或者站点主题没有更新，那么网站攻击者就会很容易找到漏洞，所以移除这些信息会让我们网站安全大大提升。

3.双重验证

点击后台左侧的Two Factor Auth 后可以在登录时启用双重验证，不过有时验证会偶尔失效，所以老默建议不使用双重验证。

4.用户账号

用户账号设置，只要你的登录用户名不是admin，是自己的邮箱或者自己设置的用户名就完全Ok。

5.数据库安全

如果你准备对数据库安全进行设置，那在开始之前一定要点击数据备份。因为这个操作是涉及了后端的核心业务，所以如果你不是很确定的话，老默不建议修改这一块的内容。

6.暴力破解

• 因为WordPress登录地址默认的都是我们的域名加上wp-admin来登录到我们的后台，所以不修改使用默认登录后缀的话还我们的网站还是会存在着很大的安全隐患。进入暴力破解界面后，勾选Enable rename login page feature，在下方的登录地址链接中输入我们修改的登录后缀并点击保存。

保存完毕后用无痕浏览器再次访问你原先的登录地址：域名/wp-admin就会发现已经不再是默认的登录页面了。

而是会变成域名/你自定义的登录后缀。比如下方网站的登录页面就从https://lamptide.com/wp-admin改成了https://lamptide.com/nicaiwocaibucai

7.Spam prevention

如果你的博客允许了用户评论，那你可以考虑勾选这个自动防垃圾评论的功能。确实会有很多小伙伴允许用户评论后多了很多机器人产生的垃圾评论。

8.Tools

这个功能如果开启勾选后会将你的网址置于维护模式，就是所有的用户访问你网站的任何页面，都会显示网站在维护中，并且会展示你在下方输入框中预设的信息。

All In One Security使用总结

在这篇教程中，老默带大家探索了如何用All In One WP Security插件为你的WordPress网站加上一层坚不可摧的安全防护。我相信，无论你是刚入门的新手还是有一定经验的站长，都能从中受益。

说到工具的选择，我知道市面上有很多各种各样的安全插件，但All In One WP Security的全面性和易用性让我毫不犹豫地推荐给大家。最关键的是，它是免费的。

目前，我自己的网站也在使用这款插件的全功能版，如果你有关于该安全插件的疑问或者其他更好的安全插件推荐的话欢迎留言交流。

关于All In One Security常见问题

1. 插件停用后会丢失设置吗？

答：不会，停用后再激活，所有设置都会保留。

2. 插件是否防止SQL注入？

答：是的，插件具有防止SQL注入的功能。

3. 插件是否与Cloudflare兼容？

答：兼容。

4. 如何测试黑名单功能？

答：临时使用自己的IP地址进行测试。

5. 如何实施新的过滤器？

答：在主题的functions.php文件中添加相应的函数。