9 WordPress WAF以防止安全威胁

保护网站始终是一项具有挑战性的任务，也是每个网站所有者的责任。

存在着成千上万的在线漏洞，很难手动确保网站上的所有内容都得到加固和保护。

SUCURI发布的一份黑客攻击网站报告指出94%的WordPress网站被感染了。

你的WordPress site secure吗？

保护网站的最快方法之一是使用WAF（Web应用程序防火墙）。

WAF会实时添加多个安全元素，并保护网站免受已知和未知的在线威胁。WAF有两种实施方式。

• 基于云的 – 由云安全提供商保护网站。这个服务位于你的托管基础架构之外，位于网络边缘。
• 托管式 – 通常是安装在WordPress上的插件，它会检查请求，保护请求并在发送给Web服务器之前阻止请求。

你们中有很多人问哪种方式更好。

嗯，这取决于方法，但我更喜欢基于云的。通过使用基于云的安全提供商，所有恶意流量都会在他们的网络上被阻止，你只会收到合法的请求。

让我们来看看我们为WordPress提供的一些最佳Web应用程序防火墙。

SUCURI

SUCURI WAF提供双重好处 – 保护和性能优化。

SUCURI提供基于云的WAF，可以立即使用自定义规则阻止攻击者和黑客。

你不需要在服务器上安装任何东西；它只需要简单的DNS更改，这样所有的流量都会通过SUCURI来处理。不用担心DNS更改，他们可以帮助你。

让我们来看看一些好处。

安全

• 防止DDoS攻击
• 防止零日漏洞利用
• 防止恶意软件和黑客攻击
• 防范暴力破解
• 阻止恶意机器人
• OWASP前十名保护

性能

• 支持HTTP/2
• 全球任播网络，实现低延迟CDN
• 智能缓存
• Gzip压缩

SUCURI的计划从每月9.99美元开始。

Astra

使用Astra保护你的WordPress网站免受恶意软件和安全漏洞的侵害。它为你的网站提供了防止钓鱼和社交攻击、密码攻击、插件漏洞、机器人、SQL注入、恶意软件等的安全保护。

平均而言，一个网站每天会受到44次恶意软件攻击。不安全的主题、弱点插件、托管平台上的漏洞等可能是导致CMS被感染的原因。Astra用一个综合解决方案替代了所有内容，这样你就不需要投资于多个解决方案。

你将得到一个具有国家和IP阻止、24×7实时保护、垃圾邮件阻止、blacklist monitoring、暴力破解保护和其他100多种保护功能的防火墙。他们基于机器学习的恶意软件扫描器可以无限次扫描，定期和自动扫描，自动删除恶意软件，并提供PDF和电子邮件报告。

你可以通过停用用户名枚举、禁用XMLRPC和文件编辑器、更改登录URL、隐藏敏感目录和WP版本等方式，保护你的WordPress。Astra还可以自动识别和消除各种漏洞，而不会影响网站的性能和速度。在不到5分钟的时间内，你可以设置好Astra，并为战斗做好准备，无需编码或冗长的步骤。你还将获得每一步的指导以继续前进。

此外，你可以在仪表板上找到所有内容，并检查恢复和保护了多少漏洞。接下来，决定谁可以访问你的网站，通过为IP地址和国家设置一些规则来给他们访问权限。

Astra的价格从每月$19起。

MalCare

您的WordPress网站安全吗？

不要犹豫，免费尝试使用MalCare进行恶意软件扫描。

MalCare可以通过智能受众模式检测自动阻止恶意流量。它的防火墙对于防止黑客和机器人入侵您的网站至关重要。它分析IP请求，确保您的网站能够处理常见问题，如暴力攻击。

MalCare还监视其网络上每个网站的攻击，创建恶意IP列表，以阻止它们进入您的网站。使用MalCare，您将获得有限的登录尝试次数和有关可疑登录的及时通知。

此外，MalCare遵循WordPress本身推荐的安全实践，这需要时间和技术知识。它应用安全技术来禁用文件编辑器，保护上传文件夹，更改安全密钥，并禁止插件，以阻止黑客安装恶意插件或主题到您的管理面板。

所以，现在是时候免费扫描您的网站，没有任何预付费用，并且仍然保持安全。

Wordfence

Wordfence 是最受欢迎的多合一安全插件之一。它已经安装了超过200万次。

在高级计划下，您可以享受防火墙保护，并获得规则、恶意软件签名和恶意IP的实时更新。

您还可以享受其他功能，例如：

• 双因素身份验证
• 垃圾邮件过滤器
• 定时安全扫描
• 防止暴力攻击

Wordfence每年收费99美元。

Cloudflare

作为一个强大的网络防火墙，Cloudflare的处理能力达到每秒大约300万次请求，并在PRO计划下提供WordPress WAF。

Cloudflare以提供性能优化、CDN和安全性而闻名。他们的WAF不会减慢网站的速度，对于page load time，只会增加不到1毫秒的延迟。

Cloudflare WAF可以防止OWASP前10名漏洞、特定应用漏洞和已知漏洞。

而且它还具有针对WordPress的特定规则。

您可以在不到5分钟的时间内进行get it started with Cloudflare。此外，您还可以考虑使用他们的plugin进行快速设置。

Cloudflare的PRO计划每月收费20美元。

StackPath

WAF和CDN与StackPath紧密集成，类似于Cloudflare。

他们为第7层（应用层）提供所有标准的安全保护。

例如：

• 机器人保护
• 用户定义的规则
• 动态过滤
• 防止抓取
• 企业级规则

每个计划还包括DDoS protection.

我喜欢StackPath的EdgeRule，您可以在不重新启动Web服务器或在WordPress网站内安装任何东西的情况下进行许多操作。

一些可能性包括：

• 注入HTTP标头
• 根据国家/地区阻止请求
• 针对机器人请求、按国家/地区、按引荐者的重定向
• 自定义规则

StackPath与W3 Total Cache集成良好，价格从每月20美元起，可供五个网站使用，并提供15天的免费试用。

NinjaFirewall

NinjaFirewall位于WordPress之前，并利用称为Sensei的强大过滤引擎。

该防火墙还提供事件通知、集中日志记录、恶意软件扫描和多站点支持。

单个域名NinjaFirewall许可每年收费34.90美元。

AWS WAF

如果您使用AWS进行托管，则可以利用AWS WAF。

最近，他们发布了一个用于缓解OWASP前10名漏洞的template。然而，如果您需要更多功能，可以探索Alert’s Logic managed rules for WordPress。

Shield Security

Shield是另一个内置了防火墙模块的WordPress安全插件。

Shield扫描GET和POST请求，并在违反策略时终止它们。它提供了多种选项，可以选择如何响应被阻止的请求。

• 终止请求
• 终止请求并显示自定义消息
• 返回主页
• 返回404页面

在防火墙拦截中，它会检查以下内容。

• 目录遍历
• SQL查询
• WordPress术语
• 字段截断
• PHP代码
• Cookie值

Shield还具有其他功能，如登录保护、用户会话管理、强大的垃圾邮件保护、黑客保护、自动核心更新、自动锁定、审计日志。

结论

希望上述列表能帮助您选择适合WordPress网站的Web应用防火墙。

对于任何网站来说，WAF都是必不可少的，它可以保护网站免受黑客、垃圾邮件和攻击者的侵害。如果您不想自己处理或没有时间处理这些问题，您可以考虑使用提供全方位服务（托管、安全性、CDN等）的提供商。