9 WordPress WAF以防止安全威胁

保护网站始终是一项具有挑战性的任务,也是每个网站所有者的责任。

存在着成千上万的在线漏洞,很难手动确保网站上的所有内容都得到加固和保护。

SUCURI发布的一份黑客攻击网站报告指出94%的WordPress网站被感染了

你的WordPress site secure吗?

保护网站的最快方法之一是使用WAF(Web应用程序防火墙)。

WAF会实时添加多个安全元素,并保护网站免受已知和未知的在线威胁。WAF有两种实施方式。

  • 基于云的 – 由云安全提供商保护网站。这个服务位于你的托管基础架构之外,位于网络边缘。
  • 托管式 – 通常是安装在WordPress上的插件,它会检查请求,保护请求并在发送给Web服务器之前阻止请求。

你们中有很多人问哪种方式更好。

嗯,这取决于方法,但我更喜欢基于云的。通过使用基于云的安全提供商,所有恶意流量都会在他们的网络上被阻止,你只会收到合法的请求。

让我们来看看我们为WordPress提供的一些最佳Web应用程序防火墙。

SUCURI

SUCURI WAF提供双重好处 – 保护和性能优化。

SUCURI提供基于云的WAF,可以立即使用自定义规则阻止攻击者和黑客。

你不需要在服务器上安装任何东西;它只需要简单的DNS更改,这样所有的流量都会通过SUCURI来处理。不用担心DNS更改,他们可以帮助你。

让我们来看看一些好处。

安全

  • 防止DDoS攻击
  • 防止零日漏洞利用
  • 防止恶意软件和黑客攻击
  • 防范暴力破解
  • 阻止恶意机器人
  • OWASP前十名保护

性能

  • 支持HTTP/2
  • 全球任播网络,实现低延迟CDN
  • 智能缓存
  • Gzip压缩

SUCURI的计划从每月9.99美元开始。

Astra

使用Astra保护你的WordPress网站免受恶意软件和安全漏洞的侵害。它为你的网站提供了防止钓鱼和社交攻击、密码攻击、插件漏洞、机器人、SQL注入、恶意软件等的安全保护。

平均而言,一个网站每天会受到44次恶意软件攻击。不安全的主题、弱点插件、托管平台上的漏洞等可能是导致CMS被感染的原因。Astra用一个综合解决方案替代了所有内容,这样你就不需要投资于多个解决方案。

你将得到一个具有国家和IP阻止、24×7实时保护、垃圾邮件阻止、blacklist monitoring、暴力破解保护和其他100多种保护功能的防火墙。他们基于机器学习的恶意软件扫描器可以无限次扫描,定期和自动扫描,自动删除恶意软件,并提供PDF和电子邮件报告。

你可以通过停用用户名枚举、禁用XMLRPC和文件编辑器、更改登录URL、隐藏敏感目录和WP版本等方式,保护你的WordPress。Astra还可以自动识别和消除各种漏洞,而不会影响网站的性能和速度。在不到5分钟的时间内,你可以设置好Astra,并为战斗做好准备,无需编码或冗长的步骤。你还将获得每一步的指导以继续前进。

此外,你可以在仪表板上找到所有内容,并检查恢复和保护了多少漏洞。接下来,决定谁可以访问你的网站,通过为IP地址和国家设置一些规则来给他们访问权限。

Astra的价格从每月$19起。

MalCare

您的WordPress网站安全吗?

不要犹豫,免费尝试使用MalCare进行恶意软件扫描。

MalCare可以通过智能受众模式检测自动阻止恶意流量。它的防火墙对于防止黑客和机器人入侵您的网站至关重要。它分析IP请求,确保您的网站能够处理常见问题,如暴力攻击。

MalCare还监视其网络上每个网站的攻击,创建恶意IP列表,以阻止它们进入您的网站。使用MalCare,您将获得有限的登录尝试次数和有关可疑登录的及时通知。

此外,MalCare遵循WordPress本身推荐的安全实践,这需要时间和技术知识。它应用安全技术来禁用文件编辑器,保护上传文件夹,更改安全密钥,并禁止插件,以阻止黑客安装恶意插件或主题到您的管理面板。

所以,现在是时候免费扫描您的网站,没有任何预付费用,并且仍然保持安全。

Wordfence

Wordfence 是最受欢迎的多合一安全插件之一。它已经安装了超过200万次。

在高级计划下,您可以享受防火墙保护,并获得规则、恶意软件签名和恶意IP的实时更新。

您还可以享受其他功能,例如:

  • 双因素身份验证
  • 垃圾邮件过滤器
  • 定时安全扫描
  • 防止暴力攻击

Wordfence每年收费99美元。

Cloudflare

作为一个强大的网络防火墙,Cloudflare的处理能力达到每秒大约300万次请求,并在PRO计划下提供WordPress WAF。

Cloudflare以提供性能优化、CDN和安全性而闻名。他们的WAF不会减慢网站的速度,对于page load time,只会增加不到1毫秒的延迟。

Cloudflare WAF可以防止OWASP前10名漏洞、特定应用漏洞和已知漏洞。

而且它还具有针对WordPress的特定规则。

您可以在不到5分钟的时间内进行get it started with Cloudflare。此外,您还可以考虑使用他们的plugin进行快速设置。

Cloudflare的PRO计划每月收费20美元。

StackPath

WAF和CDN与StackPath紧密集成,类似于Cloudflare。

他们为第7层(应用层)提供所有标准的安全保护。

例如:

  • 机器人保护
  • 用户定义的规则
  • 动态过滤
  • 防止抓取
  • 企业级规则

每个计划还包括DDoS protection.

我喜欢StackPath的EdgeRule,您可以在不重新启动Web服务器或在WordPress网站内安装任何东西的情况下进行许多操作。

一些可能性包括:

  • 注入HTTP标头
  • 根据国家/地区阻止请求
  • 针对机器人请求、按国家/地区、按引荐者的重定向
  • 自定义规则

StackPath与W3 Total Cache集成良好,价格从每月20美元起,可供五个网站使用,并提供15天的免费试用。

NinjaFirewall

NinjaFirewall位于WordPress之前,并利用称为Sensei的强大过滤引擎。

该防火墙还提供事件通知、集中日志记录、恶意软件扫描和多站点支持。

单个域名NinjaFirewall许可每年收费34.90美元。

AWS WAF

如果您使用AWS进行托管,则可以利用AWS WAF

最近,他们发布了一个用于缓解OWASP前10名漏洞的template。然而,如果您需要更多功能,可以探索Alert’s Logic managed rules for WordPress

Shield Security

Shield是另一个内置了防火墙模块的WordPress安全插件。

Shield扫描GETPOST请求,并在违反策略时终止它们。它提供了多种选项,可以选择如何响应被阻止的请求。

  • 终止请求
  • 终止请求并显示自定义消息
  • 返回主页
  • 返回404页面

在防火墙拦截中,它会检查以下内容。

  • 目录遍历
  • SQL查询
  • WordPress术语
  • 字段截断
  • PHP代码
  • Cookie值

Shield还具有其他功能,如登录保护、用户会话管理、强大的垃圾邮件保护、黑客保护、自动核心更新、自动锁定、审计日志。

结论

希望上述列表能帮助您选择适合WordPress网站的Web应用防火墙。

对于任何网站来说,WAF都是必不可少的,它可以保护网站免受黑客、垃圾邮件和攻击者的侵害。如果您不想自己处理或没有时间处理这些问题,您可以考虑使用提供全方位服务(托管、安全性、CDN等)的提供商。

类似文章