Wordfence安装激活及使用指南

Wordfence安装与激活

在安装 Premium 版本之前，先下载其 Free 版本，也可以在 WordPress 后台搜索 “Wordfence Security”在线安装。

安装并启用 Wordfence Free 版插件后，会提示输入许可证：

点击GET YOUR WORDFENCE LICENSE按钮之后跳转到Wordfence网站，点击Get a Free License获取一个免费的许可证。只需要填写一个有效的Email地址，随后会在邮件中收到许可证。如下图：

弹出提示你购买实时防护的窗口，点击下面的文字获取免费的授权（免费的授权在安全策略和恶意软件扫描器授权上是30天的延迟的）

跳转之后根据网站域名和邮箱地址注册生成授权码，需要输入一个有效的邮箱地址，然后勾选同意政策。

加入和接收新闻的选项可以不勾选。最后点击Register注册。

点击 Install My License Automatically 自动跳转到网站激活界面。

点击安装许可证。

安装成功之后点击弹出框中的按钮返回Wordfence仪表盘。

安装完成后，下载 Wordfence Security Premium 插件，并在仪表板中上传安装，会自动覆盖替换 Free 版本。（注意：如不是在站长帮下载的Premium版，不适用该激活方式。）

再回到 Wordfence 仪表盘，能看到许可证变成了高级许可证，如下图：

Wordfence设置指南

Wordfence > 所有选项”菜单中，可以看到插件的所有功能设置选项。Wordfence 插件的默认配置已可适配大部分网站需求，所以需要修改的设置并不多。

常规Wordfence选项

建议勾选下列选项，其它保持默认

• 隐藏WordPress版本
• 禁用上传（wp-content/uploads）目录的代码执行

一般情况下 wp-content/uploads 是没有PHP程序文件的。

仪表板通知选项

这个地方除了安全警报与扫描状态两项之外，其余的都不建议勾选。其余的都有广告成份，而且会频繁请求远程端资源。

需要通过电子邮件通知的选项

开启这个功能，首先确定 WordPress 主机能正常发送Email，否则开启了也无效，甚至导致一些PHP错误。推荐使用 WP Mail SMTP Pro 插件。

如果Email发送功能正常，选项可以根据自己需求勾选相应的通知。

防火墙选项

这个地方，如果你不清除每一步的操作意味着什么后果，则不建议修改，保持默认设置则可。

新安装的 Security 插件，不会立即应用防火墙配置而是开启学习模式。在学习模式中插件会先扫描和记录网站结构，最长1周的时间后再启用防火墙配置。这一点 Security 插件比其他同类插件做得都好。

扫描选项

开启扫描选项后， Security 插件会定期扫描网站上的所有文件是否被篡改以及是否有恶意代码。如果网站文件较多的话，但该功能会消耗大量的服务器资源，如果服务器配置较低而扫描任务较大，有可能造成服务器响应速度骤降甚至出现502错误。

所以在开启该选项后，建议观察服务器的内存与CPU占用情况，如果太高的话，可以适当降低扫描频率甚至关闭自动扫描功能，改用手动扫描（在访问量不大的时候操作）。

一般情况下推荐使用“限制扫描”选项，仅占用较低的系统资源。

Nginx 服务器设置 .user.ini 文件

如果在一个主机中有多个站点，最好在每个站点的根目录中创建一个.user.ini 文件，这样可防止跨站攻击。

Wordfence > 防火墙 > 优化Wordfence防火墙”页面中可下载 .user.ini 文件，将该文件上传至网站根目录后，还需在 Nginx 的主机配置文件中添加以下代码（防止该文件被读取或篡改）：

location ~ ^/\.user\.ini {
deny all;
}

如果 WordPress 安装在子目录中，则需要使用以下代码：

location ~ ^/wordpress/\.user\.ini {
deny all;
}

注意替换wordpress为正确的目录路径。

如果是Apache服务器，正确情况下插件会自动在.htaccess中创建相应的设置。除非.htaccess文件不可写入。

但是需要给.user.ini 文件776权限，这样Wordfence才有写入的权限，宝塔面板默认是给了.user.ini文件i属性，也就是禁止修改，这里需要从终端上解除i属性，进入文件所在的目录，输入chattr -i .user.ini 即可，然后再修文件权限。

Wordfence 下载