wordpress安全插件iThemes Security使用经验分享

wordpress安全插件iThemes Security，之前我用过一个 all in XX的插件功能似乎也是比较强大的，但是偶尔总是把自己也给锁定导致无法登陆了，所以很郁闷就卸载没有用那个插件了，换成了iThemes，这款插件的几个亮点功能简单做个分享吧。

1、隐藏wordpress后台的登陆地址

我们wordpress网站的后台登陆地址一般是暴露的，而且没有验证码机制，这就可以被利用来暴力破解，很容易获取到网站的用户名，然后就用程序使劲的猜密码，就有可能破解和获得你的wordpress密码，因此这个功能感觉是挺不错的。隐藏登录页面（wp-login.php, wp-admin, admin 和 login）使其更难通过自动化攻击找到，并使不熟悉 WordPress 平台的用户更容易。

2、404 检测批量扫描

很多黑客估计会批量的检测扫描服务器上的文件，假如你的敏感信息放在上面就会比较容易泄露出来，举例比如你把你的wordpress网站源码和数据备份放在了网站更目录下命名为wwwroot.zip，黑客扫描到了这个文件很容易下载获得这个文件，然后就可以安装调试好，或者你的wordpress账号密码，然后把md5加密的密码放到md5数据库中去破解还原你的真实wordpress密码，这样就可以很容易的获得你的wordpress账号密码了。这可以对经常扫描产生大量404的ip被锁定禁止访问本站资源。

3、数据库备份

这个功能最好是开启，可以定期的比如每天定时发送数据库备份文件到邮箱，可以定期获得备份的数据库，防止数据丢失。保护自己免受攻击的最佳方法之一是有权访问您站点的数据库备份。如果出现问题，您可以通过从备份中恢复数据库并用新文件替换文件来恢复站点。使用下面的按钮为此目的创建数据库的备份。您还可以计划自动备份并下载或删除以前的备份。

4、本地暴力攻击保护

针对保留攻击和破解的ip可以根据频率然后锁定这些ip的访问。如果一个人有无限的时间，并想尝试无限数量的密码组合进入您的站点，他们最终会这样做，对吧？这种攻击方式被称为暴力攻击，是 WordPress 非常敏感的事情，因为默认情况下，系统并不关心用户进行多少次尝试登录。其会一直让您再试一次。启用登录限制将禁止主机用户在达到指定的错误登录阈值后的再次尝试登录。