SiteGround Security 安全插件使用教程

SiteGround Security是一款保护 WordPress网站安全的插件。由 SiteGround虚拟主机商家开发。这款插件选择容易配置的安全功能，提供保护网站和防止多种威胁比如暴力攻击、登录受损、数据泄漏等安全保障。

该插件可以在任何主机上使用，功能非常全面，比如双重身份验证，登陆地址修改，限制登陆尝试等等，接下来小编就手把手教大家如何使用。

SiteGround Security 安装

首先，需要前往WordPress的插件安装页面（Plugins -> Add New），在搜索框中输入”SiteGround Security”来找到该插件。然后点击”Install Now”按钮来安装插件，并将其启用。

安装并启用插件后，WordPress的菜单栏会新增一个选项（SG Security），你可以在这里进行所有的安全设置。接下来，我将逐一为你详细介绍这些设置。

网站安全设置

第一个需要设置的是 Site Security，默认情况下，启用所有选项，并删除Readme.html。

Lock and Protect System Folder

启用此选项可以防止黑客通过文件夹后门插入恶意的PHP文件和脚本。

Hide WordPress Version

启用此选项可以隐藏你的WordPress版本，这样爬虫很难检测到你正在使用WordPress，从而避免成为黑客大规模攻击的目标。

Disable Themes & Plugins Editor

禁用主题编辑器后，WordPress菜单栏中的编辑器选项将被删除，你将无法直接从WordPress后台编辑主题和插件的代码。如果需要编辑代码，可以使用主机的文件管理工具，如FTP或SSH。

Disable XML-RPC

XML-RPC是WordPress用于与其他系统通信的旧协议，在REST API出现后，它的使用越来越少。除非你有特殊需求，否则建议始终禁用XML-RPC。

Force HTTP Strict-Transport-Security (HSTS)

开启此选项可以强制浏览器使用HTTPS协议进行访问，增强网站的安全性。

Disable RSS and ATOM Feeds

建议禁用此选项，因为RSS和ATOM订阅通常被用于抄袭和复制网站内容。

Advanced XSS Protection

启用此选项可以为你的网站添加额外的标头，以防止跨站脚本攻击（XSS）。

Delete the Default Readme.html

另外，强烈建议删除默认的Readme.html文件，该文件包含有关你的网站的信息。这样可以减少黑客对你的网站的潜在攻击。

登陆安全设置

接下来是登录安全设置，可以保护你的WordPress登录地址免受恶意攻击。以下是需要进行的设置：

Custom Login URL

WordPress默认的登录地址是黑客和垃圾邮件机器人的攻击目标。通过使用自定义的登录地址，你可以有效地避免这类攻击。你可以使用类似功能的插件，如”WPS Hide Login”。

Login Access

你可以指定可以访问登录地址的IP白名单。如果你使用的是动态IP，请谨慎使用此选项，以免自己无法登录WordPress后台。

Two-factor Authentication for Admin & Editors Users

双重身份验证类似于国内某些平台需要输入手机验证码的方式，不过它使用的是由Google发送的验证码。如果你是国内用户，建议关闭此选项，以免自己无法登录WordPress后台。

Disable Common Usernames

使用像”admin”这样的常见用户名是一种安全威胁，通常会被黑客利用。启用此选项后，系统会自动识别并禁用常见的用户名，并提示你修改为其他用户名。

Limit Login Attempts

此选项用于阻止机器人尝试使用用户名和密码的随机组合进行登录。它会限制登录尝试的次数，从而增加破解密码的难度。

监控活动日志

活动日志页面记录了含过去12天内网站上的所有活动，包括人工访问、机器人爬行、注册用户活动、登录尝试等等。通过查看活动日志，你可以更好地了解你网站的受众，并识别出可疑的访问者或活动。

活动日志页面分为三个选项卡：

• 未知（UNKNOWN）- 显示未通过身份验证的机器人或人的活动。这些活动可能是潜在的威胁，需要进一步审查。
• 注册用户（REGISTERED）- 显示已注册用户的活动。这些活动通常是合法的，但如果发现异常行为，也需要进行进一步的检查。
• 屏蔽（BLOCKED）- 显示被屏蔽的IP地址的活动。当你发现某个IP地址表现出可疑行为时，你可以将其添加到屏蔽列表中，以阻止其访问你的网站。

如果在活动日志中发现可疑的活动，你可以点击”Actions”下方的”Manage IP Traffic”按钮来阻止这些可疑的流量。这将帮助你保护网站免受潜在的攻击和恶意行为。

通过定期查看活动日志并采取必要的行动，你可以提高你的网站安全性，并保护你的网站免受不法分子的攻击。

黑客入侵设置

如果你怀疑你的WordPress网站受到黑客攻击，你可以使用此页面上的工具来修复你的网站。

Reinstall All Free Plugins

重新安装所有免费插件，这样做会删除黑客添加的可疑代码。

Force Password Reset

强制重置密码，一旦尝试重新登录，会被要求更改密码。

Log out All Users

立即注销所有已登陆用户。

总结

总的来说，SiteGround Security 是一款免费的WordPress插件，它涵盖了WordPress安全的各个方面，并且设置非常简单。

唯一的不足是，SiteGround Security 没有像Wordfence那样提供全站扫描功能。关于这个问题，我专门向SiteGround的技术人员咨询过，他们回复说，由于SiteGround主机已经内置了WAF防火墙，所以在插件的初始版本中暂时没有考虑添加全站扫描功能。不过，他们并不排除在后续版本中增加这个功能的可能性，因为并不是每个人都在使用SiteGround主机。

最后，如果你是SiteGround的用户，我推荐你试试一下他们的SiteGround Optimizer加速插件。这个插件可以帮助你优化网站的加载速度，提供更好的用户体验。