WordPress 网站安全：防火墙的作用与优化方法

WordPress防火墙就像一种特殊的保护工具，专门针对WordPress网站设计。它实际上是一种Web应用程序防火墙（WAF），旨在保护您的WordPress网站免受各种网络攻击。

防火墙的概念

防火墙就像是家里的门卫，它放在你的电脑网络和外面的互联网之间。它的工作是检查所有进出的信息，决定哪些可以通过，哪些不行，就像门卫决定谁可以进来谁不能一样。这样做是为了保护你的电脑不被外面的攻击者侵害。

比如说，当你在家里通过WiFi上网时，你的WiFi路由器就充当了一个防火墙的角色。它帮助你筛选信息，让好的连接进来，阻止坏的连接。现在的家用WiFi路由器几乎都自带了这样的功能，帮你自动保护家里的网络安全。

Web 应用程序防火墙

让我们用简单的话来说：

第一代防火墙：数据包过滤

想象第一代防火墙像是一个门卫，他的工作是检查每个人的通行证（数据包）决定谁可以进来。但这个门卫其实看不懂通行证上写的是什么，只检查通行证的类型。如果你的网站需要对外开放，就好比你告诉门卫：“让持有类型80的通行证的人进来。”这样，任何拿着这种通行证的人（流量）都能进来，不管他们是好人还是坏人。

第二代防火墙：状态过滤

第二代防火墙像是升级了智能的门卫，不仅检查通行证的类型，还能记住每个人的面孔（了解连接的状态）。他知道谁是第一次来访的，谁已经在里面了。这让门卫能够更智能地控制谁能进来，比如，只让已经认识的人进入，给了管理员更多控制权。

第三代防火墙：应用层过滤

现代的第三代防火墙就像是一个超级智能的门卫，他不仅知道每个人的通行证类型和面孔，还能理解每个人说的话（了解数据的具体内容）。这意味着，如果有人说他们是来给FTP服务器送东西的，门卫能理解并验证这一点。如果是来访问网站的，门卫同样知道他们想看什么。这样的门卫能够非常精确地控制流量，确保只有合适的访问者能够通过，提供了更高级别的保护。

Web 应用程序防火墙/WordPress 防火墙

Web 应用程序防火墙是单一作用域防火墙。它们在网络中的作用是保护网站免受恶意黑客攻击。

WordPress 防火墙是专门用于保护 WordPress 的 Web 应用程序防火墙。当您的 WordPress 站点上安装了 WordPress 防火墙时，它会在您的站点和互联网之间运行，以分析所有传入的 HTTP 请求。

当 HTTP 请求包含恶意负载时，WordPress 防火墙会断开连接。

WordPress 防火墙如何工作？

WordPress 防火墙检测恶意请求的方式与恶意软件检测恶意软件感染的方式类似。他们使用称为签名的已知攻击列表，当 HTTP 请求的负载与签名匹配时，就意味着该请求是恶意的。

大多数 WordPress 防火墙不允许您修改攻击特征。但不以 WordPress 为中心的 Web 应用程序防火墙是高度可配置的。您可以专门为您的网站定制它们，无论是 WordPress 还是自定义解决方案。您可以创建自己的一组安全规则、条款等。但是，在配置 Web 应用程序防火墙时应该非常小心，不要阻止合法流量。

一些Web应用防火墙还具有自动学习技术。这种启发式技术会分析您网站的流量，以了解什么是合法流量，什么不是。

现场专用 WordPress Web 应用程序防火墙

通用 Web 应用程序防火墙也可以用作 WordPress 防火墙。这些可以是专用硬件设备或软件。

通用 Web 应用程序防火墙安装在您的 WordPress 站点和互联网连接之间。因此，发送到 WordPress 站点的每个 HTTP 请求都会首先通过 WAF。这些 WAF 无疑是比 WordPress 防火墙插件更安全的解决方案。然而，它们价格昂贵，并且需要特定的技术专业知识来管理它们。因此，小型企业通常不使用它们。

在线 WordPress 网站防火墙

与自托管 WordPress 防火墙插件或设备不同，在线 WordPress 防火墙不需要安装在 Web 服务器的同一网络上。它是一种在线服务，其作用类似于代理服务器 ， 您网站的流量经过它进行过滤，然后转发到您的网站。

当您使用在线 WordPress 防火墙时，您可以将域的 DNS 记录配置为指向在线 WAF。这意味着您的网站访问者实际上是与在线 WordPress 防火墙通信，而不是直接与您的 WordPress 网站通信。

通常，在线防火墙有多个作用域。除了保护您的 WordPress 网站免受黑客攻击之外，它还可以用作缓存服务器和 CDN。与自托管通用 Web 应用程序防火墙相比，在线 Web 应用程序防火墙也非常实惠。

绕过在线防火墙

在线 WordPress 防火墙的一个已知限制是，您的 Web 服务器必须可通过 Internet 访问，WAF 才能将流量转发到您的 WordPress 站点。这意味着如果每个人知道您的 Web 服务器的 IP 地址，他们仍然可以直接与您的 Web 服务器通信。

因此，在非针对性的 WordPress 攻击中，攻击者只需扫描整个网络以查找易受攻击的站点，您的 Web 服务器和站点仍然可以直接访问。但是，您始终可以将服务器的防火墙配置为仅响应来自在线 WordPress 防火墙的流量，以免成为此类攻击的受害者。

WordPress 防火墙的一般限制

• 有限的零日漏洞保护

最常见的 WAF 保护技术之一是根据签名数据库检查 HTTP 请求的负载。因此，当有人访问您的网站时，WAF 会根据已知 Web 攻击的数据库检查有效负载。如果匹配，则意味着它是恶意的，如果不匹配，则允许它通过。

因此，如果出现零日 WordPress 漏洞， 您的 WordPress 防火墙可能无法阻止攻击。这就是为什么供应商的响应能力至关重要，您应该始终使用来自响应迅速且值得信赖的企业的软件。供应商越早更新防火墙越好。

Web应用程序防火墙绕过

Web 应用程序防火墙与任何其他软件一样。他们有自己的问题并且可能存在漏洞。事实上，您可以找到大量讨论用于绕过 Web 应用程序防火墙保护的技术的白皮书和文章。但话又说回来，只要供应商能够及时响应并修复此类问题，一切都很好。

你应该使用 WordPress 防火墙吗？

确实！您应该使用哪种 WordPress 防火墙？每个 WordPress 防火墙都有其优点和缺点，因此请选择最适合您的要求的一个。然而，即使您有 WordPress 防火墙，也不要放松警惕。

对于WordPress 安全性而言，没有万无一失的解决方案。因此，您应该始终强化>监控>改进>测试。你应该：

• 在您的 WordPress 网站上保留活动日志
• 实施坚如磐石的WordPress 备份解决方案
• 添加双因素身份验证
• 实施强大的WordPress 密码和登录策略

当然，还有很多事情可以而且需要做，但这是一个好的开始。