SiteGround Security 是 SiteGround 开发的免费安全插件，主要用于提高WordPress网站的安全性，保护WordPress网站免受暴力攻击、登录破解、数据泄漏。

该插件可以在任何主机上使用，功能非常全面，比如双重身份验证，登陆地址修改，限制登陆尝试等等，接下来一灯就手把手教大家如何使用。

SiteGround Security 安装

首先，去 WordPress安装插件 的地方（Plugins -> Add New），搜索SiteGround Security找到该插件，然后点击 Install Now 按钮并启用它。

接下来，WordPress菜单栏会多出来一个选项（SG Security），后面所有的安全设置都在这里操作，我逐一为大家详细介绍。

网站安全设置

第一个需要设置的是 Site Security，默认情况下，启用所有选项，并删除Readme.html。

Lock and Protect System Folder

启用此选项，可以锁定和保护系统文件夹，阻止黑客走文件夹后门插入PHP文件和恶意脚本。

Hide WordPress Version

启用此选项，会隐藏WordPress版本，使爬虫很难检测到你在使用WordPress，从而避免WordPress网站被黑客标记，进行大规模攻击。

Disable Themes & Plugins Editor

禁用主题编辑器，会自动从WordPress菜单栏里删除该选项，并无法直接从WordPress后台编辑主题和插件的代码。若需编辑代码，可以使用主机的文件管理工具，FTP 或 SSH。

Disable XML-RPC

XML-RPC 是 WordPress 用来与其他系统通信的旧协议，自从 REST API 出现以来，它的使用就越来越少，除非你对它有特殊需求，否则建议始终禁用 XML-RPC。

Force HTTP Strict-Transport-Security (HSTS)

HSTS（HTTP Strict-Transport-Security）可以强制浏览器使用 HTTPS 协议，建议开启。

Disable RSS and ATOM Feeds

RSS 和 ATOM 订阅通常被人用于抄袭复制网站内容，建议禁用此选项。

Advanced XSS Protection

启用此选项，会为你的网站添加额外的标头，以防止 XSS 攻击。

Delete the Default Readme.html

WordPress 自带一个 Readme.html 文件，其中包含有关你网站的信息，强烈建议删除。

登陆安全设置

第二个需要设置的是 Login Security，可以保护你的WordPress登录地址免受恶意攻击。

Custom Login URL

WordPress默认登录地址是黑客和垃圾邮件机器人的攻击目标，使用自定义登陆地址可以有效避免此类攻击，类似功能的插件还有WPS Hide Login。

Login Access

指定可以访问登录地址的白名单IP，如果你使用的是动态IP，请谨慎使用该选项，以免自己都登陆不了WordPress网站后台。

Two-factor Authentication for Admin & Editors Users

双重身份验证，和国内登陆某些平台需要输手机验证码是一个意思，只不过它用的是Google发送的验证码。如果你是国内用户，建议关闭此选项，以免自己无法登陆WordPress后台。

Disable Common Usernames

使用像“admin”这样的用户名是一种安全威胁，通常会被黑客利用。启用此选项，会自动识别并禁用常见的用户名，如果你已经在使用常见用户名，还会提示你修改替换它。

Limit Login Attempts

限制登录尝试次数，用来阻止机器人尝试使用用户名和密码的随机组合登录你的网站。

监控活动日志

活动日志页面包含过去12天内网站上的所有活动，比如人工访问、机器人爬行、注册用户活动、登录尝试等等，可以帮助你更好地了解网站的受众并识别可疑的访问者或活动。

活动日志由3个选项卡组成：

• UNKNOWN - 未通过身份验证的机器人或人
• REGISTERED - 已注册用户
• BLOCKED - IP地址屏蔽

如果发现可疑活动，可以点击 Actions 下方的按钮 Manage IP Traffic 来阻止可疑流量。

黑客入侵设置

如果你怀疑你的WordPress网站被黑，可以使用此页面上的工具来修复网站。

Reinstall All Free Plugins

重新安装所有免费插件，这样做会删除黑客添加的可疑代码。

Force Password Reset

强制重置密码，一旦尝试重新登录，会被要求更改密码。

Log out All Users

立即注销所有已登陆用户。

总结

SiteGround Security 做为一款免费的插件，所有功能都非常有用，设置起来也很简单，在发布后的短短几个月就达到了10万使用人数，受欢迎程度绝不输那些老牌WordPress安全插件。

它唯一美中不足的是没有像Wordfence一样的全站扫描，就这个问题我专门请教了SG的技术人员，他们的回复是：由于SiteGround主机自带WAF防火墙，所以在插件的初始版本里暂不考虑全站扫描。不过后续不排除添加的可能，因为不是每个人在使用SiteGround。

最后，如果你是SiteGround用户，推荐你也试试它的加速插件SiteGround Optimizer。