安装Wordfence插件

在WP后台 – 插件 – 安装新插件，搜索Wordfence即可安装。

安装并启用Wordfence后，点击获取Wordfence许可证。

选择免费版Wordfence

跳转到套餐选择页面后，选择免费套餐。

点击 I’m OK waiting 30 days for protection from new threats

输入你的邮箱，选择Yes，勾选用户协议后，点击Register。

安装许可证

然后你填写的邮箱会收到Wordfence的确认邮件。

打开邮箱，找到该邮件，点击Install My License Automatically。

会跳转到WP后台Wordfence页面，已经自动填充好了许可证，点击安装即可。

许可证安装完成后，点击前往仪表盘。

优化Wordfence防火墙

点击仪表盘上方的防火墙配置，如果你关闭了这个提示，可以在Wordfence的防火墙菜单里点击【管理防火墙 – 优化WORDFENCE防火墙】。

会根据你的服务器自动选择对应的配置，只需要点击继续即可。

安装成功后需要等待几分钟。

Wordfence防火墙功能

接着点击【防火墙 – 管理防火墙】，了解防火墙的一些设置。

高级防火墙选项

在Wordfence高级防火墙选项里可以填写IP白名单，这些IP用户不受其他防护规则的限制。

允许列出的服务是指让一些爬虫不受规则的限制，例如：网站被分享在社媒上点击过多导致Wordfence误判被攻击，避免禁用社媒的访问。可以理解成应用白名单。

立即屏蔽访问这些URL的IP，这个功能像是在钓鱼，如果一些恶意访问的爬虫或者攻击者访问了你设置的URL，就会直接屏蔽这些人的IP。

忽略 WordfenceWeb 应用进程防火墙警报的 IP 地址，也是白名单的一种，如果你自己网站上设置了自动程序多次爬取你的网站，Wordfence会向你发送警报，如果你把自动程序的IP填在这里，就不会引起警报。

说到IP，Well建议使用宝塔面板的朋友们要设置好禁止通过IP访问网站。

强力保护

强力保护就是防止暴力破解密码，这个功能里的设置比较好理解：

• 在登录失败次数后锁定，在密码输错到指定次数后，直接就锁定该IP地址（锁定时间根据下面的用户被锁定时长）
• 在多少忘记密码尝试后锁定，限制通过“忘记密码”找回密码的使用次数。
• 在多长时间段内的达到失败，意思是登录失败的次数在多少时间内，比如4小时内有人登录失败了20次，那他的IP就被封了。
• 用户被锁定的时长，设置IP被封多久。
• 立即锁定无效的用户名，勾选后，如果有人使用网站没有的用户名进行登录，直接封IP。这个功能要谨慎使用，因为你自己有时候也会不小心输错用户名。
• 立即屏蔽尝试以这些用户名登录的用户的 IP，也是个钓鱼功能，你可以自己创建一些用户名，如果有人用这些用户名登录，直接就封他的IP。

限速

限速功能比较简单容易理解，Well就不做过多解释了，但是要谨慎设置，如果不懂不建议开启，有可能会给一些正规爬虫给限速了，影响网站收录。

允许的网站

允许的网站功能就是设置URL白名单，在这里添加的URL，防火墙不会做限制访问。

扫描功能

扫描属于Wordfence的核心功能之一：

• Wordfence 会扫描网站的文件和数据库，查找是否存在恶意软件、病毒、后门、可疑文件等安全威胁。
• 会检查网站的插件、主题和核心 WordPress 文件，确保它们是最新的，并且没有已知的安全漏洞。
• 插件会对网站的所有文件进行比对检查，确保文件没有被篡改。

上图就是Wordfence扫描的结果，列出了具体的插件或者文件的危险等级。

还可以点击扫描页面的【扫描选项和计划】进行扫描计划设置。