[WordPress] 外掛分享: SAR One Click Security

WordPress 外掛 SAR One Click Security 的封面圖片。

前言介紹

  • 這款 WordPress 外掛「SAR One Click Security」是 2014-08-13 上架。
  • 目前有 300 個安裝啟用數。
  • 上一次更新是 2025-03-03,距離現在已有 61 天。
  • 外掛最低要求 WordPress 3.9.2 以上版本才可以安裝。
  • 有 7 人給過評分。
  • 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。

外掛協作開發者

samuelaguilera |

外掛標籤

firewall | htaccess | security | hardening | protection |

內容簡介

有很多 WordPress 安全性外掛,有很多選項和頁面可以設置,如果您知道該怎麼做就好了。
但大多時候,您並不需要太多選項,或者您只是不確定應該設置什麼。

這個外掛只需點擊一下就可以為您的 WordPress 添加一些額外的安全性,沒有選項頁面,只需啟用它!

功能

像許多其他安全性外掛一樣,SAR One Click Security 添加一些眾所周知的 .htaccess 規則,但僅添加已證明在幾乎任何類型的站點(包括 WooCommerce 商店)中使用安全的規則來保護您的 WordPress 免受常見攻擊。這使您可以擁有一個更安全的 WordPress,而不用擔心應該使用哪種保護方式。

關閉 ServerSignature 指令,避免洩露有關您的 Web 伺服器的信息。
關閉目錄列表,避免糟糕的配置主機洩露您的文件。
封鎖公眾訪問(從 Web)以下可能會洩露關於您的 WordPress 安裝的信息的文件:.htaccess、license.txt、readme.html、wp-config.php、wp-config-sample.php、install.php
封鎖對 wp-login.php 的訪問,以防止嘗試在 WordPress 網站上註冊的虛擬機器人。
封鎖尋找 timthumb.php 的請求,減少由嘗試尋找它的機器人引起的服務器負載。(*)
封鎖 TRACE 和 TRACK 請求方法,防止 XST 攻擊。
封鎖對 wp-comments-post.php 的直接發布(大多數垃圾郵件會這樣做)和沒有 User Agent 的訪問,大大減少了垃圾評論和服務器負載。
封鎖 wp-content 目錄中 PHP 文件的直接訪問(這包括插件或主題等子目錄)。保護您免受大量 0day 漏洞的影響。
封鎖對 wp-login.php 的直接 POST 和沒有 User Agent 的訪問,防止大多數暴力攻擊,減少服務器負載。
封鎖對任何插件/主題目錄下的 .txt 文件的訪問,以防止掃描安裝的插件/主題。
封鎖任何試圖複製 wp-config.php 文件的查詢字符串。
封鎖 gf_page=upload 查詢字符串參數,這在 2015 年 5 月的 Gravity Forms 中已被廢棄,如果您的 Gravity Forms 副本仍在使用它,請立即更新!
從頁面標頭中刪除版本信息。這不僅包括頁面標頭(html 或 xhtml),還包括餵養標頭(rss、rss2、atom、rdf)和 opml 評論。僅刪除版本號,而不是整個生成器信息。

(*)如果您的主題使用 TimThumb,您可以在安裝插件之前查看 FAQ 以禁用該封鎖規則。

需求

WordPress 3.9.2 或更高版本(與 WordPress 網絡/多站點安裝兼容)。
Apache 2.4.x Web 伺服器

它已在許多服務器上進行過測試,包括像 HostGator、Godaddy 和 1&1 這樣的大型提供商,取得了最佳結果,在任何像樣的託管服務(允許您從.htaccess 文件中設置選項)中都可以正常工作。

不過,如果您啟用插件後出現任何問題,請查看 FAQ 以瞭解如何手動卸載它的說明。

如果您不確定您的主機公司使用哪個服務器或者他們是否允許使用自定義的 .htaccess 規則,我建議您在安裝插件之前先聯繫主機支持。

使用方法

要應用上述安全規則,只需安裝並啟用插件,沒有選項頁,也無需用戶設置!

如果您需要出於某種原因刪除安全規則,只需停用插件即可。如果您想再次添加它們,只需再次啟用插件,這麼簡單😉

還有,如果您的主題使用 TimThumb,請在安裝插件之前查看 FAQ。

原文外掛簡介

There’s a lot of WordPress security plugins with many many options and pages to setup. And that is fine if you know what to do.
But most of the times, you don’t need so much or simply you’re not sure about what to set or not.
This plugin adds some extra security to your WordPress with only one click. No options page, just activate it!
Features
Like many other security plugins SAR One Click Security adds well known .htaccess rules, but only the ones probed to be safe to use in almost any type of site (including WooCommerce stores), to protect your WordPress from common attacks. This allows you to have a safer WordPress without worries about what protection you should be using.

Turn off ServerSignature directive, that may leak information about your web server.
Turn off directory listing, avoiding bad configured hostings to leak your files.
Blocks public access (from web) to following files that may leak information about your WordPress install: .htaccess, license.txt, readme.html, wp-config.php, wp-config-sample.php, install.php
Blocks access to wp-login.php to dummy bots trying to register in WordPress sites that have registration disabled.
Blocks requests looking for timthumb.php, reducing server load caused by bots trying to find it. (*)
Blocks TRACE and TRACK request methods, preventing XST attacks.
Blocks direct posting to wp-comments-post.php (most spammers do this) and access with blank User Agent, reducing spam comments a lot and also server load.
Blocks direct access to PHP files in wp-content directory (this includes subdirectories like plugins or themes). Protecting you from a huge number of 0day exploits.
Blocks direct POST to wp-login.php and access with blank User Agent, preventing most brute-force attacks and reducing server load.
Blocks access to .txt files under any plugin/theme directory to prevent scans for installed plugins/themes.
Blocks any query string trying to get a copy of the wp-config.php file.
Blocks gf_page=upload query string argument, this was deprecated in Gravity Forms on May 2015, if your copy of Gravity Forms still uses it, update now!
Removes version information from page headers. This includes not only the page header (html or xhtml) but also feed headers (rss, rss2, atom, rdf) and opml comments. Only the version number is removed, not the entire generator information.

(*) If your theme uses TimThumb, you can disable that blocking rule, check FAQ before installing the plugin to see how.
Requirements

WordPress 3.9.2 or higher. (Works with WordPress network/multisite installation).
Apache 2.4.x web server

It has been tested in many servers including large providers like HostGator, Godaddy and 1&1 with optimal results, and it will work fine in any decent hosting service (that allows you to set options from .htaccess files).
Anyway, if you get any problem after activating the plugin, check FAQ for instructions on how to manually uninstall it.
If you’re not sure of which server is your hosting company using or if they allow to use custom .htaccess rules, I would recommend you to contact with your host support before installing the plugin.
Usage
To apply above mentioned security rules simply install and activate the plugin, no options page, no user setup!
If you need to remove the security rules for some reason, simply deactivate the plugin. If you want to add them again, activate the plugin again, that easy 😉
And remember, if your theme uses TimThumb, check FAQ before installing the plugin.

各版本下載點

  • 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
  • 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「SAR One Click Security」來進行安裝。

(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。

1.0 | 1.1 | 1.2 | 1.3 | 1.0.1 | 1.0.6 | 1.1.7 | 1.2.1 | 1.2.2 | trunk |

延伸相關外掛(你可能也想知道)

文章
Filter
Apply Filters
Close
Mastodon