Nintechnet 是一款非常出色的Wordpress网站安全防护插件,从某种意义上来说,它的安全防护能力可以媲美wordfence这款安全防护插件。
Nintechnet 主要侧重于4大方面的安全防护和功能优化,分别是:网站主体安全威胁防护、安全隐患因素过滤、强大的防火墙策略和安全规则、避免占用网站资源提升网站速度!那么今年我们就来详细实操了解一下 Nintechnet 这款插件的相关功能和操作。
一、 Nintechnet简介
Nintechnet 防火墙插件一共有2个版本,一共是免费的,一共是付费的,我们今天要讲的是付费版的操作!下面我简单的罗列一下免费版本和付费版本之前的区别:
1.Unix共享内存用于进程间通信:这个特性要求PHP是用–enable shmoo参数编译的。如果您的服务器不兼容(例如基本共享主机帐户),您仍然可以像往常一样安装和运行Nintechnet防火墙
2.响应正文过滤器(Web过滤器)可在将HTML页面的输出发送到访问者浏览器之前对其进行扫描
3.IP地址和AS号访问控制
4.限速选项
5.基于国家的访问控制(地理位置)
6.URL访问控制
7.用户输入访问控制
8.机器人访问控制
9.集中式日志记录,一次安装即可远程访问所有受Nintechnet保护的网站的防火墙日志
10.Syslog日志记录(与Fail2Ban兼容)
11.反垃圾邮件评论和用户注册表格
以上这11项功能,是免费版本所不具备的,只能在付费版本中进行使用。至于正版收费的价格,单一域名网站每年收费49美金,如果是2-5个域名使用,那么每个网站每年收39美金。同理,使用的网站数量越多,价格也越便宜,最便宜的版本是29美金每年,网站使用数量是100+起步!
二、Nintechnet 的安装和使用
如上图所示,按照图中的操作顺序步骤进行插件的安装,因为本次操作Jack老师使用的是网上找的付费破解版本,所以就没有选择从wordpress官网的插件市场上进行安装。考虑到这种破解版本难免会存在一定的功能限制,所以在下面的实操过程中,如果有版本功能限制因素导致无法正常讲解的内容区块,请同学们忽略!
Nintechnet 插件一共提供了11个菜单功能选项,我们逐个来看这些菜单功能,
1.Dashboard(仪表盘)
这个功能没什么特别好讲的,因为破解版安装之后,对应的验证令牌对应不上,所以就报错提醒了。
在“Statistics”中,是当前这个月所统计的阻止的安全威胁和遭受的安全威胁等级。
“License”就是付费版本的令牌验证的地方,当你购买正版的 Nintechnet 之后就会获得一个验证令牌,然后在License中输入该验证令牌即可激活付费版本的功能。
“About”指的就是该插件的相关版本和信息,没什么好讲的,略过。
Firewall protection(防火墙保护功能):开启
Debugging mode(调试模式):禁用
Use shared memory(使用共享内存):禁用
HTTP error code to return(HTTP错误代码返回):页面错误返回代码,一般用403,也可以设置成404,406,500等报错代码
IP anonymization(IP匿名):禁用
Blocked user message(屏蔽用户所看到的页面信息):可以自己设置,有可以用插件默认的提示信息。
Firewall configuration(防火墙配置):这里强调的是防火墙配置规则的导入和导出功能(让你节省时间,一个网站设置好之后可以在其他网站上启用相同规则而不用重新配置规则)
Miscellaneous(其他杂项):自定义设置仪表盘小部件上显示的安全消息数量
3.Fire Policies(防火墙政策)
防火墙政策分为三个等级,分别是:Basic Policies、Intermediate Policies、Advanced Policies,一般的同学建议之要操作Basic Policies就可以了,有相关知识储备和技术基础的同学可以尝试操作后面两个等级的功能设置。下面我们来看具体的操作(因为截图所实在太麻烦了,同学们还是自己去看图操作,我这里就只用文字描述了)
HTTP / HTTPS:这里指的是Nintechnet安全管控的流量来源,建议http和https一起选择。
Uploads:这里指的是收费允许将本地文件上传到网站上,我们选择第三个,允许上传但是阻止有危险的文件。
WordPress文件访问权限:这里分为11个小点,我们分开来讲
首先是php文件的访问权限:建议勾选前面三个,因为css、js、images都会影响到网站的正常运行,所以建议阻止范围,当然这些设置你也可以在robors.txt文件中进行设置。至于第四个cache缓存,放开访问权限是没有太大关系的!
其次是wordpress的一般选项权限(General):建议勾选1,3,4这三项功能,第2项“阻止用户帐户创建”不建议勾选,特别是你要做会员注册网站或者2C的在线购物网站.
第三小点是WordPress的AJAX:作用是保护机器人访问,一般建议勾选该功能。
第四小点是防护用户名枚举侵入:全部勾选就是了,枚举类似于暴力破解,通过不断尝试信息配对来攻破你的网络防火墙。
第五小点是WordPress REST API:这个可以不勾选,因为在具体操作wordpress网站的过程中,很多时候可能会用到API。
第六小点是WordPress XML-RPC API:勾选前两个即可,最后的pingback可以不勾选。
剩下的第7到第11项功能,除了第8点中(Force HTTPS for admin and logins)可设置为yes或者设置为No,其他的几个选项都建议设置为No
上述的这些要点都配置完成之后,最重要的一点是千万不要忘记点击下面的“Save Firewall Policies”按钮,也就是保存上述的相关配置。至于后面的中间策略和进阶策略解释起来太繁琐了,有兴趣的同学自己去研究吧,Jack老师就不再这里多说废话了!
4.Access Control(访问控制)
访问控制总共有6个大项目,分别是:一般控制、地理位置、IP地址、网址、机器人和用户输入。我们也来逐个进行查看相关功能射设置
General
Role-based Access Control(基于角色的访问控制):这里指的是不要阻止不同角色的用户访问权限,建议除了第一个网站管理员勾选之外,其他几个都不要勾选。等于是网站管理员的所有操作都不会受到限制,其他的网站角色是需要受到网站访问规则限制的。
Source IP(检索访问者IP):选择第一个就可以了,下面的Scan traffic coming from localhost and private IP address spaces选项选择yse即可。
HTTP Methods:全部勾选即可。
Geolocation Access Control(地理位置管控)
默认情况下为关闭,如果你要对某一国家或者地区进行管控,那么打开该设置,然后在出现的国家和地区列表中选择对应的项目进行勾选即可。
Ip address
这里的功能是ip访问控制,比方说你想对某一特定ip或者某个国家的ip进行屏蔽。那么将对应的ip或者ip段写入到第二个框中的黑名单中即可。如果是你想屏蔽印度地区,但是印度地区的某个客户你想让他有访问的权限,那么将该可以的ip添加到第一个框中的白名单中即可!
URL address
这里指的是你网站上的某些页面,你不想让别人看到。那么你可以将该页面的url也就是页面的访问路径添加到第二个框中的黑名单中即可。如果你想屏蔽某个类目,比方说产品下面的某个子产品大类,但是该产品大类下面有一个小产品小类你又想让访客看到。那么你首先要在第二个框中的黑名单中输入产品大类的URL访问路径,然后在第一个框中的白名单中输入该产品小类的URL访问路径。
Bot
这里指的是屏蔽访问机器人的访问行为。 Nintechnet 已经在它的拒绝名单中写入了一些较为知名的访问机器人,如果你需要屏蔽某些特定的机器人访问,那么在名单中进行添加即可!
User input
这里指的是管控用户的某些输入访问路径,特别是一些试图访问你后台的输入内容,容易存在被撞库或者破解的风险。那么你只需要在第二个框中输入你需要禁止用户访问的内容即可。
5.Monitoring(监控方式)
监控方式分为三大部分内容,分别是:文件检查、文件卫士和网页过滤器
File check(文件检查):
通过文件检查,你可以根据请求或在特定的时间间隔执行文件完整性监视。上面有2个内容项目需要填写,不过 Nintechnet 已经为我们自动填写了相关文件夹名称,一般就是自己网站的根目录。所以同学们不需要自己再去手动配置,点击下面的“create snapshot”按钮即可。
File Guard(文件卫士):
首先我们需要将该功能开启也就是设置成“Enabled”状态。然后设置成实时监控时间为多少小时。如果在这段时间内,你的网站文件被改动了(不管是自己的主动变更还是其他的恶意篡改都会进行报警!)如果有些文件夹,比方说你的图片文件,因为你可能经常要修改或者替换,那么将该文件夹名称/images/添加到第二行中即可!
Web Filter(网页过滤器):这个功能我不是很明白他的功用,所以这里就暂时不写了,以免误导大家!
6.Anti-Malware
这个功能在早期的 Nintechnet 插件中是存在的,但是现在已经没有了。要想使用该功能,需要先安装NinjaScanner插件。考虑到相关操作太繁琐,这里就不进行实操说明了。
7.Event Notifications(活动通知)
首先,是仪表盘管理通知:单一小站点建议只要勾选”管理员登录”通知即可(也就是系统的默认选项),如果是大网站,有多个后台管理人员建议选择第二项。不建议选择第三个选项。
其次,是插件的变动通知:分别是上传、安装、激活、更新、停用和删除六个变动选项,如果你不嫌麻烦的话,那么6个选项都勾选吧!
然后,是主题变动的通知:分别是上传、安装、激活、删除4个变动选项。操作和上面的插件变动通知一样!
第四个是wordpress的变动通知:一般是版本更新,这个建议勾选。有时候wordpress自动更新到全新版本之后,相关插件可能还没有更新,可能会存在前端页面展示出错或者功能不能正常使用。有了这个wordpress变动通知,能够及时的了解到变动情况,然后去查看前端是否存在相关问题。
第五个是管理员账号变动通知:这个一定要勾选,如果有人变更或者删除了你的管理员账号,那问题就非常大了。
第六个是每日报告:系统默认的设置是每天都发送,如果你觉得太啰嗦了,可以选择关闭该信息推送
第七个是日志记录:这个建议开启,以免网站出问题的时候不知道具体是什么地方出现了问题,有着溯本逐源的功效!
第八个是PHP回溯:这个选项有4个层级选择,一般我们选择中等层级即可。
第九个是联系邮件地址:添加或者修改Nintechnet插件的报告发送邮箱,默认情况下是你的网站联系邮箱,当然你可以变更到你自己需要的邮箱账号上。
8.Login Protection(登录保护)
默认情况下他是关闭的,所以我们需要去打开这项功能。
Type of protection(防护类型):建议选择第二项—Captcha image(验证码图片),因为第一项的
When to enable the protection(何时启用保护):有两个选项始终启用和收到攻击的时候启用。为了安全起见,选择第一项始终启用暴力攻击保护吧。如果你选择的是第二项,那么需要去设置多长时间段内遭受多少次攻击才算是暴力攻击的数据配置。选择第一项是不需要配置的。
Various options(多种选择):为了方便和安全起见,4个项目同学们都可以进行勾选,也不用额外进行相关数据的配置了!
9.Antispam(反垃圾邮件)
这个功能只有2个简单的选项,一个是防护等级,还有一个是将保护应用于什么项目
第一个防护等级:一般选择低等级就够了,大型网站可以选择高等级
第二个将保护应用于什么项目:你可以选择表格格式或者用户注册表,或者两个项目都勾选。
10.Log(网站日志)
这个功能和网站的主机日志有重复的地方,一般情况下像Jack使用siteground主机的话,主机后台本身就自带了网站日志的功能,所以我习惯去主机端看具体的网站日志内容,所以这个插件的网站日志功能我就不在这里废话了。
11.Security Rules
这里的安全规则来自于 Nintechnet 官方自定义的相关网站安全规则。你可以不定期的进行规则更新。在规则编辑器(Rules Editor)中,你可以选择Nintechnet提供的相关规则,也可以选择它提供的某一项规则中,然后对该条安全规则进行再次编辑,以符合自己的网站安全规则配置!(因为这部分内容涉及到较为深入的专业性知识,加上Jack老师对这方面研究不够深入,所以就不再这里误人子弟了,见谅!)