网站安全的问题再怎么强调似乎都是不为过的,之前也遇到过不少的案例,因为网站被黑,数据丢失的情况,所以千万不要数据丢失了再来后悔莫及,我的网站也已经安全运营数年了,积累了不少的关于网站安全运维的一些经验和技巧分享。
1、使用复杂密码构造
不管是WordPress网站后台的密码,服务器的root密码,还是宝塔等,只要是密码就一定要是复杂,最好复杂到自己都记不住的程度。
2、WordPress后台用户名不要用admin等常用用户名
很多用户喜欢用admin作为用户名,这个比较危险,也很容易被攻破,所以不要用这些简单的用户名。
3、因此WordPress网站的后台登陆地址。https://www.aliyun.com
我们WordPress的默认地址一般是/wp-admin/,比如比人知道了你的用户名和登录地址,其实就可以通过枚举猜密码等方式来暴力破解登陆你的网站后台,理论上只有猜密码运算速度够快,那么就一定能破解,所以仅仅是设置复杂密码也并不能解决问题,我们这个时候可以考虑因此WordPress后台的登陆地址。这个一般可以通过代码或者插件实现。
4、为你的WordPress网站安装安全插件
wordpress的安全插件有几个比较强大易用的,所以个人推荐最好是安装一个能够拦截到很多的恶意攻击的。
5、定期部分网站
这个是最为靠谱的手段之一了,我们很多时候对于比人的攻击是防不胜防的,那么久退而求其次,不用去防,只需要做好备份工作,即使被黑,可以快速的恢复网站的运行,我们备份要记得备份网站源码和数据库2部分。并且不定期检查和测试备份数据,看看是否能正常的恢复。
6、定期做服务器磁盘快照
这个简直太好用了,而且可以说是最为厉害的杀手锏,对于用过的,懂得人自然懂,磁盘快照的强大远远超过我们的想象。磁盘快照简单说就是在某个时刻做了个拍照,出现故障了,可以快速的恢复到当前备份的那个时刻时候的样子。
7、不要把网站和数据库备份文件放在根目录下
我们很多人喜欢备份网站和数据库放到网站根目录下,尤其是一些虚拟主机自带的备份工具或者插件,备份文件和数据库文件名还很固定,比如backup.zip,wwwroot.zip,wangzhi.zip等等,这种操作非常的危险。别人很容易下载你的备份文件,然后恢复数据库获取你的用户名的。
8、使用CDN以及WAF安全防护产品
这个主要是企业用户,预算比较高的可以去考虑购买一些安全产品付费产品一般这类产品价格都不便宜,个人用户难以承受。
9、开启宝塔面板的免费防火墙
宝塔面板后台有免费和付费的防火墙,可以自行去开启或者关闭,能够拦截大部分的危险的恶意的请求。
10、网站后台启用登录验证码
防止暴力破解密码的最好方式就是使用验证码。这个一般是通过插件或者代码即可实现。
