做独立博客第九年。

今天不聊虚的。

聊聊怎么让网站活着。

很多新手朋友。

刚建好站挺高兴。

没过三天就挂了。

后台进不去。

数据全没了。

这时候才想起来。

建设网站的安全性。

这玩意儿真重要。

我当年也踩过坑。

为了省事。

用了最简单的主题。

连密码都设成123456。

结果呢?

被挂马了。

页面全是广告。

百度直接降权。

那种绝望感。

谁懂啊?

所以今天掏心窝子说几句。

第一,密码别偷懒。

别用生日。

别用手机号。

别用admin。

找个密码生成器。

搞个乱码。

比如:K#9mL$p2!

虽然记不住。

但安全啊。

实在记不住。

就用密码管理器。

OnePassword不错。

或者Keepass。

把密码存好。

比写纸上强。

第二,后台地址改改。

默认都是wp-admin。

或者admin.php。

黑客扫库。

首选就是这些。

你改个名字。

比如:my-secret-login。

虽然防不住高级黑客。

但能挡掉90%的脚本小子。

这就够了。

别贪心。

能挡一个是一个。

第三,备份!备份!备份!

重要的事情说三遍。

很多兄弟。

觉得备份麻烦。

懒得弄。

结果数据丢了。

哭都来不及。

现在有很多插件。

比如UpdraftPlus。

设置好频率。

每周自动备份。

存到云端。

比如阿里云OSS。

或者亚马逊S3。

别存在本地服务器。

万一服务器炸了。

备份也没了。

这就叫建设网站的安全性。

核心就是备份。

有了备份。

天塌下来。

也能复原。

第四,更新别拖延。

插件、主题、核心。

看到更新提示。

别无视。

特别是安全更新。

那是救命稻草。

有些老插件。

早就停止维护了。

留着就是隐患。

能换就换。

不能换就删。

别为了一个功能。

拿整个站冒险。

不值得。

第五,开启HTTPS。

现在浏览器。

不显示锁标志。

用户不敢输密码。

而且百度也偏好HTTPS。

免费证书很多。

Let's Encrypt。

自动续期。

配置一下就行。

别嫌麻烦。

这一步。

能提升信任度。

还能防中间人攻击。

简单又有效。

最后说点心态。

别追求绝对安全。

那是扯淡。

黑客技术也在进步。

我们能做的。

是提高门槛。

让黑客觉得。

攻你站太累。

换个目标吧。

这就赢了。

别听那些专家。

说要用什么军工级防护。

咱们小站。

用不起。

也没必要。

把基础做好。

就能活得很滋润。

我现在的站。

虽然也有小毛病。

但整体很稳。

因为我知道。

哪里容易漏风。

哪里该补泥。

建设网站的安全性。

不是一劳永逸。

是日常习惯。

每天花五分钟。

看看日志。

查查异常。

比出事了再修。

强一万倍。

希望这些经验。

能帮到你。

少走点弯路。

毕竟。

做站是长跑。

不是百米冲刺。

稳住。

才能赢到最后。

共勉。