如何防止网站被攻击？平时该做些什么？

网站被攻击或者是服务器被攻击是常有的事情，尤其是使用wordpress建站的用户，本身来说wordpress免费开源安全性高，但是因为各种原因比如插进漏洞，比如版本太老没有及时更新等等缘故，很多新手建站之后不注重网站的安全性，因而被攻击导致网站数据被删除丢失，或者是网站被挂马等情况出现。

如何提高WordPress站点安全，是我们每个WordPress用户需要重视的问题。网站安全涉及服务器和WordPress源码等方面，掘金网结合自己的一些经验，好好总结了这方面的一些建议，希望能给大家一点帮助。

一、备份你的网站

在WordPress维护任务中，备份您的网站是至关重要的，它有助于提高网站的安全性。

备份是最好的方式，我们可能防不胜防各种问题各种攻击，但是我们只要手里那好了备份的数据，就不会担心害怕数据会丢失了，所以我认为备份可能是最重要的工作之一。

例如，如果网站崩溃了，您只需从备份中恢复即可。如果您不小心删除了重要信息，或者遇到了插件的兼容性问题，就可以从备份恢复。网站的确需要进行定期备份，而且最好下载到自己的电脑上。因为保存在主机空间上的备份，也可能会出现问题，比如整个服务器磁盘坏掉了，很悲剧吧！

我是如何做好备份的呢？首先服务器有磁盘的快照定期备份网站，自定快照可以帮助我们快速回滚到之前的某个状态，比如今天出现了故障，我们可以让恢复到昨天的状态，而且磁盘自动快照可以自行设置频率，我一般是设置的每天或者2天备份一次，快照容量需要收费，但几乎可以忽略不计价格非常便宜的。再每月定期备份到自己的网盘本地电脑等地方，以备不时之需。总之备份工作从建站开始就一定要做。

二、服务器安全

1、选择安全可靠的服务器

服务器这方面也是问题比较多见的，因为卖服务器的利润较高，导致了市面上有太多小的服务器商家，而且这些商家大多以价格的优势吸引用户，但是自己的安全却没有做到位，经常性的出现宕机问题，更有甚者经常网站被挂马却浑然不知。所以选择一家靠谱的主机商很重要，选择主机的要点是，尽量选择大牌的主机商，不要为了贪图小便宜而在淘宝上买那些廉价的主机，出现问题的时候大牌主机商的技术能力就显现出来了。可以考虑阿里云，目前阿里云在国内云VPS市场上几乎是霸主地位，阿里的安全系统也是非常不错的，作为阿里云的老用户阿里云的表现着实让我满意。

2、基本配置

宽带内存CPU等配置必须尽量大，不要求很高配置，但起码不能是1核1M这种，不管什么样得防护系统，肯定多多少少都会有一些遗漏的攻击，而你服务器连这些遗漏的攻击都顶不住，再好的防护系统有什么用呢？所以我们尽量提升下服务器配置。

3、要使用独立IP

优秀的网站都会去使用独立IP，而不是去使用共享IP，同IP下的网站越多，那么潜在风险就是越大的!独立IP的网站相对来说，整体的网站类型也更优秀，没多少人天天拿独立IP去做垃圾站的不是吗?所以很大的程度上，规避了“相同IP”被攻击的问题。

4、域名解析使用cdn

使用cdn服务不仅可以让你的网站加载速度更快，还能有效的防止ddos攻击等黑客攻击手段。另外开启CDN之后可以隐藏真实的服务器IP地址，避免了不少的攻击。

使用cdn后访客访问都是访问cdn节点，cdn防护机制会自动识别每个访问是否是攻击，检测到是攻击就会自动进行拦截清洗，保障隐藏在后端的网站服务器不会遭受到攻击。

5、关闭服务器不常用的端口号

我们一般需要开启服务器的的一些必要的端口号才能正常的访问和打开我们的网站，比如80端口，443端口等，有些端口没有必要的或者是临时需要使用的，我们可以关闭掉。云主机的安全组里面一般都是可以自己控制开关哪些端口的，比如22端口如果不常用的话就可以关闭掉，临时需要用的时候再去开启。

6、服务器权限设置

对于虚拟主机的用户，一般不用去操心这些，但是对于一些VPS或者云服务器的用户更需要做好这些，包括端口的设置、防火墙的设置，以及上传权限的设置，都是需要格外注意的。

如果这些程序是要执行的，那么设置权限为“纯脚本”，不要设置“写入”和“脚本资源访问”，更不要设置为：“纯脚本和可执行程序”。否则如exe类型的可执行程序，同时拥有写入权限的话，那么就很容易被人上传木马程序了!

三、程序安全

程序方面主要是注意不要去使用网络上流传的一个破解程序，很难保程序有什么后门，如果你是认真的想经营一个网站的话，就尽量不要使用这些破解的源码。目前市场上很多各式各样的网站程序都是免费的，官方的程序安全性还是可以保证的，即使有安全问题官方也能在第一时间修复好。说到博客程序的话，掘金网建议使用wordpress，WordPress 官方一直保持着及时有效的漏洞修复更新，这是众多网站平台系统很少能保持的，也是 WordPress 至今还长盛不衰的原因之一。

1、及时更新wordpress版本

一般来说，新版本的WordPress安全性都会比老版本要好一些，并且解决了已知的各种安全性问题，特别当遇到重大的版本升级时，新版本可能会解决更多的关键性问题。

2、隐藏WordPress版本

编辑你的header.php模板，将里面关于WordPress的版本信息都删除，这样黑客就无法通过查看源代码的方式得知你的WordPress版本。

3、隐藏登陆后台的地址

我们都知道WordPress网站后台登陆地址是公开和暴露的，而且没有验证码机制，所以你只有尝试各种密码就有可能破解密码的，建议隐藏登录后台地址，这个方法挺多的，比如插件比如修改代码去实现均可，这类不具体赘述。

4、保护 WordPress配置 wp-config.php文件

WordPress 配置文件 wp-config.php 包含您的 WordPress 数据库登录凭据，如果它被泄露，那么黑客就能完全访问您网站的信息。其实，您可以通过使用.htaccess 拒绝访问 wp-config 文件来添加额外的保护层。只需将以下代码添加到.htaccess 文件即可。

order allow,deny

deny from all

5、防止WordPress目录显示

WordPress会默认安装插件到/wp-content/plugins/目录下，通常情况下直接浏览这个目录会列出所有安装的插件名，这很糟糕，因为黑客可以利用已知插件的漏洞进行攻击，因此可以创建一个空的index.html文件放到这个目录下，当然，修改Apache的.htaccess文件也可以起到相同的作用。

6、保护wp-admin文件夹

一个博客的全部敏感信息都保存在 wp-admin文件夹下，而WordPress默认这个文件夹是公开的，如果别人想要获知这个博客的重要信息，完全可以通过访问这些文件来实现。一个有效的办法就是锁定wp-admin文件夹，只留有一个特定的IP能够访问这个文件夹。我们可以通过在 wp-admin文件夹内放置一个 .htaccess file文件来锁定这个文件夹，除允许的IP之外的其他IP都将无法访问这个目录，实现的方法：

建立 .htaccess文件并放置如下代码：

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "Example Access Control"

AuthType Basic order deny,allow

deny from all

allow from xx.xx.xx.xx

allow from xx.xx.xxx.xx

7、针对搜索引擎的保护

很多WordPress系统文件不需要被搜索引擎索引，因此，修改你的robots.txt文件，增加一行Disallow: /wp-*

8、文件权限不正确

文件权限是 Web 服务器使用的一组规则，这些权限可以帮助您的 Web 服务器控制对您网站上文件的访问。不正确的文件权限可以让黑客有权编写和更改这些文件。所有的 WordPress 文件都应具有 644 值作为文件权限。WordPress 网站上的所有文件夹都应具有755作为其文件权限。

9、修改数据库默认前缀 wp_

默认情况下，WordPress 使用 wp_ 作为它在数据库中创建的表的前缀，您可以选择在安装期间更改它，并且建议您使用更复杂的前缀，这将使黑客更难猜测您的数据库表名称。如果安装期间已经选择了默认的数据库表前缀 WP_，那么你可以参阅《两种方法修改 WordPress 站点数据库默认表前缀 wp_》这篇文章来修改表前缀。

10、安装安全插件

因为无时无刻基本都有人想要来攻击攻破你的网站，他们并不会考虑你的网站有没有流量有没有价值等，都是批量的不放过。一方面是透过暴力的猜密码方式来猜你的密码，只有有足够时间和算力一般都是可以的，其次他们可能寻找你网站的漏洞，主题插件的漏洞，或者404扫描企图寻找你网站的备份或者是敏感信息，然后试图窃取到比如你的站点备份数据库文件，很多把数据库备份文件放到根目录下，如果一旦被盗很容易找到你的用户名和密码，因为有海量的md5密码库可以反查到你的密码。

• WordPress Firewall 2：该插件可以帮助你识别/阻止一些有效的攻击，例如 目录扫描、SQL注入、WP文件扫描、PHP EXE扫描 等，并可将其定向到404或者首页。如果有问题还可以通过电子邮件通知你处理，还可以阻止一些IP的访问。
• Better WP Security：由于大多数的WP网站存在插件漏洞、弱口令、过时的插件/程序，隐藏这些漏洞可以更好的保护网站，例如保护登录和管理区(控制面板？仪表盘？)。
• Login Lockdown：这个插件可以记录失败的登录尝试的IP地址和时间，若是来自某一个IP地址的这种失败登录超过一定条件，那么系统将禁止这一IP地址继续尝试登录。
• Limit Login Attempts：该插件会限制登录尝试的次数来防止暴力破解，增强 WordPress 的安全系数。
• WP Security Scan：该插件会自动按照以上的安全建议对WordPress进行安全扫描，查找存在的问题，使用较为简单。

四、使用超强密码保护

密码是 WordPress 网站的关键，你需要确保为以下每个帐户使用强大的唯一密码，因为它们都可以为黑客提供对你网站的完全访问权限。

• WordPress 管理员帐户
• Web 主机控制面板帐户
• FTP 帐户
• 用于 WordPress 站点的 MySQL 数据库
• 用于 WordPress 管理员或托管帐户的电子邮件帐户

所有这些帐户都应该受密码保护，使用弱密码可以让黑客更容易使用一些基本的黑客工具破解密码。您可以通过为每个帐户使用唯一且强大的密码来轻松避免这种情况。

写在最后：

好了，总得来说做网站安全防护主要从服务器、网站程序、安全拦截系统三方面下手。做到以上说的几点，基本可以解决互联网上的999.9%的攻击。

网站安全，可能讲起来非常多，但其实落到实处只是一个个小细节，如果大家遇到网站安全方面的问题可以在下面直接留言，虽然有的问题掘金网不一定能一针见血地解决，但掘金网愿意尽自己的所知帮你。

历史上的今天:

• 2024:  个人IP运营的三大误区(0)
• 2023:  不找对象的年轻人，全去找搭子了(0)