网站被黑是很多站长的噩梦。尤其是个人站长,技术能力有限,服务器被入侵了往往束手无策。这篇文章说说基础的安全防护,不用花大钱也能做到位。
SQL注入。老掉牙但依然有效的攻击方式。原理是往输入框里塞SQL代码,如果网站没做过滤,攻击者就能直接操作数据库。
XSS跨站脚本。攻击者在网页里插入恶意脚本,其他用户访问时就会执行。可能用来窃取Cookie、伪造用户操作。
暴力破解。用程序自动尝试各种密码组合,直到猜对为止。WordPress后台、服务器SSH都是常见的攻击目标。
及时更新。WordPress、插件、主题,有更新就尽快装。很多攻击就是利用已知漏洞。
强密码。后台密码、数据库密码、服务器密码,都要复杂且不一样。密码管理器可以帮你生成和保存复杂密码。
限制登录尝试。安装Limit Login Attempts这类插件,连续输错密码就暂时封IP。能挡住大部分暴力破解。
定期备份。数据库和网站文件都要备份,至少每周一次。备份文件存到不同的地方,比如本地电脑、云盘、另一台服务器。
HTTPS必须上。现在SSL证书免费,没有理由不用。HTTPS能防止中间人攻击,也对SEO有帮助。
先别慌,把网站下线或者切换到维护模式,防止损害扩大。然后查日志,看攻击者从哪进来的、做了什么。清理恶意代码,不确定的话直接恢复备份。改所有密码,检查有没有新增的管理员账号。打好补丁再上线。
安全是持续的工作,不是一次设置就完事。定期检查、保持警惕,才能降低风险。