昨天又有人咨詢說(shuō)自己的網(wǎng)站老是被惡意掛馬，問(wèn)我們能不能給他做個(gè)安全性高到完全不能被攻擊的網(wǎng)站，我直接回答他說(shuō)，不能，絕不可能！然后他慨然離去，其實(shí)我想說(shuō)，他問(wèn)的這個(gè)問(wèn)題就像在問(wèn)我能不能推薦一把賊都打不開(kāi)的鎖一樣無(wú)聊，你覺(jué)得這樣的鎖可能有嗎？更何況黑客可比小偷狡猾多了。

畢竟想要防止網(wǎng)站受攻，可不能僅僅把解決辦法寄托在做一個(gè)安全性高的網(wǎng)站上面，這可是遠(yuǎn)遠(yuǎn)不夠的，想真正防掛馬，得把自己變成“刺猬”——讓黑客無(wú)從下嘴。

1. 給網(wǎng)站穿“防彈衣”

定期打補(bǔ)?。?/p>

程序（比如WordPress）、插件、主題，只要提示更新，立刻升級(jí)！

→ 就像手機(jī)系統(tǒng)更新，很多補(bǔ)丁專門(mén)堵黑客愛(ài)鉆的漏洞。

刪掉沒(méi)用的東西：

不用的舊插件、測(cè)試頁(yè)面、閑置后臺(tái)賬號(hào)，統(tǒng)統(tǒng)清理！

→ 少留一扇窗，黑客就少個(gè)入口。

2. 鎖死“保險(xiǎn)柜”

文件權(quán)限別亂開(kāi)：

服務(wù)器上文件夾權(quán)限設(shè)置成755，文件設(shè)置成644，數(shù)據(jù)庫(kù)賬號(hào)別用root！

→ 相當(dāng)于把貴重物品鎖進(jìn)保險(xiǎn)箱，鑰匙只給自己人。

密碼要“變態(tài)級(jí)”復(fù)雜：

“admin123”這種密碼等于喊黑客來(lái)喝茶，改用“3gT!9@Km#Lp”這類亂碼，定期換！

→ 你家大門(mén)鑰匙要是長(zhǎng)成二維碼，賊都懶得研究。

3. 裝“360度監(jiān)控”

防火墻必備：

裝個(gè)寶塔面板的Nginx防火墻，或者Wordfence插件，自動(dòng)攔截可疑訪問(wèn)。

→ 相當(dāng)于在門(mén)口裝人臉識(shí)別，看到蒙面人就報(bào)警。

每天看日志：

檢查服務(wù)器日志里有沒(méi)有“/wp-admin.phpˋcmd=xxx”這種奇怪請(qǐng)求，發(fā)現(xiàn)異常立刻封IP！

→ 就像查監(jiān)控發(fā)現(xiàn)有人趴你窗戶，馬上喊保安。

4. 藏好“后門(mén)鑰匙”

別用默認(rèn)路徑：

后臺(tái)登錄地址別用默認(rèn)的“/wp-admin”，改成“/mysecretdoor”，數(shù)據(jù)庫(kù)表前綴別用wp_！

→ 黑客連你家門(mén)牌號(hào)都找不到，還撬什么鎖？

關(guān)掉危險(xiǎn)功能：

禁用PHP的exec、shell_exec函數(shù)，不讓黑客用你的服務(wù)器挖礦！

→ 相當(dāng)于把家里菜刀鎖起來(lái)，防止賊拿來(lái)拆門(mén)。

5. 留條“逃生通道”

每天自動(dòng)備份：

用寶塔面板或插件設(shè)置全站自動(dòng)備份到網(wǎng)盤(pán)，就算被黑也能一鍵還原。

→ 就像定期給房子拍照，炸了都能按原樣重建。

定期“體檢”：

用在線工具（如Sucuri SiteCheck）掃描網(wǎng)站，查有沒(méi)有暗藏木馬。

→ 每年體檢一次，癌癥早期就能發(fā)現(xiàn)。

終極心法：

防掛馬不是裝個(gè)插件就完事，得像養(yǎng)孩子一樣天天盯著！

（懶人建議：直接買(mǎi)阿里云/騰訊云的「網(wǎng)站安全防護(hù)」，相當(dāng)于雇個(gè)保鏢替你操心）

附贈(zèng)口訣：

更新勤快少漏洞，權(quán)限鎖死別放松，

監(jiān)控日志天天看，備份就像買(mǎi)保險(xiǎn)！

最后我想說(shuō)，總有人整天嚷嚷著說(shuō)后期維護(hù)費(fèi)用人家每年才收二三百，為啥你們就收那么多之類的話，對(duì)于這個(gè)問(wèn)題，我只能說(shuō)，你得看看他們收二三百都干了什么，如果是僅僅續(xù)個(gè)主機(jī)和域名的費(fèi)用，那么你的網(wǎng)站老是頻繁受攻也是情理之中的事情，怪不得人家網(wǎng)絡(luò)公司分毫，畢竟你就根本沒(méi)有給人家交網(wǎng)站安全維護(hù)的費(fèi)用么，你說(shuō)對(duì)吧？