提高WordPress安全性的必要

从来都没有考虑过,我的这个小博客,也会有人攻击。虽然对专业人士来说,要给我这个Wordpress网站以致命的打击,只是轻而易举几分钟的事情。可是目的和动机呢?想来想去,总是没有的。但是,预料之外的,我还是遭到了建站快三年来的第一次被攻击。在这次攻击面前,我完全是个文盲般的素手无策,毫无办法。最终,服务器所有文件被感染,全部无效;空间商给我换了IP后,重新上传文件,WordPress主题插件安装等重新开始。整个过程,不幸中的万幸有两个,一是数据库文件安然无恙(当然我也是有定时备份的);二是平常服务器文件的修改都是先在本地电脑测试后再上传到主机,因此插件和修改过的主题文件在我的电脑上都有备份。

所有,这个基本从零开始的搬家,倒也顺利。不过在整个被攻击的过程中,我的博客,充其量就是一只小白鼠,任人宰割。先说说这次被攻击的过程吧。博客在二月份,莫名的第一次因跑完8G流量而停摆两天,很是让我惊讶;仔细查看后台数据后,发现在2月13号凌晨有过一段可疑的流量消耗高峰,达到每秒4兆多。随后的日子,服务器的文件大小一直在自动增加,直到超过我的最大允许值。这些现象,都让我怀疑遇上了麻烦。不过网站除去两天因流量不够无法访问外,一切倒也正常。何况我一不知道原因二也是忙着毕业论文,所以决定先放放。这么冒险运行大半个月后,终于在7号晚上发表天猫Nutrilon官方旗舰店诺优能是真是假后,于北京时间8号早上9点后彻底瘫痪。

接空间服务商的通知,确认受到不明来源的恶意攻击,空间关停一天处理病毒。随后更换地址,于是有了开头的重新安装一条龙的步骤。malicious,adj. 恶意的,有敌意的; 蓄意的; 预谋的; 存心不良的;这对我来说,居然是一个新词啊,哈哈。

在整个被攻击的过程中,WP程序抗攻击方面的安全性,很是值得怀疑啊。当然,也是我无能,除了在用户密码上会多加小心外,连以提供安全性为目的的程序升级都不积极,更何况其他一些提高安全性的技巧了。如何提供Wordpress程序的安全性,请参考:

月光博客:十大WordPress安全设置技巧:升级WordPress到最新版本,隐藏WordPress版本,更改WordPress用户名,更改WordPress用户密码,防止WordPress目录显示,保护wp-admin文件夹,WordPress数据库安全,安装Wordpress Security Scan插件。

WordPress非官方中文站:加强WordPress安全的8条技巧:做好备份,保持更新,更健壮的密码,经常检查你的网站,禁止显示目录索引,不要使用FTP,修改wp-config.php 文件位置,小心下载的插件/主题。

综合的来说,除了一些基本的安全设置外,提供WP安全性的关键,是隐藏和保护wp-admin文件夹,WordPress目录,wp-config.php 文件位置等。而对于小白的我来说,最方便简单的方法,就是备份,程序文件备份和数据库文件备份。当然,备份是最傻瓜的方法,努力的提高抗打击能力,才是防范于未来。

最后,猜猜是什么样的虫子出于什么样的目的而攻击我的博客呢?这个,肯定是查不出来,所以只能猜,我姑且猜是某人在练技术吧。要是出于其他目的的话,那么不久的未来,也行访客就能再次见到本博客“Account Suspended”。



More from My Site

  • 2012年10月24日 新手wordpress建站必备八大部(下)-Wordpress篇 (13)
    整理这个系列的出发点,在上篇之新手wordpress建站必备八大部-域名主机篇已经介绍过:身边很多对网站一无所知却又充满向往的朋友们经常问起。整理的内容也是大多来自来往邮件等。 […]
  • 2012年10月19日 新手wordpress建站必备八大步(上)-域名主机篇 (7)
    转眼间,博士牌民工这个博客,已经在互联网里骄傲的生长了2年。两年里,这个独立博客花去了我很多的时间,却也带给了我很多的快乐。比如带来很多志同道合的朋友,培养了我认真思考的习惯。今 […]
  • 2013年1月22日 WordPress主题折腾史,简洁复杂再简洁 (27)
    两年前,当我开始独立博客并接触wordpress时,和大多数人一样,既被WP的强大功能所吸引,又被WP那万万千千的主题所烦恼。千选万选,左改右改,却还是那么容易喜新厌旧。估计每个 […]
  • 2013年7月7日 WordPress主题,最简单的才是最实用的 (37)
    每一个使用Wordpress建立博客的主子,都会有一段主动的或者被动的折腾史。眼瞧着,我的独立博客“博士牌民工”就这么风雨飘摇了将近三年。我不懂网站建设,也不懂各种代码,所以能折 […]
  • 2013年2月16日 WordPress主题,极简洁并不是最好 (32)
    大概两个月前,我把博客从CMS主题更改到极简的Simple Publication主题(见WordPress主题折腾史,简洁复杂再简洁)。Simple […]
此条目发表在未分类, 科技分类目录,贴了, , 标签。将固定链接加入收藏夹。

23 则回应给 提高WordPress安全性的必要

  1. francis说:

    我就觉的奇怪呢,上次还以为你忘记续费了,原来是遭受攻击了啊~

    [回复]

    土木坛子 回复:

    没有被黑过的博主不是好博主。我觉得民工的问题可能在于程序没有更新,插件和主题使用有问题,或者就调用了过多的第三方资源,遭受到了攻击?
    理论上来说,WP的安全性肯定不是一般小黑们能黑得了的,一般小黑们只能说是把你的流量暴力式耗光。

    [回复]

    民工 回复:

    我在写了那个关于更新的博文后就更新过了的。插件最近是没有更改过的,图片只是调用google相册的外链。可以肯定的是恶意攻击。服务器安全,有很多技巧需要慢慢学习的,这个跟WP无关。

    [回复]

    民工 回复:

    在忙也不会忘记续费的,有提醒嘛。是比较倒霉被哪位无聊人士盯上了。

    [回复]

  2. chojemmy说:

    原来是遭受攻击了。这只是病毒感染还是单纯跑你流量跑完了?

    [回复]

    民工 回复:

    被恶意病毒攻击,不是因为流量问题。

    [回复]

  3. dapeng说:

    人在江湖漂,哪能不挨刀。主机账号到期续费那条提示信息,是空间商发的还是黑客发的?

    [回复]

    民工 回复:

    是被黑客攻击后,主机商把空间关闭的。

    [回复]

  4. 极简是消毒的办法之一

    [回复]

    民工 回复:

    不敢认同这个观点。

    [回复]

  5. 长河说:

    竟然还能有这样的事情发生,不是说WP的安全性很好的么,囧,看来以后要经常备份了

    [回复]

    民工 回复:

    必须得经常备份的,我有安排定时备份到邮箱的。

    [回复]

  6. Louis Han说:

    malicious 以后会变成非常熟悉的词了

    [回复]

    民工 回复:

    哈哈,至少我是认识它了。

    [回复]

  7. wp的安全性还是蛮高的,一般练手的小黑阔顶多就是用ddos,耗完你的流量或者cpu,更值得在意的是跟你同服务器的网站是否安全

    [回复]

    民工 回复:

    那估计是被谁盯上或者别的谁被攻击而连带上我了。希望你说的是正确的,WP安全性好我才更放心。

    [回复]

  8. dapeng说:

    昨天又上不了你的博客,莫非又遭攻击了?

    [回复]

    民工 回复:

    流量跑光了,不够用。有不知名的蜘蛛爬掉了狠多。

    [回复]

  9. saintsky说:

    垃圾评论太多了,一天几千条,流量上个月也跑完了一次,靠,10G啊

    [回复]

    民工 回复:

    那你的垃圾评论也太多了吧,一天十条之内我觉得算正常,几千条就觉得过了,可以禁止IP的。

    [回复]

  10. 从良未遂说:

    以你的访问量受到攻击我倒不奇怪,我那一天几个IP的居然也有攻击者啊

    [回复]

    民工 回复:

    有些人就是闲得蛋疼,或者是拿小站当小白鼠来练手。

    [回复]

    从良未遂 回复:

    是啊,对那些有点小技术就得瑟的所谓黑客表示无语

    [回复]

发表评论

电子邮件地址不会被公开。 必填项已用*标注