提高WordPress安全性的必要

从来都没有考虑过,我的这个小博客,也会有人攻击。虽然对专业人士来说,要给我这个Wordpress网站以致命的打击,只是轻而易举几分钟的事情。可是目的和动机呢?想来想去,总是没有的。但是,预料之外的,我还是遭到了建站快三年来的第一次被攻击。在这次攻击面前,我完全是个文盲般的素手无策,毫无办法。最终,服务器所有文件被感染,全部无效;空间商给我换了IP后,重新上传文件,WordPress主题插件安装等重新开始。整个过程,不幸中的万幸有两个,一是数据库文件安然无恙(当然我也是有定时备份的);二是平常服务器文件的修改都是先在本地电脑测试后再上传到主机,因此插件和修改过的主题文件在我的电脑上都有备份。

所有,这个基本从零开始的搬家,倒也顺利。不过在整个被攻击的过程中,我的博客,充其量就是一只小白鼠,任人宰割。先说说这次被攻击的过程吧。博客在二月份,莫名的第一次因跑完8G流量而停摆两天,很是让我惊讶;仔细查看后台数据后,发现在2月13号凌晨有过一段可疑的流量消耗高峰,达到每秒4兆多。随后的日子,服务器的文件大小一直在自动增加,直到超过我的最大允许值。这些现象,都让我怀疑遇上了麻烦。不过网站除去两天因流量不够无法访问外,一切倒也正常。何况我一不知道原因二也是忙着毕业论文,所以决定先放放。这么冒险运行大半个月后,终于在7号晚上发表天猫Nutrilon官方旗舰店诺优能是真是假后,于北京时间8号早上9点后彻底瘫痪。

接空间服务商的通知,确认受到不明来源的恶意攻击,空间关停一天处理病毒。随后更换地址,于是有了开头的重新安装一条龙的步骤。malicious,adj. 恶意的,有敌意的; 蓄意的; 预谋的; 存心不良的;这对我来说,居然是一个新词啊,哈哈。

在整个被攻击的过程中,WP程序抗攻击方面的安全性,很是值得怀疑啊。当然,也是我无能,除了在用户密码上会多加小心外,连以提供安全性为目的的程序升级都不积极,更何况其他一些提高安全性的技巧了。如何提供Wordpress程序的安全性,请参考:

月光博客:十大WordPress安全设置技巧:升级WordPress到最新版本,隐藏WordPress版本,更改WordPress用户名,更改WordPress用户密码,防止WordPress目录显示,保护wp-admin文件夹,WordPress数据库安全,安装Wordpress Security Scan插件。

WordPress非官方中文站:加强WordPress安全的8条技巧:做好备份,保持更新,更健壮的密码,经常检查你的网站,禁止显示目录索引,不要使用FTP,修改wp-config.php 文件位置,小心下载的插件/主题。

综合的来说,除了一些基本的安全设置外,提供WP安全性的关键,是隐藏和保护wp-admin文件夹,WordPress目录,wp-config.php 文件位置等。而对于小白的我来说,最方便简单的方法,就是备份,程序文件备份和数据库文件备份。当然,备份是最傻瓜的方法,努力的提高抗打击能力,才是防范于未来。

最后,猜猜是什么样的虫子出于什么样的目的而攻击我的博客呢?这个,肯定是查不出来,所以只能猜,我姑且猜是某人在练技术吧。要是出于其他目的的话,那么不久的未来,也行访客就能再次见到本博客“Account Suspended”。

About 民工

博士牌民工,以 民工 网名横行江湖。博士毕业于荷兰代尔夫特理工大学,现为武汉理工大学青年教师一枚。博士牌民工 博客,以分享我日常生活学习中的所见所闻所思所想。
This entry was posted in 科技 and tagged , , . Bookmark the permalink.

23 Responses to 提高WordPress安全性的必要

  1. 从良未遂 says:

    以你的访问量受到攻击我倒不奇怪,我那一天几个IP的居然也有攻击者啊

  2. saintsky says:

    垃圾评论太多了,一天几千条,流量上个月也跑完了一次,靠,10G啊

  3. dapeng says:

    昨天又上不了你的博客,莫非又遭攻击了?

  4. wp的安全性还是蛮高的,一般练手的小黑阔顶多就是用ddos,耗完你的流量或者cpu,更值得在意的是跟你同服务器的网站是否安全

  5. Louis Han says:

    malicious 以后会变成非常熟悉的词了

  6. 长河 says:

    竟然还能有这样的事情发生,不是说WP的安全性很好的么,囧,看来以后要经常备份了

  7. 极简是消毒的办法之一

  8. dapeng says:

    人在江湖漂,哪能不挨刀。主机账号到期续费那条提示信息,是空间商发的还是黑客发的?

  9. chojemmy says:

    原来是遭受攻击了。这只是病毒感染还是单纯跑你流量跑完了?

  10. francis says:

    我就觉的奇怪呢,上次还以为你忘记续费了,原来是遭受攻击了啊~

    • 土木坛子 says:

      没有被黑过的博主不是好博主。我觉得民工的问题可能在于程序没有更新,插件和主题使用有问题,或者就调用了过多的第三方资源,遭受到了攻击?
      理论上来说,WP的安全性肯定不是一般小黑们能黑得了的,一般小黑们只能说是把你的流量暴力式耗光。

      • 民工 says:

        我在写了那个关于更新的博文后就更新过了的。插件最近是没有更改过的,图片只是调用google相册的外链。可以肯定的是恶意攻击。服务器安全,有很多技巧需要慢慢学习的,这个跟WP无关。

    • 民工 says:

      在忙也不会忘记续费的,有提醒嘛。是比较倒霉被哪位无聊人士盯上了。

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>