网站被黑损失4000美元！总结了以下13条关于主机安全的建议

网站被黑客攻击，并不鲜见，而且根据Zac前辈

去年写的一篇帖子

，被黑的网站数量近年有上涨趋势。

但英文内容站被黑而且遭受巨大经济损失，我很少听说。然而，一个月前，我的一位读者（也是英文站长）私信告诉我，他的网站被黑了，叫我赶紧检查。

还清楚的记得，当时我正在巴厘岛参加2018年DMSSS大会，吓得我当天的会议已开完，我就打开电脑检查。

这位读者正是Sween，他的英文内容站被黑几个月后，才发现，损失呢？整整4000美元！

那位黑客是怎么神不知鬼不觉的黑掉我们这位小伙伴的网站？Sween又是怎么应对的呢？

今天很荣幸有机会邀请Sween给我们讲述他的故事，并分享13条关于主机安全的建议，不管你的网站是挂在Hosting还是自建VPS，来瞧瞧吧。

毕竟，安全高于一切，我们要防范于未然。

大家好，我是Sween，是英文SEO实战派的老读者了。

今天来给大家分享一下我做站以来关于Hosting和VPS的安全知识，其实Hosting我没怎么使用了，主要是和其他陌生站长共享一台主机，感觉总是爱被拖累，据说还有被感染的风险。

为什么要专门抽空写这篇文章和大家分享？是因为我刚刚经历了网站被黑客入侵的惨痛教训，所以希望引起大家重视，不然辛辛苦苦经营的英文网站，损失的是白花花的美刀。

我当时被黑，损失大概4000刀的收入，因为别人（黑客）在我网站上挂他的广告，而且广告对你是隐藏的，意味着如果是你后台登录，压根就不会给你显示广告，我当时浑然不知，过了几个月才发现。

被别人薅羊毛，这种感觉真的是相当不好受啊。

扯远了，开始正题，我讲这13条建议分为以下三部分。

一：Hosting和VPS公共部分

1. 定时备份你的网站。

至少在你做软件更新的时候，使用工具备份你的网站信息（数据库和文件目录）。

我现在直接使用的是VaultPress收费的在线备份，每天备份一次，因为我以前使用过table maker这个插件，更新以后不兼容，以前的表格内容全部消失。

2. 更新wordpress和插件到最新版本。

上面提到，一定要在升级之前做好备份，难免出现插件不兼容的情况，如果没有备份，恢复起来那是相当的头痛。

3. 不要使用敏感的用户名。

比如admin/test/editor这种账号，太容易被黑客猜到了。

4. 一定要使用复杂的密码。

我现在一般都使用Lastpass（密码管理工具）这个chrome插件随机生成32位的安全密码。

5. 定期扫描你网站的安全情况。

我后来怀疑网站被黑，就是使用Sucuri Site Check这个在线工具扫描出来的，你也赶紧用这个工具扫描一下吧，以防万一。

https://sitecheck.sucuri.net/

6. 使用本地的安全扫描工具扫描文件。

我当时发现网站被黑后，其实自己也通过命令找出了我修改的文件，但是安全起见，我花了29刀去买了Anti-Malware这个插件（其实是让你捐款，哎，直接让买不就行了啊）。

使用这个软件的确是扫描出来我没有看到的地方，还有一款软件叫Wordfence，贵一些，但它在核心文件修改的时候会有消息通知，如果有兴趣的可以去试试，我现在安装的是免费版，看上去可以防护一些东西。

注：Wordfence在进行扫描的时候，需要修改主机的一些参数，这个我觉得还是有点不太友好，但是Anti-Malware不需要。

7. 不要把主机的IP和登录账号密码放在同一个文件或同一服务器上。

现在各种云盘都可以方便储存信息，但我不相信这些云盘，所以我都是自己搭建SVN分开储存（安全掌握在自己的手里放心些）。

具体操作是，我自己有个密码本记录账号和密码（IP信息我的主机厂商那里可以查询），我要用的时候打开密码本，然后再登录到服务商去看具体登录IP的信息。

当然，安全操作所需付出的代价就是：使用起来相当麻烦，当为了安全，我觉得值！

二：Hosting安全部分

Hosting主要是局限于权限问题，所以我觉得，如果你把上面的7个建议执行好应该就OK了。

顺便说一下，大家尽量不要使用Godaddy的hosting，真的很慢很慢，InMotion也不咋的，其他没有使用过，就不做评论了。

三：VPS安全部分

8. 升级主机到稳定的安全版本。

我一向倾向于用Centos，使用linux的版本取决于自己的习惯吧。

9. 开启防火墙。

敏感的端口统统换掉，这个工具可以检查端口：http://tool.chinaz.com/port/

10. 修改默认的22登录端口。

如果不修改这个端口，你去查看linux的安全日志就会发现，日志里面一大堆的IP在暴力破解你的VPS。

11. 创建新的账户登录VPS，禁用root登录账号。

如果黑客拿到你的root账户，后果可想而知，如果你要使用root账户的情况，就使用su root去切换。

12. 设置wordpress的用户组和访问权限。

我现在设置我网站的所有权和用户组都是root，并且所有文件都是只读访问权限 , 当要升级wordpress核心文件和插件的时候，需要授权。这么做的目的是就算被黑进来了。黑客只有看的份。

13. Mysql不要使用与主机相同的账号和密码。

这个原因是就如上面提到的，如果被黑进来了，看到你有root登录的mysql账号密码，黑客是可以尝试使用这个账号的，如果一样，那我之前提到的所有安全措施都是等于0了。

附：关于网站本地文件安全扫描

#1. 如果你有动手能力，懂点代码不嫌麻烦，就可以自己不花一分钱解决。具体操作为开启一个 cron 定时扫描主机的目录，发现有修改的异常，主动去查看文件进行问题的排查，cron 我就不具体讲如何操作了，这里是扫描的脚本，修改的文件就会出现在log中。

#!/bin/bash

currentTime=`date +'%Y-%m-%d %H:%M:%S': `

datetime=`date +%y-%m-%d`

LOGFILE="$/scanresult_$datetime.log"

find /home/xxxx/public_html/ -path '/home/xxx/public_html/wp-content/cache' -prune -o -mtime -1 >> $LOGFILE

#2. 如果能改代码，但又不想麻烦的每天去看日志，可以去尝试: Anti-Malware/Wordfence。

#3. 如果想当放手掌柜，出了问题有人帮你解决，可以考虑购买Sucuri，个人觉得Basic Plan的199刀一年的足矣。

注：我已经购买，如果你也需要，可以使用我的代理链接

https://fave.co/2QzQohI

总结

我对黑客是相当的憎恨，所以希望大家把安全做到位，让这些不劳而获的人早点放弃。

好了，以上是我日常的一些操作，我本人并不是专业的网站运维人员，如果有觉得菜的地方，请多指教。

同时，如果你有关于网站安全方面的问题，欢迎问我（扫下方的二维码）。

最后，码字不易，希望大家给点反馈哟。