论坛上看到一个哥们咨询:之前网站就被入侵过,这次又被搞。服务器挂了云锁,做了权限设置。这次不知道从什么地方进来的。整个服务器的网站一锅端,好在只有一个网站是有用的。这次云锁巡航不出来。索性直接将两个马直接丢上杀毒云端。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
他的网站是linux + WordPress,也就是常见的宝塔面板和wp程序。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
有人说,是不是用太多插件了,很多插件是不安全的。他说,不应该啊,全部是官网的插件 。其实,插件漏洞是最大的,因为即使是官方插件,很多作者因为各种原因都没更新了,就会存在致命漏洞。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
最好的办法就是尽可能减少插件使用,或者插件能实现的集成到模板代码里面。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
这个时候,有个大神发话了,并结合实例给出了具体的分析。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
他说,我们是专门做wp模板的, 现在维护着3000多个wp的企业站,wp用默认的很容易被入侵(相对织梦漏洞少很多),只要入侵都是批量修改就是你关闭的站也会被篡改内容,所以一定要做好备份。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
最重要有效的防护:1、隐藏程序生成纯静态(适合企业站)2、动态的话也要隐藏程序到二级目录, 把wp特征代码全部修改掉, 前端代码不要出现wp-content, 我们维护的站点尽两年没有出现被入侵过的。 没有做二开直接用的, 90%的概率都被入侵过。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
我对他这个说法还是很认可的,因为几年前我也经历过类似被入侵挂马的情况,后来我也是改掉了模板固定的登录地址链接,以及拒绝多次的反复搜索查询。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
现在做站长还是挺不容易的,想安心更新文章还要担心受怕的,如果被人端掉服务器,而又没有备份,那真的完犊子了。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
所以,要定期备份,以防万一。文章源自小虾博客-https://www.xiaoxiawz.com/yingxiao/944.html
