网站被黑客攻击,并不鲜见,而且根据Zac前辈去年写的这篇帖子,被黑的网站数量近年有上涨趋势。
但英文内容站被黑而且遭受巨大经济损失,我很少听说。然而,一个月前,我的一位读者(也是英文站长)私信告诉我,他的网站被黑了,叫我赶紧检查。
还清楚的记得,当时我正在巴厘岛参加2018年DMSSS大会,吓得我当天的会议已开完,我就打开电脑检查。
这位读者正是Sween,他的英文内容站被黑几个月后,才发现,损失呢?整整4000美元!
那位黑客是怎么神不知鬼不觉的黑掉我们这位小伙伴的网站?Sween又是怎么应对的呢?
今天很荣幸有机会邀请Sween给我们讲述他的故事,并分享13条关于主机安全的建议,不管你的网站是挂在Hosting还是自建VPS,来瞧瞧吧。
毕竟,安全高于一切,我们要防范于未然。
。。。
大家好,我是Sween,是英文SEO实战派的老读者了。
今天来给大家分享一下我做站以来关于Hosting和VPS的安全知识,其实Hosting我没怎么使用了,主要是和其他陌生站长共享一台主机,感觉总是爱被拖累,据说还有被感染的风险。
为什么要专门抽空写这篇文章和大家分享?是因为我刚刚经历了网站被黑客入侵的惨痛教训,所以希望引起大家重视,不然辛辛苦苦经营的英文网站,损失的是白花花的美刀。
我当时被黑,损失大概4000刀的收入,因为别人(黑客)在我网站上挂他的广告,而且广告对你是隐藏的,意味着如果是你后台登录,压根就不会给你显示广告,我当时浑然不知,过了几个月才发现。
被别人薅羊毛,这种感觉真的是相当不好受啊。
扯远了,开始正题,我把这13条建议分为以下三部分。
一:Hosting和VPS公共部分
1. 定时备份你的网站。
至少在你做软件更新的时候,使用工具备份你的网站信息(数据库和文件目录)。
我现在直接使用的是VaultPress收费的在线备份,每天备份一次,因为我以前使用过table maker这个插件,更新以后不兼容,以前的表格内容全部消失。
2. 更新wordpress和插件到最新版本。
上面提到,一定要在升级之前做好备份,难免出现插件不兼容的情况,如果没有备份,恢复起来那是相当的头痛。
3. 不要使用敏感的用户名。
比如admin/test/editor这种账号,太容易被黑客猜到了。
4. 一定要使用复杂的密码。
我现在一般都使用Lastpass(密码管理工具)这个chrome插件随机生成32位的安全密码。
5. 定期扫描你网站的安全情况。
我后来怀疑网站被黑,就是使用Sucuri Site Check这个在线工具扫描出来的,你也赶紧用这个工具扫描一下吧,以防万一。
6. 使用本地的安全扫描工具扫描文件。
我当时发现网站被黑后,其实自己也通过命令找出了我修改的文件,但是安全起见,我花了29刀去买了Anti-Malware这个插件(其实是让你捐款,哎,直接让买不就行了啊)。
使用这个软件的确是扫描出来我没有看到的地方,还有一款软件叫Wordfence,贵一些,但它在核心文件修改的时候会有消息通知,如果有兴趣的可以去试试,我现在安装的是免费版,看上去可以防护一些东西。
注:Wordfence在进行扫描的时候,需要修改主机的一些参数,这个我觉得还是有点不太友好,但是Anti-Malware不需要。
7. 不要把主机的IP和登录账号密码放在同一个文件或同一服务器上。
现在各种云盘都可以方便储存信息,但我不相信这些云盘,所以我都是自己搭建SVN分开储存(安全掌握在自己的手里放心些)。
具体操作是,我自己有个密码本记录账号和密码(IP信息我的主机厂商那里可以查询),我要用的时候打开密码本,然后再登录到服务商去看具体登录IP的信息。
当然,安全操作所需付出的代价就是:使用起来相当麻烦,当为了安全,我觉得值!
二:Hosting安全部分
Hosting主要是局限于权限问题,所以我觉得,如果你把上面的7个建议执行好应该就OK了。
顺便说一下,大家尽量不要使用Godaddy的hosting,真的很慢很慢,InMotion也不咋的,其他没有使用过,就不做评论了。
三:VPS安全部分
8. 升级主机到稳定的安全版本。
我一向倾向于用Centos,使用linux的版本取决于自己的习惯吧。
9. 开启防火墙。
敏感的端口统统换掉,这个工具可以检查端口:http://tool.chinaz.com/port/
10. 修改默认的22登录端口。
如果不修改这个端口,你去查看linux的安全日志就会发现,日志里面一大堆的IP在暴力破解你的VPS。
11. 创建新的账户登录VPS,禁用root登录账号。
如果黑客拿到你的root账户,后果可想而知,如果你要使用root账户的情况,就使用su root去切换。
12. 设置wordpress的用户组和访问权限。
我现在设置我网站的所有权和用户组都是root,并且所有文件都是只读访问权限 {chmod 555* -R 的权限,当然有些文件需要分配到用户组 www:www(chown www:www filename) 并且得给可写的权限 (chmod 700 filename),比如 nginx.conf 文件 /wp-content 目录下的 cache 目录 (chmod 700 cache -R),uploads (chmod 700 uploads -R) 目录}, 当要升级wordpress核心文件和插件的时候,需要授权。这么做的目的是就算被黑进来了。黑客只有看的份。
13. Mysql不要使用与主机相同的账号和密码。
这个原因是就如上面提到的,如果被黑进来了,看到你有root登录的mysql账号密码,黑客是可以尝试使用这个账号的,如果一样,那我之前提到的所有安全措施都是等于0了。
附:关于网站本地文件安全扫描
#1. 如果你有动手能力,懂点代码不嫌麻烦,就可以自己不花一分钱解决。具体操作为开启一个 cron 定时扫描主机的目录,发现有修改的异常,主动去查看文件进行问题的排查,cron 我就不具体讲如何操作了,这里是扫描的脚本,修改的文件就会出现在log中。
#!/bin/bash
currentTime=`date +’%Y-%m-%d %H:%M:%S’: `
datetime=`date +%y-%m-%d`
LOGFILE=”${yourlogdir}/scanresult_$datetime.log”
find /home/xxxx/public_html/ -path ‘/home/xxx/public_html/wp-content/cache’ -prune -o -mtime -1 >> $LOGFILE
#2. 如果能改代码,但又不想麻烦的每天去看日志,可以去尝试: Anti-Malware/Wordfence。
#3. 如果想当放手掌柜,出了问题有人帮你解决,可以考虑购买Sucuri,个人觉得Basic Plan的199刀一年的足矣。
注:我已经购买,如果你也需要,可以使用我的代理链接
总结
我对黑客是相当的憎恨,所以希望大家把安全做到位,让这些不劳而获的人早点放弃。
好了,以上是我日常的一些操作,我本人并不是专业的网站运维人员,如果有觉得菜的地方,请多指教。
同时,如果你有关于网站安全方面的问题,欢迎问我(扫下方的二维码)。
最后,码字不易,希望大家给点反馈哟。
WebARX 很好用哦
貌似比Sucuri便宜很多,不知道效果怎样。
尽量不要使用Godaddy的hosting? 为啥?有具体细节吗,我用它们wordpress开发版,觉得他们自动备份蛮好的。
Godaddy的有一点流量就报资源紧张(有一次是没有一个流量,还说我业务蒸蒸日上,简直要崩溃),让我升级套餐。我另外一个朋友的也是这个情况,所以对godaddy印象相当不好,自动备份这个是hosting的标配吧?
HI,john。 我是有安全从业经验,这一小块 反而可能是我 在 SEO 圈子里的一点点小优势。哈哈。