網站安全的一些實踐

本來今天想聊聊垃圾外鏈這塊內容，但是寫著寫著發現網站安全這個話題好像更迫切，索性就著這個話題說一點我的實踐。

網站安全覆蓋面其實挺大的，涉及硬件、軟件、通訊、信息保護等等方面。因為我只是軟件工程師出身，并非安全工程師，所以對于一些特別專業的知識其實并不了解。所以今天就寫一些跟我們普通站長息息相關的內容，好在腦子里有個對于安全的基本概念。

上周會員群里有朋友分享了網站被黑的經歷，可能的原因就是安裝了一些盜版的主題與插件，然后黑客順著這些漏洞就進來了，并做了一些破壞。好在損失并不大，且網站也能恢復，算是一次不大不小的教訓吧。

使用盜版的插件、主題，這種事情其實在站長圈子里蠻普遍的。畢竟相較于幾塊錢人民幣的盜版軟件，正版軟件動輒大幾百美金的價格確實會讓人肉疼。尤其是一個新手剛起步階段，還沒有通過網站獲得收入，就更不會花大價錢去買正版了。

但是你要知道，絕大多數的網站漏洞可能正是由這些盜版插件、主題所故意留下的，其目的就是養“肉雞”。之前看過一篇安全報告，就專門有黑客團隊會去做那些高安裝量主題、插件的破解，然后通過互聯網免費分發出去。通過這種主動制造漏洞的方式，來培養自己的“客源”。

可能你會問，那我安裝了破解版的插件程序，有沒有什么辦法知道這些插件程序是否存在后門？

辦法確實有，比如比較常見的通過監控網站通訊數據包來分析流量去向。但是如果你沒有技術背景的話，實操起來還挺麻煩的。雖然現在有一些第三方程序能夠傻瓜版檢測網站安全漏洞，但是架不住漏洞是在不斷更新的，可能按下葫蘆又起了瓢。

所以從這個角度出發，對于插件程序安全這塊，最好的做法便是使用正版軟件與授權，且保持程序的實時更新。但是我也能明白，大多數人的心里還是想花最少的錢，去辦最大的事。n

那這里推薦兩種方式，你可以對號入座。

對于動手能力強的朋友，完全可以使用免費版本的主題或者插件，然后配合自己動手能力，來寫一些自定義功能。其實這么做是完全可行的，尤其是當你需求并不是很多時，這塊內容真的很好實現，且相對來說也很安全。

但是架不住你可能喜歡那些付費主題的好看模板，或者付費插件的強大功能。那這就得想辦法去弄到正版授權了，其實具體的做法也很簡單，直接去電商平臺上找那些賣正版授權的賣家，幫你處理一下即可。至于怎么找，怎么甄別是不是正版，就得靠你自己的判斷了。

要是對電商平臺授權仍舊不放心的話，也可以跟幾個朋友一起拼單啊。實際操作下來也不是很難，且小范圍內的信任感會更強。就比如我自己，最近這幾個月差不多為 60 多位朋友授權過 Astra Pro 的終身版了。

歸根到底，盡可能不要去安裝什么破解版、綠色版的插件程序或者主題程序。能做到這點，90% 的安全目標基本便能實現了。剩下的 10% 可能就是寫安全設置與安全習慣了。