网站安全的一些实践

本来今天想聊聊垃圾外链这块内容，但是写着写着发现网站安全这个话题好像更迫切，索性就着这个话题说一点我的实践。

网站安全覆盖面其实挺大的，涉及硬件、软件、通讯、信息保护等等方面。因为我只是软件工程师出身，并非安全工程师，所以对于一些特别专业的知识其实并不了解。所以今天就写一些跟我们普通站长息息相关的内容，好在脑子里有个对于安全的基本概念。

上周会员群里有朋友分享了网站被黑的经历，可能的原因就是安装了一些盗版的主题与插件，然后黑客顺着这些漏洞就进来了，并做了一些破坏。好在损失并不大，且网站也能恢复，算是一次不大不小的教训吧。

使用盗版的插件、主题，这种事情其实在站长圈子里蛮普遍的。毕竟相较于几块钱人民币的盗版软件，正版软件动辄大几百美金的价格确实会让人肉疼。尤其是一个新手刚起步阶段，还没有通过网站获得收入，就更不会花大价钱去买正版了。

但是你要知道，绝大多数的网站漏洞可能正是由这些盗版插件、主题所故意留下的，其目的就是养“肉鸡”。之前看过一篇安全报告，就专门有黑客团队会去做那些高安装量主题、插件的破解，然后通过互联网免费分发出去。通过这种主动制造漏洞的方式，来培养自己的“客源”。

可能你会问，那我安装了破解版的插件程序，有没有什么办法知道这些插件程序是否存在后门？

办法确实有，比如比较常见的通过监控网站通讯数据包来分析流量去向。但是如果你没有技术背景的话，实操起来还挺麻烦的。虽然现在有一些第三方程序能够傻瓜版检测网站安全漏洞，但是架不住漏洞是在不断更新的，可能按下葫芦又起了瓢。

所以从这个角度出发，对于插件程序安全这块，最好的做法便是使用正版软件与授权，且保持程序的实时更新。但是我也能明白，大多数人的心里还是想花最少的钱，去办最大的事。n

那这里推荐两种方式，你可以对号入座。

对于动手能力强的朋友，完全可以使用免费版本的主题或者插件，然后配合自己动手能力，来写一些自定义功能。其实这么做是完全可行的，尤其是当你需求并不是很多时，这块内容真的很好实现，且相对来说也很安全。

但是架不住你可能喜欢那些付费主题的好看模板，或者付费插件的强大功能。那这就得想办法去弄到正版授权了，其实具体的做法也很简单，直接去电商平台上找那些卖正版授权的卖家，帮你处理一下即可。至于怎么找，怎么甄别是不是正版，就得靠你自己的判断了。

要是对电商平台授权仍旧不放心的话，也可以跟几个朋友一起拼单啊。实际操作下来也不是很难，且小范围内的信任感会更强。就比如我自己，最近这几个月差不多为 60 多位朋友授权过 Astra Pro 的终身版了。

归根到底，尽可能不要去安装什么破解版、绿色版的插件程序或者主题程序。能做到这点，90% 的安全目标基本便能实现了。剩下的 10% 可能就是写安全设置与安全习惯了。