虽然是在上班,但这两天一直都没闲着,因为一直维护的客户的WordPress网站出现安全问题,在处理完问题之后,有一些体会,就像写一篇文章记录一下。
维护一个WordPress网站其实不是一件轻松的事情,虽然这款程序非常受欢迎,也一直在更新,也有完善的资源体系,但是即使这样,能长期保证一个WordPress网站,健康,稳定的运行也是一件很困难的事情。
1,选择正确的主机,这个是基础,如果三天两头宕机或者丢是数据,或者物理硬件故障,那这样的主机就没意义了,所以,尽可能选择大品牌的,阿里云,腾讯云,亚马逊,微软,linode等,其实在任何产品上,有句话都是真理:一分价钱一分货。
2,域名注册商其实就那么几个,但是代理商成千上万,当然能自建域名dns服务器的,肯定是不错的,但dns服务器也有质量差别,所以尽量选择质量高的,解析生效时间,尽量在10分钟之内,这样会比较ok,否则,可以选择第三方的dns,比如dnspod,ffdsn等。
3,及时升级WordPress程序到最新版,一直遇到的情况是,某一个网站运行超过3年,模板也是3年前的,登录后台看到程序还是3开头的版本,这种情况是否需要更新就是问题;更新到最新版的WordPress程序,可能出现模板和最新版程序不兼容的问题,这样如果模板作者没后续技术支持或者更新,那网站就无法继续使用,只能寻找新的模板,而寻找新模板又是一件需要时间和精力的事情,所以想想还是继续保持现状,继续不更新。这种想法是很错误的,因为这个问题的造成就是因为这种想法,如果之前能及时更新程序到最新版,那问题就不存在了;而且版本跨度这么大,安全问题是肯定存在的,所以,这种情况,即使要重新选择模板,也要更新程序,因为如果网站一旦因为安全问题被植入恶意代码,那就真得不偿失了,恶意代码一般的作用是黑链/远程控制程序/收集信息的代码,网站一旦被攻破,网站信誉会荡然无存,在百度里的排名也会丢是,这样的结果,那网站就完全毫无价值了,最终损害的是网站主办者的利益。
4,合理选择WordPress主题,主题的来源只能有两个:
a,国内花钱购买的主题,这种情况是可以的,只要主题满足需求,主题一直会持续更新,即使不更新了,也会出公告,不像免费主题,也许只有一个版本;国外付费主题购买,这种和国内花钱买主题一样,也是可行的,而且现在翻译软件这么好用,也不需要英文基础了;
b,WordPress官方站点发布的,主题能通过WordPress官方的审核,本身就说明了主题的质量和安全性。
使用主题最怕的是使用盗版的或者本来299的主题,50块钱就能买来用。
5,及时删除不更新的WordPress主题,这里之所以这样说,是因为今天其中一个客户安装了24个插件,其中有4个插件有超过3个大版本没更新,还有一个超过10年没更新,这种插件,功能再合适,也不能使用,WordPress生态很完整,插件是具有替代性的,所以需要做的是:删除旧的插件,花点时间寻找一款功能类似的新的插件即可。
使用WordPress插件就一个原则:使用来自WordPress官网分享的插件,一定要兼容到WordPress最新版,并且日常及时更新每个插件的最版。
6,设置复杂的主机登录密码,创建复杂的数据库名称,使用记不住的数据库密码,不适用admin作为默认登录账户,登录密码也要记不住,记住的都有很大的可能被破解,可以把这些信息记录邮件里,电脑里,而且浏览器本身有保存密码的功能,为什么还要记住这些密码。
7,定期检查网站情况,登录网站后台遇到需要升级的插件/主题/程序,也及时升级;定期更换密码。
最后:勤动手,把遇到的问题及时解决,并记录下来,养成良好的习惯。
暂无评论内容