以前我觉得开源建站，像是WordPress这种，搭起来快，免费，多结果真给一个朋友的小生意折腾起来，才发现这坑不是一般的大。速度快是快，安全？那得靠自己动手去武装。

那时候刚接了个小活儿，帮人做个卖土特产的网站。我屁颠屁颠地用WP搭好了，感觉自己牛X坏了，心想：这不比收费的香多了？结果？网站上线不到一个月，一个周末的晚上，朋友电话打过来，急得快哭了。说网站首页被人挂了张恶心的图片，后台根本进不去，密码被改了。他那生意，就靠网站引流，这一下全砸锅了。

我当时在干我在准备带娃去游乐场。立马取消行程，连夜跑到网（家里电脑配置低，处理不了，网网速快），折腾了一晚上，才总算把数据库拉回来，清了那些乱七八糟的后门代码。查日志，发现是个很老旧的插件漏洞。从那天起，我才真正琢磨起这建站的安全性来。我把我后来每次搭站都会做一遍的“土法”安全设置，给你们掏出来。

第一步：像防贼一样防登录

建站第一件事，我再也不用‘admin’做用户名了。谁用谁傻。我都是随便编一个完全不搭边的名字，然后把登录地址也改了。WP默认那个wp-admin，简直是公开的靶子。我找了个轻量级的小工具，把登录页面地址换成了一串谁也猜不到的字符。访问不到，自然就少了一半风险。我还动手配置了三次输错就封IP的功能，折腾了好久，但只要搞定，心里就踏实多了。

第二步：给文件权限上锁

之前那个网站被黑，很大一部分原因是文件权限给得太宽了。默认安装完，很多文件夹对程序来说是可以随便写的。这不就是给黑客留后门吗？

• 我把除了上传文件夹以外的所有核心文件和文件夹，权限都收紧到只读。就是说，程序只能读，不能动刀子写东西。
• 特别是那个配置文件*，我给它的权限更是严格到程序都难动它一下。这文件里藏着数据库的命根子，必须看
• 我还手动设置了一个“诱饵文件”在网站根目录，一旦有人动它，我的手机立马就会收到警报。

第三步：给数据库“换个名”

WP默认的数据库表前缀都是‘wp_’，简直就是公开告诉黑客“来打我”。我后来每一次新安装，都手动改一个谁也想不到的复杂前缀，比如“yebushiwo123_”。虽然只是多了一层障碍，但能拦住那些自动化的扫描工具，给真正想动手的黑客增加点麻烦，就是我的胜利。这招特别有效。

第四步：更新和备份，一秒都不能拖

我那个朋友的网站就是栽在一个老版本插件上。从那之后，我养成了一看到更新提示就立马动手的习惯。不管多忙，都要找个凌晨两三点人少的时候，先点更新。为什么是凌晨？出了问题影响最小！

更新前，备份是绝对不能忘的。我自己写了个小脚本，每天早上三点自动把整个网站的文件和数据库打包扔到另一个云盘里。这个过程看着简单，但真正用到的时候，那真是救命稻草。你没经历过数据全毁，手里又没备份的绝望，你是不会懂它的重要性的。

很多人问，搞这么麻烦，我为啥不直接花钱买个现成的付费建站服务？简单省事。我说，你只看到了眼前的轻松，没看到背后的被动。付费服务看起来省心，但你所有的数据、所有的控制权，都扔给了别人。他们说停就停，说涨价就涨价。我为了掌握这个控制权，才选择开源，选择自己折腾，但折腾就得把安全做到极致。

我为啥对这些安全设置门儿清？

那次出事后，朋友为了表示感谢，非要请我吃一顿大餐。结果饭没吃成，他老婆跑过来跟我说，他跑路了，欠了一屁股债，网站的货全砸手里了。我当时一脸懵逼。后来才知道，那网站根本不是卖土特产的，是用来做诈骗引流的工具。他出事后，我赶紧把那个网站彻底删干净，连夜把服务器上的所有日志都手动清了一遍，生怕惹上什么麻烦。虽然查出来，他那事跟网站被黑是两码事，但我那段时间的精神压力，搞得我差点去看心理医生。

从那之后，我做任何网站，都像给自己的孩子穿上最厚的铠甲一样，不允许有任何风险，因为我实在受不了那种半夜被电话叫醒，然后发现自己卷入麻烦的刺激了。自己动手，把基础安全搞定，才是最踏实的活法。