网站被黑了都不知道?零成本安全防护指南,新手必看!
辛辛苦苦做的网站,一觉醒来被挂满了赌博广告?或者更惨——数据库被删、文件被加密?别等出事了才想起安全。本文教你用免费工具把网站保护得妥妥当当。
一、你的网站真的安全吗?
先做一个简单的自查:
- [ ] 网站有 HTTPS 吗?(地址栏有没有小锁?)
- [ ] WordPress 后台密码是不是
admin/123456? - [ ] 最后一次备份是什么时候?
- [ ] 知道怎么看网站有没有被入侵吗?
如果以上任何一项是"否"或者"不知道",那你的网站就是在裸奔。今天花 30 分钟,把这些全搞定。
二、黑客最喜欢攻击什么样的网站?
黑客的目标
别以为你是小网站就不会被攻击。实际上,大部分攻击都是自动化扫描——黑客用脚本全网扫描漏洞,根本不挑目标。
你的网站对黑客来说有什么价值?
| 黑客目的 | 说明 |
|---|---|
| 🔗 挂黑链 | 在你的网站上偷偷加链接,给其他网站刷 SEO |
| 📢 挂广告 | 植入赌博、色情广告页面 |
| 💾 偷数据 | 窃取用户信息、数据库 |
| 🦠 传播病毒 | 用你的网站分发恶意软件 |
| 🔒 勒索 | 加密你的文件,要赎金才解锁 |
| ⛏️ 挖矿 | 偷偷用访问者的 CPU 挖加密货币 |
最容易中招的网站特征
| 特征 | 风险 |
|---|---|
默认管理员账号 admin |
🔴 高危 |
弱密码(123456、password) |
🔴 高危 |
| 没有 HTTPS | 🟡 中等 |
| WordPress 长期不更新 | 🔴 高危 |
| 装了来历不明的插件/主题 | 🔴 高危 |
| 从未备份过 | 🟡 中等(出了事就晚了) |
| 没有安装安全插件 | 🟡 中等 |
三、第一道防线:HTTPS + 强密码
1. 开启 HTTPS
HTTPS 加密了用户和服务器之间的数据传输,防止中间人攻击。
如果你用了 Cloudflare(系列第 4 期),HTTPS 是自动配置的。如果没有,参考第 7 期教程申请免费 SSL 证书。
2. 修改 WordPress 管理员账号
如果管理员用户名还是 admin,立刻改掉!
WordPress 后台 → 用户 → 所有用户 → 编辑管理员 → 修改用户名。
如果已经用了
admin用户名,WordPress 不允许直接改用户名。可以新建一个管理员账号,用新账号登录后删除旧的admin账号。
3. 设置强密码
❌ 弱密码:123456、password、admin123、qwerty
✅ 强密码:至少 12 位,包含大小写字母 + 数字 + 特殊符号
推荐用密码管理器(如 Bitwarden,免费)生成和保存随机密码。或者用一句容易记但别人猜不到的话:
✅ woshiYiGeren_WoAiChiMianTiao_2024!
(我吃面条 + 特殊符号 + 年份,好记又够长)
四、第二道防线:安装安全插件
WordPress 必备安全插件
Wordfence Security(免费版就够用)
| 功能 | 说明 |
|---|---|
| 🛡️ 防火墙 | 拦截恶意请求、SQL 注入、XSS 攻击 |
| 🔍 恶意软件扫描 | 定期扫描文件,发现可疑代码 |
| 🚫 登录保护 | 暴力破解防护、双因素认证(2FA) |
| 📊 实时流量监控 | 查看谁在访问、有没有异常流量 |
安装:后台 → 插件 → 安装插件 → 搜索 "Wordfence" → 安装启用。
必做配置:
- 进入 Wordfence → Firewall → 优化防火墙(一键操作)
- Wordfence → Login Security → 开启 双因素认证(2FA)
- Wordfence → All Options → 登录尝试限制:5 次失败后锁定 1 小时
Limit Login Attempts Reloaded
额外再装一个登录保护插件,双重保险:
- 限制 IP 登录尝试次数
- 锁定暴力破解攻击者
- 配合 Cloudflare 的防火墙规则效果更好
五、第三道防线:保持更新 + 清理无用插件
1. 及时更新 WordPress
每次 WordPress 发布新版本,通常都修复了已知的安全漏洞。黑客会专门针对这些漏洞发起攻击。
- WordPress 核心:出了新版本尽快更新
- 插件和主题:同样保持最新
- 开启自动更新:WordPress 支持后台自动更新小版本
2. 删除不用的插件和主题
每一个插件都是一个潜在的攻击入口。看看你的网站:
- 有多少插件是装了但没用过的?
- 有多少主题是装了但从来没用过的?
- 有没有来源不明的"破解版"插件/主题?
原则:用多少装多少,不用的立刻删除。特别是——
- ⚠️ 绝对不要用盗版/破解版插件和主题! 里面很可能藏着后门。
3. 插件来源要靠谱
只在 WordPress 官方插件库和知名开发者那里安装插件。避免从陌生网站下载。
六、第四道防线:定期备份(最重要!)
安全做得再好,也不能保证 100% 不出事。备份是最后的救命稻草。
推荐工具:UpdraftPlus(免费)
| 功能 | 说明 |
|---|---|
| 💾 定时自动备份 | 每天/每周自动备份数据库和文件 |
| ☁️ 远程存储 | 备份到 Google Drive、Dropbox、OneDrive 等 |
| 🔄 一键恢复 | 出问题一键恢复到之前的状态 |
配置步骤:
- 安装 UpdraftPlus 插件
- 设置 → UpdraftPlus Backups → 设置
- 备份计划:
- 文件备份:每周一次
- 数据库备份:每天一次
- 远程存储:选择 Google Drive → 按指引完成授权
- 点击保存
💡 备份存储到远程云端很重要!如果备份和网站放在同一台服务器上,服务器被黑了备份也没了。
手动备份
如果你不想装插件,也可以在主机控制面板手动导出数据库 + 下载网站文件。但太容易忘记,不推荐。
七、第五道防线:Cloudflare 安全设置
如果你已经用了 Cloudflare(第 4 期教程),下面这些安全设置建议全开:
1. 开启"机器审核"(Bot Fight Mode)
Security → Bots → 开启 Bot Fight Mode。自动拦截恶意爬虫和扫描器。
2. 设置防火墙规则
Security → WAF → 创建规则:
规则 1:阻止恶意扫描
字段:URI Path 运算符:包含 值:wp-login.php
字段:国家 运算符:等于 值:不是你的国家
操作:JS 质询
(如果网站只面向国内用户,可以限制国外 IP 访问登录页)
规则 2:限速规则
字段:URI Path 运算符:包含 值:wp-login.php
操作:速率限制 请求:10 次 / 10 秒
3. 开启安全级别
Security → Settings → Security Level:设为 Medium(中等)。对于可疑请求会自动弹出 JS 质询。
八、网站被黑了怎么办?
即使做了所有防护,也不能保证万无一失。如果发现网站异常(首页被篡改、弹出广告、搜索引擎提示危险),按以下步骤处理:
第一步:不要慌,先确认
- 换个浏览器/设备访问,确认不是本地问题
- 检查 Wordfence 的扫描报告(如果有的话)
- 看看最近有没有安装新的插件
第二步:隔离问题
- 用 FTP 登录服务器,检查最近修改的文件
- 查看
.htaccess文件有没有被篡改 - 检查
wp-content/uploads目录有没有奇怪的 PHP 文件
第三步:恢复备份
- 如果有备份:直接用 UpdraftPlus 恢复到被黑之前的版本
- 恢复后立即修改所有密码(WordPress 管理员、数据库、FTP)
- 更新 WordPress 和所有插件到最新版
- 安装 Wordfence 做全盘扫描
第四步:没有备份怎么办
- 先做一次完整备份(即使已经被黑)
- 安装 Wordfence → 做全盘扫描 → 删除发现的恶意文件
- 检查所有 WordPress 文件是否被篡改
- 更新所有内容到最新版本
- 检查数据库有没有被注入恶意代码
💡 这就是为什么备份最重要——有备份,恢复只要 10 分钟。没备份,可能需要好几天才能清理干净。
九、安全检查清单(收藏备用)
每周花 5 分钟检查以下项目:
| 检查项 | 频率 | 工具 |
|---|---|---|
| 🔄 WordPress 核心更新 | 有新版本时 | 后台自动提醒 |
| 🔄 插件/主题更新 | 每周 | 后台 → 更新 |
| 🛡️ Wordfence 扫描 | 每周 | Wordfence 自动扫描 |
| 💾 备份状态 | 每周 | UpdraftPlus 查看备份日志 |
| 🔑 密码强度 | 每月 | 手动检查 |
| 👥 用户列表 | 每月 | 后台 → 用户(有没有不明账号) |
| 🔗 死链接 | 每月 | Broken Link Checker 插件 |
十、常见问题
Q1:免费主机安全吗?
主流免费主机(InfinityFree 等)本身有一定的安全措施。但免费主机的安全性确实不如付费主机,所以更需要你自己做好防护——特别是备份。
Q2:Wordfence 免费版够用吗?
够用。 免费版包含了防火墙、恶意软件扫描、登录保护等核心功能。付费版多了实时黑名单更新和优先级技术支持,个人博客免费版完全够了。
Q3:双因素认证(2FA)一定要开吗?
强烈建议开启。 即使密码泄露了,没有你的手机验证码,黑客也登录不了。Wordfence 免费版就支持 2FA。
Q4:要不要隐藏 WordPress 登录地址?
把 /wp-admin 改成 /my-secret-login 确实能防住一部分自动扫描。但这种"安全靠隐藏"的做法治标不治本。建议优先做好强密码 + 双因素认证 + 登录限制,这三个更有效。
十一、小结
| 优先级 | 安全措施 | 难度 | 耗时 |
|---|---|---|---|
| 🔴 紧急 | 修改弱密码、删除 admin 账号 | ⭐ | 5 分钟 |
| 🔴 紧急 | 安装 UpdraftPlus,做一次完整备份 | ⭐ | 10 分钟 |
| 🔴 紧急 | 开启 HTTPS | ⭐ | 5 分钟 |
| 🟡 重要 | 安装 Wordfence,开启防火墙 | ⭐⭐ | 15 分钟 |
| 🟡 重要 | 开启双因素认证(2FA) | ⭐⭐ | 5 分钟 |
| 🟢 日常 | 保持 WordPress + 插件更新 | ⭐ | 每周 5 分钟 |
| 🟢 日常 | 检查备份状态 | ⭐ | 每周 2 分钟 |
| 🔵 进阶 | Cloudflare 防火墙规则 | ⭐⭐⭐ | 20 分钟 |
安全不是一次性工作,而是一种习惯。今天花半小时把这些做完,以后每周花 5 分钟检查,你的网站就能睡得安稳了。
📌 系列文章:
- [新手必看:DNSHE 免费域名注册全攻略]()
- [免费虚拟主机注册全攻略]()
- [DNS 解析从入门到精通]()
- [Cloudflare 免费 CDN 配置教程]()
- [内网穿透教程——让家里电脑变成服务器]()
- [GitHub Pages 搭建免费个人网站]()
- [免费 SSL 证书申请教程]()
- [WordPress 零基础建站教程]()
- [网站上线后必做的 SEO 优化指南]()
- [Google AdSense 广告接入全攻略]()
- 本文:零成本网站安全防护指南