网站被黑了都不知道?零成本安全防护指南,新手必看!

zheng头像
zheng 2026-07-13 14:53
楼主

网站被黑了都不知道?零成本安全防护指南,新手必看!

辛辛苦苦做的网站,一觉醒来被挂满了赌博广告?或者更惨——数据库被删、文件被加密?别等出事了才想起安全。本文教你用免费工具把网站保护得妥妥当当。


一、你的网站真的安全吗?

先做一个简单的自查:

  • [ ] 网站有 HTTPS 吗?(地址栏有没有小锁?)
  • [ ] WordPress 后台密码是不是 admin / 123456
  • [ ] 最后一次备份是什么时候?
  • [ ] 知道怎么看网站有没有被入侵吗?

如果以上任何一项是"否"或者"不知道",那你的网站就是在裸奔。今天花 30 分钟,把这些全搞定。


二、黑客最喜欢攻击什么样的网站?

黑客的目标

别以为你是小网站就不会被攻击。实际上,大部分攻击都是自动化扫描——黑客用脚本全网扫描漏洞,根本不挑目标。

你的网站对黑客来说有什么价值?

黑客目的 说明
🔗 挂黑链 在你的网站上偷偷加链接,给其他网站刷 SEO
📢 挂广告 植入赌博、色情广告页面
💾 偷数据 窃取用户信息、数据库
🦠 传播病毒 用你的网站分发恶意软件
🔒 勒索 加密你的文件,要赎金才解锁
⛏️ 挖矿 偷偷用访问者的 CPU 挖加密货币

最容易中招的网站特征

特征 风险
默认管理员账号 admin 🔴 高危
弱密码(123456password 🔴 高危
没有 HTTPS 🟡 中等
WordPress 长期不更新 🔴 高危
装了来历不明的插件/主题 🔴 高危
从未备份过 🟡 中等(出了事就晚了)
没有安装安全插件 🟡 中等


三、第一道防线:HTTPS + 强密码

1. 开启 HTTPS

HTTPS 加密了用户和服务器之间的数据传输,防止中间人攻击。

如果你用了 Cloudflare(系列第 4 期),HTTPS 是自动配置的。如果没有,参考第 7 期教程申请免费 SSL 证书。

2. 修改 WordPress 管理员账号

如果管理员用户名还是 admin,立刻改掉!

WordPress 后台 → 用户 → 所有用户 → 编辑管理员 → 修改用户名。

如果已经用了 admin 用户名,WordPress 不允许直接改用户名。可以新建一个管理员账号,用新账号登录后删除旧的 admin 账号。

3. 设置强密码


❌ 弱密码:123456、password、admin123、qwerty
✅ 强密码:至少 12 位,包含大小写字母 + 数字 + 特殊符号

推荐用密码管理器(如 Bitwarden,免费)生成和保存随机密码。或者用一句容易记但别人猜不到的话:


✅ woshiYiGeren_WoAiChiMianTiao_2024!
(我吃面条 + 特殊符号 + 年份,好记又够长)


四、第二道防线:安装安全插件

WordPress 必备安全插件

Wordfence Security(免费版就够用)

功能 说明
🛡️ 防火墙 拦截恶意请求、SQL 注入、XSS 攻击
🔍 恶意软件扫描 定期扫描文件,发现可疑代码
🚫 登录保护 暴力破解防护、双因素认证(2FA)
📊 实时流量监控 查看谁在访问、有没有异常流量

安装:后台 → 插件 → 安装插件 → 搜索 "Wordfence" → 安装启用。

必做配置

  1. 进入 Wordfence → Firewall → 优化防火墙(一键操作)
  2. Wordfence → Login Security → 开启 双因素认证(2FA)
  3. Wordfence → All Options → 登录尝试限制:5 次失败后锁定 1 小时

Limit Login Attempts Reloaded

额外再装一个登录保护插件,双重保险:

  • 限制 IP 登录尝试次数
  • 锁定暴力破解攻击者
  • 配合 Cloudflare 的防火墙规则效果更好


五、第三道防线:保持更新 + 清理无用插件

1. 及时更新 WordPress

每次 WordPress 发布新版本,通常都修复了已知的安全漏洞。黑客会专门针对这些漏洞发起攻击。

  • WordPress 核心:出了新版本尽快更新
  • 插件和主题:同样保持最新
  • 开启自动更新:WordPress 支持后台自动更新小版本

2. 删除不用的插件和主题

每一个插件都是一个潜在的攻击入口。看看你的网站:

  • 有多少插件是装了但没用过的?
  • 有多少主题是装了但从来没用过的?
  • 有没有来源不明的"破解版"插件/主题?

原则:用多少装多少,不用的立刻删除。特别是——

  • ⚠️ 绝对不要用盗版/破解版插件和主题! 里面很可能藏着后门。

3. 插件来源要靠谱

只在 WordPress 官方插件库和知名开发者那里安装插件。避免从陌生网站下载。


六、第四道防线:定期备份(最重要!)

安全做得再好,也不能保证 100% 不出事。备份是最后的救命稻草。

推荐工具:UpdraftPlus(免费)

功能 说明
💾 定时自动备份 每天/每周自动备份数据库和文件
☁️ 远程存储 备份到 Google Drive、Dropbox、OneDrive 等
🔄 一键恢复 出问题一键恢复到之前的状态

配置步骤

  1. 安装 UpdraftPlus 插件
  2. 设置 → UpdraftPlus Backups → 设置
  3. 备份计划:

- 文件备份:每周一次

- 数据库备份:每天一次

  1. 远程存储:选择 Google Drive → 按指引完成授权
  2. 点击保存

💡 备份存储到远程云端很重要!如果备份和网站放在同一台服务器上,服务器被黑了备份也没了。

手动备份

如果你不想装插件,也可以在主机控制面板手动导出数据库 + 下载网站文件。但太容易忘记,不推荐。


七、第五道防线:Cloudflare 安全设置

如果你已经用了 Cloudflare(第 4 期教程),下面这些安全设置建议全开:

1. 开启"机器审核"(Bot Fight Mode)

Security → Bots → 开启 Bot Fight Mode。自动拦截恶意爬虫和扫描器。

2. 设置防火墙规则

Security → WAF → 创建规则:

规则 1:阻止恶意扫描


字段:URI Path   运算符:包含   值:wp-login.php
字段:国家      运算符:等于   值:不是你的国家
操作:JS 质询

(如果网站只面向国内用户,可以限制国外 IP 访问登录页)

规则 2:限速规则


字段:URI Path   运算符:包含   值:wp-login.php
操作:速率限制   请求:10 次 / 10 秒

3. 开启安全级别

Security → Settings → Security Level:设为 Medium(中等)。对于可疑请求会自动弹出 JS 质询。


八、网站被黑了怎么办?

即使做了所有防护,也不能保证万无一失。如果发现网站异常(首页被篡改、弹出广告、搜索引擎提示危险),按以下步骤处理:

第一步:不要慌,先确认

  1. 换个浏览器/设备访问,确认不是本地问题
  2. 检查 Wordfence 的扫描报告(如果有的话)
  3. 看看最近有没有安装新的插件

第二步:隔离问题

  1. 用 FTP 登录服务器,检查最近修改的文件
  2. 查看 .htaccess 文件有没有被篡改
  3. 检查 wp-content/uploads 目录有没有奇怪的 PHP 文件

第三步:恢复备份

  1. 如果有备份:直接用 UpdraftPlus 恢复到被黑之前的版本
  2. 恢复后立即修改所有密码(WordPress 管理员、数据库、FTP)
  3. 更新 WordPress 和所有插件到最新版
  4. 安装 Wordfence 做全盘扫描

第四步:没有备份怎么办

  1. 先做一次完整备份(即使已经被黑)
  2. 安装 Wordfence → 做全盘扫描 → 删除发现的恶意文件
  3. 检查所有 WordPress 文件是否被篡改
  4. 更新所有内容到最新版本
  5. 检查数据库有没有被注入恶意代码

💡 这就是为什么备份最重要——有备份,恢复只要 10 分钟。没备份,可能需要好几天才能清理干净。


九、安全检查清单(收藏备用)

每周花 5 分钟检查以下项目:

检查项 频率 工具
🔄 WordPress 核心更新 有新版本时 后台自动提醒
🔄 插件/主题更新 每周 后台 → 更新
🛡️ Wordfence 扫描 每周 Wordfence 自动扫描
💾 备份状态 每周 UpdraftPlus 查看备份日志
🔑 密码强度 每月 手动检查
👥 用户列表 每月 后台 → 用户(有没有不明账号)
🔗 死链接 每月 Broken Link Checker 插件


十、常见问题

Q1:免费主机安全吗?

主流免费主机(InfinityFree 等)本身有一定的安全措施。但免费主机的安全性确实不如付费主机,所以更需要你自己做好防护——特别是备份。

Q2:Wordfence 免费版够用吗?

够用。 免费版包含了防火墙、恶意软件扫描、登录保护等核心功能。付费版多了实时黑名单更新和优先级技术支持,个人博客免费版完全够了。

Q3:双因素认证(2FA)一定要开吗?

强烈建议开启。 即使密码泄露了,没有你的手机验证码,黑客也登录不了。Wordfence 免费版就支持 2FA。

Q4:要不要隐藏 WordPress 登录地址?

/wp-admin 改成 /my-secret-login 确实能防住一部分自动扫描。但这种"安全靠隐藏"的做法治标不治本。建议优先做好强密码 + 双因素认证 + 登录限制,这三个更有效。


十一、小结

优先级 安全措施 难度 耗时
🔴 紧急 修改弱密码、删除 admin 账号 5 分钟
🔴 紧急 安装 UpdraftPlus,做一次完整备份 10 分钟
🔴 紧急 开启 HTTPS 5 分钟
🟡 重要 安装 Wordfence,开启防火墙 ⭐⭐ 15 分钟
🟡 重要 开启双因素认证(2FA) ⭐⭐ 5 分钟
🟢 日常 保持 WordPress + 插件更新 每周 5 分钟
🟢 日常 检查备份状态 每周 2 分钟
🔵 进阶 Cloudflare 防火墙规则 ⭐⭐⭐ 20 分钟

安全不是一次性工作,而是一种习惯。今天花半小时把这些做完,以后每周花 5 分钟检查,你的网站就能睡得安稳了。


📌 系列文章

- [新手必看:DNSHE 免费域名注册全攻略]()

- [免费虚拟主机注册全攻略]()

- [DNS 解析从入门到精通]()

- [Cloudflare 免费 CDN 配置教程]()

- [内网穿透教程——让家里电脑变成服务器]()

- [GitHub Pages 搭建免费个人网站]()

- [免费 SSL 证书申请教程]()

- [WordPress 零基础建站教程]()

- [网站上线后必做的 SEO 优化指南]()

- [Google AdSense 广告接入全攻略]()

- 本文:零成本网站安全防护指南

免费主机白嫖到手,WordPress 零基础建站教程来啦! 网站打开太慢?零成本访问速度优化全攻略,从龟速到秒开!

最新回复

暂无回复,来说两句吧

发表评论

站点总访问量:109