這兩天又有朋友的網(wǎng)站被攻擊了，似乎大家對(duì)這塊的討論又多了起來(lái)。

其實(shí)對(duì)于網(wǎng)站的安全防護(hù)，我之前有專門整理過(guò)相應(yīng)的 SOP 手冊(cè)（在運(yùn)營(yíng)手冊(cè)那個(gè)文檔），那今天就以 WordPress 網(wǎng)站為案例來(lái)談網(wǎng)站安全防護(hù)。

看上圖，我在我的博客域名后面加了“/wp-json/wp/v2/users”這一串定位符，于是便可以看到我這個(gè)網(wǎng)站上的所有用戶信息。

要是想登錄網(wǎng)站后臺(tái)，那只需要找到這個(gè)用戶的登錄密碼便可以了對(duì)吧，畢竟 WordPress 站點(diǎn)的默認(rèn)后臺(tái)地址是“/wp-admin”。而想獲取到用戶密碼，最簡(jiǎn)單的方式便是采用密碼本進(jìn)行爆破。

所以上面這一套邏輯，便是最簡(jiǎn)單的 WordPress 滲透方式。

但是我想說(shuō)的是，這種操作的原理雖然簡(jiǎn)單，而真正想要實(shí)操起來(lái)卻并不容易。

因?yàn)楝F(xiàn)在絕大多數(shù)的服務(wù)器提供商，已經(jīng)對(duì)管理員用戶的登錄次數(shù)做了限制。換句話說(shuō)就是，如果你嘗試在相同 IP 條件下，反復(fù)嘗試密碼破解，基本幾次請(qǐng)求之后就會(huì)被拒絕訪問(wèn)（訪問(wèn) IP 被加入黑名單）。

這也就是我一直強(qiáng)調(diào)的，盡可能選擇大品牌的服務(wù)提供商的產(chǎn)品，盡可能啟用他們的安全防護(hù)服務(wù)。

但現(xiàn)實(shí)卻是，有不少小伙伴出于成本的考量，會(huì)去選擇某些廉價(jià)，或者基礎(chǔ)設(shè)置并不怎么完善的服務(wù)器產(chǎn)品進(jìn)行網(wǎng)站搭建，然后也不怎么重視（或者無(wú)意識(shí)忽視）網(wǎng)站的安全防護(hù)。

更有甚者，會(huì)隨意在網(wǎng)站上安裝一些破解版的主題或插件，進(jìn)而加劇網(wǎng)站的安全風(fēng)險(xiǎn)。

當(dāng)然我這里并不是說(shuō)不能選擇小眾服務(wù)器產(chǎn)品，我想表達(dá)的是聚焦精力。因?yàn)槲覀兊闹匦氖亲鼍W(wǎng)站運(yùn)營(yíng)，而非搞什么技術(shù)防護(hù)。

那一個(gè)簡(jiǎn)單的、適合所有人的方案就是直接多花點(diǎn)錢，將這塊內(nèi)容交給值得信賴的服務(wù)商，讓他們?nèi)ケＷo(hù)自己的網(wǎng)站，而自己則聚焦精力專注做自己的內(nèi)容。

按照我自己的經(jīng)驗(yàn)，選擇大品牌的服務(wù)器提供商，然后按照他們的操作手冊(cè)設(shè)置好相應(yīng)的安全設(shè)置。并且在運(yùn)營(yíng)的過(guò)程中拒絕所有不安全的因素（比如破解版主題插件、不信任應(yīng)用的第三方授權(quán)），那網(wǎng)站基本不會(huì)出現(xiàn)問(wèn)題。

更進(jìn)一步，當(dāng)你的網(wǎng)站流量達(dá)到一定量級(jí)后，直接花錢買相應(yīng)的安全服務(wù)方案，將這塊內(nèi)容交給專業(yè)團(tuán)隊(duì)去做，總比自己一個(gè)人苦哈哈折騰要好得多。

最后附上一份安全防護(hù)建議。