WordPress使用linux服务器(宝塔)环境安全和优化策略
前言:防范web攻击、挂马,让你的WordPress更安全,访问更快必须做好安全策略以及优化
近期WEB主题公园收到了非常多的网站被挂马、被攻击导致网站访问不安全、访问速度慢等一系列问题,在帮助这些用户解决此类问题的时候,发现了很多用户在部署自己的网站时,服务器的环境的安全设置基本上没有进行过任何操作,这也导致了这些攻击较为频繁的出现。
就目前来说,使用WordPress建立网站主要通过2种环境,一种是使用虚拟主机,另一种是使用VPS、云服务器。
今天,我们在此文介绍各种主机、服务器环境下,在使用WordPress之前,如何搭建一个最优化的服务器环境,以及服务器环境安全策略的教程,帮助你搭建一个良好的网站环境。
根据自身需求,应该如何购买服务器资源,选择什么样的配置和环境?
在这里,我们将讲解市面上比较流行的几种服务器资源:虚拟主机、云服务器/vps。
虚拟主机
虚拟主机是比较常用的方式,适用于企业展示网站,访问了低于日IP1000,并且没有较高的资源消耗程序的网站。
如果你使用WordPress建立一个企业官方网站,并仅作为对外展示的窗口,可能提供一些小型问答社区、留言等用户需要登录的功能,那么选择虚拟主机是比较经济实用的方式。
虚拟主机选择的时候需要如下几点注意
- 虚拟主机环境:php和mysql是WordPress必备的环境,虚拟主机可选linux系统,确保你的主机提供rewrite模块,让你能够做好伪静态。
- php的版本最好是可选的,WordPress最低要求为PHP 5.1,但这个php的版本对于非常多的主题和插件来说是无法使用的,在此我们推荐能够使用php 7.0的虚拟主机,最少你的主机应该支持PHP5.6
- mysql 数据库,mysql目前有很大部分的虚拟主机提供商只提供了 mysql5.2,但更高的版本会带来更好的兼容和更高的效率,这里我们推荐mysql5.6(WEB主题公园绝大部分的主题导入数据使用mysql5.6导出,这样可以无损导入)
- 可设置文件权限,这一点非常重要,虚拟主机无法控制安全策略,因此虚拟主机唯一的安全策略就是关闭文件夹权限,让木马等篡改无法进行。
云服务器/vps
云服务器也是非常常用的方式,适用于企业展示网站、商城网站等带有较高访问量和较高资源消耗程序的网站;
云服务器应用于访问量高于日ip 1000+,pv 5000+ 的网站,当然如果你的网站当前访问量很小,但预期很大,可以选用云服务器,云服务器可随时增加配置,可以再一开始选择较小的配置,等到访问量高,服务器负载大的时候,再升级配置。
ps.如果你使用的是woocommerce商城,那么我们推荐你使用云服务器,woocommerce商城是比较消耗资源的程序,需要做一定的优化才能很快,若使用虚拟主机,则会比较慢。
选择配置
云服务器选择购买时,可根据自身当前需求购买
如当前网站刚刚建立,访问量不高时,可购买较低的基础配置:推荐 双核CPU、1G内存、2M带宽、30G系统盘(自带)、50G数据盘(数据盘可根据自身网站内容购买小一些或者大一些的)
中等配置:四核CPU,4G内存、5~6M带宽、30G系统盘,100G数据盘(足以轻松应对中型网站访问:日ip 1500+ 日PV7000+ )
高级配置这里暂时不谈,若你的网站日IP 几万,pv过几十万的大型商城、社区、咨询网站,请聘请一位专门的维运人员,做好负载均衡一类的工作。
云服务器目前市面上很多,选择一个可进行安全组设置的云服务器是非常必要的,如果你的云服务器不提供安全组,那么尽快更换。
系统环境
安装 linux CentOS或者ubuntu
就WordPress而言,php的语言最好是选择linux系统,这样是最适配的,目前来说,有非常好用的linux面板镜像,无需你再辛苦学习linux知识。
这里我们推荐宝塔linux专业版,安装简单,配置环境方便,安全策略设置也非常方便。
云服务器/虚拟主机以及其他的推荐
以我们在网站服务的经验,我们对最常用的几个厂商的服务器和虚拟主机的优缺点进行对比,方便你进行选择。
1.虚拟主机
虚拟主机最常见的是阿里云的虚拟主机,阿里云的虚拟主机实际上是属于万网公司
WEB主题公园有很多用户在使用
优点:
- 大品牌影响力大,大家都比较相信
- 提供独立IP,可做ssl加密(比较独家)
缺点:
- 大品牌的小产品,售后服务常踢皮球,售后感受不是特别好
- 部分虚拟主机无法选择php7.0版本、数据库最新只有5.5
- 无法在线管理文件,也就是无法设置文件夹权限(WEB主题公园所遇到的挂马案例中,80%来自阿里云主机)
西部数码虚拟主机
西部数码是WEB主题公园所代理的品牌,因此推荐了很多用户在使用,在这里也比较有发言权
优点:
- 可选配置较多,可选php5.2~7.1 ,随时在虚拟主机控制面板设置
- mysql数据库版本可选 5.2 和5.6
- 售后服务较好,反应及时,并且有对应的付费选项,如自己搞不定的,花费少许服务费即可很快帮你解决
- 有在线文件管理,可设置文件夹权限(在WEB主题公园代理平台购买的主机,我们在安装好了之后,都会帮忙设置好文件夹权限,基本上90%的用户没有遇到过被挂马的问题)
缺点:
- 国内主机不提供独立IP,因此无法做SSL加密,需要ssl加密的只能选择港台主机(无需备案)
2.服务器
阿里云ecs服务器和西部数码的云服务器对比
阿里云ECS服务器是大家选择较多的,质量总体来说也是非常不错的,缺点是,购买配置的界面太过于专业,各种策略搭配让新手很难知道应该如何选择,在选择时若无法知道如何选项,可直接购买主页的套餐。
西部数码的云服务器也是非常不错的,购买界面简单,弹性主机选择可随意选择各种配置,直观明了,性价比较高,总费用比阿里云略低。
两个厂商的云服务器都是非常不错的,都可配置安全组,阿里云还有镜像市场可一键配置镜像。
3.其他
其他厂商的云服务器我们接触较少,此处不做具体测评。
这里要说的是阿里云的轻云应用,这种服务器也是属于云服务器的一种,但相对于ECS来说配置较小,价格较便宜,但使用时注意不要选择他的WordPress应用镜像!这个镜像基于linux,但完全没有控制面板、数据库面板,因此如果你选择了这个镜像,而没有linux专业知识的话,想要更换服务器导出数据是基本上不可能的。
在此提醒大家,不要选择它提供的WordPress应用镜像! 轻云应用可选宝塔linux,有面板更容易操作,无需linux基础。
云服务器/VPS、虚拟主机的安全策略
被挂马是非常常见的安全问题,我们每个月几乎都会受到用户的帮助请求,被挂马的网站最常见的是跳转到其他网站上去,进行劫持流量。
并通过篡改文件,获得后台管理员权限(我们常说的后门)。
那么我们应该进行安全策略的配置,杜绝挂马、后门的情况出现。
虚拟主机上文有描述,需要设置文件夹权限,此处不再重复,这里我们主要说一说云服务器、VPS的安全策略。
云服务器、vps的安全策略,以宝塔linux为例说明
更换密码
当你安装好了宝塔linux,第一件事情就是更改你的宝塔面板管理员和密码,宝塔默认的管理员账号为admin,这是比较危险的用户名,不管是任何地方,都不要使用admin作为密码。
更换默认端口
宝塔linux的登陆端口为8888 ,你可以更换一个任意的随机端口 范围8888 – 65535
宝塔的FTP端口为21,你可以同样更换一个随机端口 (五位数以内的随机端口)
解析一个域名,代替IP登陆网站
在宝塔的面板设置中,有一个绑定域名的选项,你可以解析一个二级域名,如 baota.xxx.com 到服务器IP,生效之后,将此域名绑定,那么你的宝塔登陆界面为baota.xxx.com:端口号
这样可以避免你的宝塔后台被轻易找到(二级域名+端口,双重保险)
禁ping
在宝塔linux中,将禁ping勾选,禁止ping让人无法精确知道你的服务器ip响应的内容。
安装宝塔付费的防火墙
安全组策略
安全组可以放行一些我们需要使用的端口,关闭一些存在风险的端口,这样可以保证我们的服务器安全最大化
安全组需要放行的端口:
- TCP: 80 –网站默认端口 (http)
- TCP: 443 — SSL加密网站端口(https)
- TCP: 888 –phpmyadmin端口
- TCP: 宝塔面板端口 TCP (你修改过的,默认为8888)
- TCP: ftp端口 (你修改过的,默认为21)
安全组需要禁止的端口:
- TCP:3306 –数据库外部连接端口
- TCP和UDP的135、137、138、139、445 -存在风险可被入侵的端口
- TCP和UDP的 111211–memcached监听端口 (如果你安装了memcached的话)
- icmp 所有端口(禁ping)
- TCP 22端口–SSH远程登录默认端口(使用宝塔面板,不会经常用到ssh远程服务,或者你自己根本不会ssh操作,可在安全组禁止这个端口)
以上为今天所述的服务器选择和安全配置的说明,如果你不知道如何选择服务器、如何配置环境,可选择我们所提供的服务:[云服务器配置服务]
您好!请登录