妈的,凌晨三点手机响得跟催命一样,一看是服务器商的报警短信说CPU跑满100%持续半小时,连SSH都卡得进不去,我第一反应不是网站被CC,是后台TM又被爬虫或者弱智脚本扫到了准备给我来个“惊喜大礼包”。
真的,做网站,前台那些花里胡哨的东西都是给用户和蜘蛛看的,后台才是你亲爹,伺候不好分分钟给你上演一出《消失的它》。
先说最痛的点:安全!安全!还是他妈的安全! 我第一个站死得那叫一个冤,用网上下的所谓“破解版”主题,后台路径还是默认的 /wp-admin,密码是 admin + 手机号后六位,觉得没人会知道我这个小破站。结果呢?被人挂满了黑链和菠菜页面,首页跳转到澳门赌场,百度直接给我判了死刑,权重清零收录全掉,那感觉就像你辛苦养大的孩子突然管别人叫爹。现在?后台路径必须改得连亲妈都不认识,密码至少16位混合大小写符号数字,二次验证给我装上,这里有份我整理的安全插件清单,照着弄,能挡掉99%的脚本小子。
第二,别在后台堆砌那些没用的插件和功能!特别是用WordPress或者类似CMS的兄弟,看见个功能炫酷的插件就装,觉得后台越复杂越专业。大错特错!每一个插件都是一个潜在的性能瓶颈和安全漏洞,它们相互之间还可能冲突,导致后台卡成PPT,甚至前台加载时间暴涨。我之前就干过这蠢事,装了七八个SEO优化、缓存、弹窗、统计插件,后台打开要十几秒,最后排查问题像在玩扫雷,拆一个看看会不会炸。后来心一横,全卸了,只保留最核心的三个,世界顿时清净了,网站速度也上来了。
第三,权限管理要像防贼一样。 如果你有团队,千万别给所有人都开管理员权限。编辑就是编辑,只能发文;投稿就是投稿,只能提交草稿。我见过最离谱的,把后台管理员账号给了外包的设计师,结果人家离职前“手滑”把媒体库图片全删了,还没备份,那种绝望你能懂吗?盯着空荡荡的媒体库,想死的心都有。角色权限,务必细分,这是对你网站资产的起码尊重。
最后,也是血泪换来的:备份!自动备份!异地备份! 别信服务器商说的“我们有快照”,真出了事,恢复流程能急死你。一定要在后台设置好数据库和文件的自动备份,并且同步到另一个地方,比如云存储。我现在的习惯是,每次在后台进行大动作(比如升级核心、换主题)之前,手动点一下备份按钮,这个动作救过我至少三次命。真的,当你看着被误操作清空的文章列表,能从容地从备份里拉回来那一刻,你会回来谢我的。
总之,后台不是你炫耀技术力的地方,它是你的作战指挥中心,也是最大的风险来源。把它弄得简洁、坚固、有条理,比什么都强。不然,指不定哪个阳光明媚的下午,它就能给你一个“终身难忘”的教训。抽了三根烟才把凌晨那波攻击日志看完,又是扫描,妈的,日子还得过,站还得养。
