上禮拜幫朋友公司弄官網(wǎng)，選了上海的虛擬主機(jī)。買完才想起來(lái)問(wèn)自己：這玩意兒到底安不安全？干脆動(dòng)手測(cè)一測(cè)。

第一步：扒開后臺(tái)看底褲

拿到主機(jī)賬號(hào)密碼，先登錄后臺(tái)面板。手指頭啪啪敲網(wǎng)址，第一眼就看到控制臺(tái)寫著“基礎(chǔ)安全防護(hù)已開啟”，心里剛踏實(shí)三秒，手賤點(diǎn)了詳情——好家伙，防火墻規(guī)則就默認(rèn)開了80和443端口，其他全關(guān)著。馬上打開服務(wù)器資源監(jiān)控，好家伙！CPU曲線跟心電圖似的上躥下跳。

• 抄起電話罵客服：“你們這防護(hù)跟紙糊的有啥區(qū)別？”
• 打開寶塔面板手動(dòng)調(diào)防火墻，把沒(méi)用的端口全鎖死

第二步：跟黑客工具硬剛

從網(wǎng)上下載個(gè)掃描工具（正經(jīng)用途！），對(duì)著自己主機(jī)IP狂掃。好家伙，不到十分鐘后臺(tái)就跳出十幾條攔截提示：

• 某IP嘗試爆破FTP密碼，連續(xù)失敗37次被拉黑
• 有個(gè)撞庫(kù)機(jī)器人爬登錄頁(yè)面，觸發(fā)驗(yàn)證碼封鎖
• 最離譜的是凌晨三點(diǎn)有IP瘋狂ping我端口，直接被防火墻踹飛

嚇得我連夜給數(shù)據(jù)庫(kù)改名。原來(lái)默認(rèn)叫“root”是？直接改成“你爹在此_不服來(lái)干”，雖然粗俗但管用！密碼也從“公司名+123”改成20位的亂碼，截屏發(fā)工作群還被同事罵“誰(shuí)記得住”。

第三步：加裝防盜門

發(fā)現(xiàn)主機(jī)商送的SSL證書要手動(dòng)續(xù)期，上次過(guò)期導(dǎo)致官網(wǎng)變“危險(xiǎn)網(wǎng)站”。氣得我：

1. 把自動(dòng)續(xù)期腳本塞進(jìn)crontab
2. 所有后臺(tái)登錄頁(yè)強(qiáng)制跳HTTPS
3. 給/wp-admin目錄加了雙因素認(rèn)證

最絕的是改后臺(tái)登錄路徑。原本是“域名/*”？直接改成“域名/滾遠(yuǎn)點(diǎn)別爬了.php”。改完自己都笑出聲，這招夠損但真能攔掉九成爬蟲。

現(xiàn)在敢說(shuō)穩(wěn)如老狗？

昨天半夜突然收到報(bào)警短信，CPU飆到90%。連滾帶爬開電腦查日志，你猜怎么著？朋友市場(chǎng)部的小哥傳了3GB產(chǎn)品圖，原始尺寸直接懟服務(wù)器。反手給他裝了個(gè)自動(dòng)壓縮圖片的插件，順便把上傳權(quán)限鎖成jpg-only。

折騰兩周的心得：上海主機(jī)本身不背鍋，安全全靠自己折騰?，F(xiàn)在網(wǎng)站首頁(yè)掛著“本店已安裝24小時(shí)電擊防盜系統(tǒng)”，就三個(gè)監(jiān)控腳本+微信報(bào)警。但別說(shuō)，上線半個(gè)月零事故，連百度蜘蛛都被我限流了——天天來(lái)爬也不給訂單，爬個(gè)錘子！

（剛說(shuō)完手機(jī)又震，得...去收拾程序員亂丟的調(diào)試代碼了）