前言

前端时间我的网站被黑，所以近期一直在关注自己网站的安全。本人使用的Linode VPS可以基本排除从服务商级别的渗入，只需考虑自己网站的安全性问题即可。

我的网站都采用WordPress进行搭建，作为世界上使用量最大的CMS系统，基本上只要做好了及时的升级，那么就不会有什么大的问题。但是就怕因为自己的一些不良习惯为自己的网站增加使用风险。

WP Statistics插件

WP Statistics插件是一个非常强大的统计分析插件，通过这个插件，你可以非常详细地了解到访问网站的用户信息，比如每天访问量、来源、浏览了哪些文章、使用的系统、浏览器等等。

虽然从网站的访问日志上也能看出很多网站访问的信息。但是我只是一个互联网小白，对于日志怎么看都是要Baidu的，让我分析日志那肯定就是青蛙跳井——不懂了。

前几天为我的几个网站都装上了WP Statistics插件，虽然感觉上好像会增加服务器的压力，但是实际上由于我的几个网站访问数量都很低，因此没有实际上的感觉，VPS的CPU占用率，内存占用率等基本上都和过去没有什么差别。但是Mysql的存储内容会越来越多，这显然是因为记录了访客数据的关系造成的。

分析结果

1：安装完毕后，务必一定要删除不必要的文件和目录

通过WP Statistics插件分析，我的网站会有以下目录或者文件的访问日志，而这些日志或者文件我肯定是不回去访问的，因此绝对可以排除是我自己造成的访问，只可能是他人在访问。

• /wordpress/
• /OLD/
• /wp-content/plugins/woocommerce/readme.txt
• /xxsssseee
• /dev/
• 域名.sql

显然这里有一些目录和文件名是我们在安装站点的时候经常使用的所谓临时文件或者保存临时文件的目录。通过这些目录、文件的访问，是的确可能可以获得注入网站的机会。

因此安装WordPress一定要严谨，一旦安装完毕，就删除所有无关的文件和目录。

2：Mysql尽量不要使用root用户名

WordPress必须要使用mysql数据库，过去我会偷懒，所有布置在一个服务器上的网站会都使用root用户名，只是会有不同的数据库名称而已。这样的操作也是非常不安全的，一旦一个网站被攻破，其他所有的网站都会遭殃。

3：WordPress和插件尽量做到及时升级

每天登陆一次自己的网站，对于有升级提示的，第一时间进行升级，这样可以最大限度的弥补因为WordPress或者插件的漏洞的威胁。