蓝布编程网

Pine 萧箫 发自 凹非寺

量子位 | 公众号 QbitAI

又一个重要数学猜想，被陶哲轩和他的博士后破解了！

Lazy Load听着高级其实超简单——但90%人做错！去年帮个服装站优化，首页塞了80张高清图，首屏加载8秒（谷歌都想打人）。关键错误：把首屏大图也延迟加载了，结果用户看空白图5秒...

安全问题真的是老生常谈但总有人不当回事...WordPress太开放了，各种机器人天天扫描寻找空子钻！基本的防护一定要做！Wordfence Security插件几乎必装，免费版就够强悍了。防火墙规则它能更新，暴力破解登录防护也靠它。记得设置好强密码啊！Admin用户最好也改个名或者限制登录尝试次数，别让机器人无限试错。()

Sucuri Security也挺好，可以监控网站状态黑名单啥的。还有别忘了定期备份！UpdraftPlus插件设置自动备份到Google Drive或者Dropbox，一周一备总是要的（产品更新频繁的可以设置每天差异备份）。万一真中招被黑或者误操作删了数据，

网站被黑、数据泄露，做独立站的都怕遇到！我之前没当回事，直到有天登录后台，发现订单数据全被删了，客服聊天记录也没了，急得我直冒冷汗。

后来查原因，原来是用了弱密码“123456”，黑客暴力破解了账号。现在我密码改成“W0rdPr3ss-2024-abc”（虽然有点长，但安全），还开启了双重验证——手机收验证码登录，再也不用怕密码泄露。

数据备份也别偷懒！我刚开始用主题自带的备份功能，结果有次服务器崩溃，备份文件损坏，数据全没了。现在每周手动导出数据库，存到云盘里，还买了自动备份插件，每天凌晨自动备份，再也不怕“意外”了。

一般大家都关注WordPress，毕竟用户量巨大，而国内的Typecho作为轻量级的博客系统就关注的人并不多。Typecho有很多借鉴WordPress的，包括兼容的xmlrpc接口，而WordPress的这个接口爆出过多个漏洞，Typecho无一幸免。

账号密码爆破

WordPress的相关漏洞可以参考
https://blog.cloudflare.com/a-look-at-the-new-wordpress-brute-force-amplification-attack/ 这个漏洞在Typecho上要危害稍微小一点，因为WordPress是有破解保护的，而这个接口可以绕过这个保护，Typecho并没有这个保护，只要暴露了后台地址就然并卵了。但是我采用了后台登录的两步验证，这个接口接口确实绕过了两步验证。

“网站突然打不开，客服说后台登录页面被提示‘404’，是不是被黑了？” 我们一查，原来是他的WordPress后台地址还是默认的“/wp-admin”，被黑客用工具扫到了，试了100次密码后锁定了账号。

我们帮他做了“后台隐藏术”：首先，用插件把登录地址改成“/shop-admin-2024”这种随机字符串；其次，开了“登录失败锁定”功能，输错3次密码就封IP1小时；最妙的是，在登录页加了个“动态验证码”——每次刷新页面，验证码都会变，连“复制粘贴”都不管用。