WordPress建站心得(三)Web安全与隐私

2017年4月21日更新:因StartCom和WoSign接连曝出证书签发丑闻,Mozilla, Apple和Google已经决定撤销对这两家CA厂商的信任。Alex Sky网站也于2016年8月31日全部改为Let’s Encrypt CA。使用StartSSL的站长应该尽快转用其他CA。 在上两篇文章中,我们谈到了如何通过网页设计和服务器设置降低页面呈现时间,提高网站整体性能和提高用户体验。这一篇文章将涉足一个新的领域——安全。在我说的网站的四个重要价值——“功能”、“交互”、“性能”、“安全”中,“安全”恐怕是最少提到的话题之一了,对于WordPress更是如此。不过在当下,网站安全的话题却屡屡被提及,从前些年的CSDN用户密码泄露,到最近才发生的adobe账户泄露,再到逐渐发酵的凌镜门事件,网络攻击似乎并没有随着科技的进步而减少,反而愈演愈烈,并逐步替代木马和病毒,成为信息安全中的主要威胁。 作为用户,我们小心谨慎,注意密码安全,关闭浏览器的密码自动填充,更改路由器密码。不过这些远远不够抵御目前的诸多网络攻击。比如前几天我发现新浪微博和人人网仍然无法避免会话劫持(Session Hijacking)的攻击。我认为作为站长,对于此类攻击有不可推卸的责任。 提到网站的安全,我们首先会想到服务器的安全,比如SSH的密码安全,防火墙,SQL注入防护等。这些都非常重要,而且也是建立一个网站必要的措施。不过我今天谈到的一些安全措施,则更加针对当前的网络攻击,尤其是直接针对终端用户的攻击。这类安全措施目前较少受到重视,但却是必不可少的。我将以当前的攻击为主线,来讲讲如何通过合理配置服务器来防护。

WordPress建站心得(二)网站架构设计

在上一篇文章《WordPress建站心得(一)前端性能优化》中,我们提到了如何在服务器和网络状况不变的情况下,通过调整优化请求数目和顺序,缩短页面呈现时间,从而提升用户体验。不过,这种优化只是在请求之间的优化,它并不能提升每个请求的响应时间,如果需要继续优化性能,则必须从服务器和网络本身入手。 我们谈到服务器性能,主要有三个比较重要的衡量标准。一是吞吐量,表示网站在一定时间内能有效承载的请求的最大数量,也就是网站能承受多少人同时访问。二是资源消耗,表示网站在处理一定数量的请求时,所消耗的服务器资源,这和网站的成本直接挂钩。三是首包时间,表示网站返回动态(如PHP, JSP)与静态请求(如js,css,jpg)所需要的计算时间。 在这三个标准中,传统的性能优化主要集中在头两个方面,这无可厚非,因为直接涉及到网站的运营成本和覆盖范围。诚然,这三个标准其实相互作用,一个性能优良的网站,必然会有较高的吞吐量,较低的资源消耗,以及较低的首包时间。不过这并非完全正确,因为采用传统方法优化服务器架构,只能在前两方面有所进步。比如,采用web–>application–>db三层服务器集群,中间通过load balancer来动态调配,的确能极大增加吞吐量和降低单服务器资源消耗,但首包时间并不会因此而大大降低,反而会因为服务器之间的网络沟通产生延时。 回到WordPress的例子上面,相信很多站长都和我一样,没有充裕的budget,只是凭个人爱好而建站,必然没有那么多资源建设庞大的服务器集群,但我们同样有很多办法优化我们仅有的vps性能,从而降低首包时间,减少资源消耗,增大吞吐量。这篇文章针对的正是我们这些草根站长。