很多朋友第一次用云服务器搭博客,最担心的就是安全问题:怕被黑、怕数据丢、怕网站突然打不开。这篇文章就以「用云服务器搭博客安全怎么设置才靠谱」为主线,带你从买服务器、搭博客,到一步步把常见的安全坑都填上。
为了方便你跟着操作,我会用一个比较常见、对新手友好的组合:腾讯云轻量应用服务器 + WordPress 博客。这套组合在腾讯云上活动机型挺多,价格也比较友好,你可以先通过下面这个链接了解一下当前的活动机型,再决定买哪一款:腾讯云服务器优惠活动入口。
一、先想清楚:博客要跑在什么样的云服务器上
在买云服务器之前,先明确几个点,能帮你少踩坑:
- 博客类型:如果只是写写文章、偶尔发图,用 WordPress 这种动态博客就够了;如果只做静态内容展示,后面也可以换成 Hexo、Halo 等更轻量的方案。
- 访问量预估:刚起步,一天几十到几百访问,1 核 2G 的云服务器基本够用;如果后面文章多了、图片多了,再考虑升级到 2 核 4G 或更高配置。
- 预算范围:腾讯云的轻量应用服务器经常有首年优惠,如果你只是想先搭起来跑一跑,可以先买活动机型,后面再按需升级。
在腾讯云控制台选择「轻量应用服务器」时,你可以参考下表来快速决定配置:
| 使用阶段 | 推荐配置 | 适用场景 | 备注 |
|---|---|---|---|
| 刚入门 | 1 核 2G / 40GB SSD | 每天几十~几百访问,主要写文字 | 适合先跑通流程,后续可升级 |
| 稳定更新 | 2 核 4G / 60GB SSD | 文章较多,有图片、评论,偶尔有朋友访问 | 性能更从容,响应更快 |
| 内容较多 | 2 核 8G 或更高 | 图片、附件多,或者计划做多站点 | 建议配合对象存储来放静态资源 |
选好配置后,地域建议选离你主要读者近的,比如你在华南就选广州,在华东就选上海,这样访问速度会好一些。系统镜像建议选 Ubuntu 22.04 LTS 或 CentOS 7 这类 LTS 版本,资料多,维护方便。
如果你对「轻量服务器」和「标准 CVM」有点纠结,可以先简单理解成:轻量服务器更省事、价格更亲民,适合个人博客这类场景;标准 CVM 更灵活,适合后期要做更多自定义配置的情况。想对比具体价格和功能,可以再打开这个链接看看:腾讯云服务器优惠活动入口。
二、买完服务器第一步:先把“门”守好
很多人搭好博客的第一天,就急着装 WordPress、传主题,却忽略了最基础的安全设置。其实,在装博客之前,先把服务器的“门”守好,后面会省很多事。
1. 登录方式:优先用 SSH 密钥,禁用密码登录
默认情况下,云服务器允许用账号+密码登录,但密码登录容易被暴力破解。更安全的做法是:
- 在本地电脑生成一对 SSH 密钥(公钥和私钥)。
- 把公钥上传到腾讯云控制台,绑定到你的云服务器。
- 登录时只用私钥,不再用密码。
以 Ubuntu 系统为例,生成密钥对可以在本地终端执行:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com" -f ~/.ssh/tencent_cloud_blog
生成后,把 ~/.ssh/tencent_cloud_blog.pub 的内容复制到剪贴板,然后到腾讯云控制台的「密钥对」页面,新建密钥对,选择“粘贴已有公钥”,把内容粘进去保存。
之后连接服务器时,就可以这样登录:
ssh -i ~/.ssh/tencent_cloud_blog ubuntu@你的服务器公网IP
登录成功后,建议修改 SSH 配置文件,禁用密码登录。编辑 /etc/ssh/sshd_config:
sudo nano /etc/ssh/sshd_config
找到下面这几行,按实际情况修改:
PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin no
改完后保存退出,再重启 SSH 服务:
sudo systemctl restart sshd
这样设置之后,即使别人知道你的服务器账号和密码,也无法通过 SSH 登录,安全性会高很多。
2. 安全组:只开放必要的端口
云服务器一般都有「安全组」功能,相当于一个虚拟防火墙,用来控制哪些端口可以被外部访问。对于博客来说,最开始只需要开放这几个端口:
- 22:SSH 登录端口(如果你改了默认端口,这里也要对应改)。
- 80:HTTP 访问端口。
- 443:HTTPS 访问端口(后面配置 SSL 证书时会用到)。
在腾讯云控制台找到你的云服务器,进入「安全组」配置页面,添加入方向规则,只放行上面这几个端口,来源可以选「0.0.0.0/0」(表示允许所有 IP 访问),如果你有固定的办公 IP,也可以限制成只允许这个 IP 访问 22 端口,这样会更安全。
记住一个原则:能少开一个端口,就少开一个。比如数据库端口(3306)、面板端口(比如 8090)这些,尽量不要对公网开放,只在服务器内部访问。
三、搭博客环境:用 LNMP 组合跑 WordPress
环境搭得好,博客不仅跑得稳,后续维护也轻松。这里我们用比较常见的 LNMP 组合:Linux + Nginx + MySQL/MariaDB + PHP。
1. 更新系统并安装基础软件
以 Ubuntu 22.04 为例,先更新系统软件包:
sudo apt update && sudo apt upgrade -y
然后安装 Nginx、MySQL、PHP 以及相关扩展:
sudo apt install -y nginx mariadb-server php php-mysql php-fpm php-common php-json php-xml php-mbstring php-zip
安装完成后,启动 Nginx 和 MariaDB,并设置开机自启:
sudo systemctl start nginx
sudo systemctl enable nginx
sudo systemctl start mariadb
sudo systemctl enable mariadb
接着运行 MySQL 安全安装脚本,设置 root 密码,并根据提示做一些安全配置:
sudo mysql_secure_installation
2. 配置 Nginx 支持 PHP
新建一个 Nginx 站点配置文件,比如 /etc/nginx/sites-available/blog:
sudo nano /etc/nginx/sites-available/blog
写入以下内容(记得把 your_domain_or_IP 改成你自己的域名或服务器 IP):
server {
listen 80;
server_name your_domain_or_IP;
root /usr/share/nginx//wordpress;
index index.php index. index.htm;
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ .php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/var/run/php/php-fpm.sock;
}
location ~ /.ht {
deny all;
}
}
然后启用这个站点配置:
sudo ln -s /etc/nginx/sites-available/blog /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx
3. 安装 WordPress
进入网站根目录,下载并解压 WordPress:
cd /usr/share/nginx/
sudo wget https://wordpress.org/latest.tar.gz
sudo tar -xzvf latest.tar.gz
sudo mv wordpress/ .
sudo rmdir wordpress
设置正确的文件权限:
sudo chown -R www-data:www-data /usr/share/nginx/
然后登录 MySQL,创建一个数据库和用户:
sudo mysql -u root -p
在 MySQL 命令行中执行:
CREATE DATABASE wordpress;
CREATE USER 'wordpressuser'@'localhost' IDENTIFIED BY '你的密码';
GRANT ALL PRIVILEGES ON wordpress. TO 'wordpressuser'@'localhost';
FLUSH PRIVILEGES;
EXIT;
最后在浏览器里访问你的服务器 IP 或域名,按照提示完成 WordPress 的安装,填写刚才创建的数据库信息,设置站点标题、管理员账号和密码,就能进入后台写文章了。
如果你觉得手动敲命令比较麻烦,也可以在腾讯云控制台看看有没有「应用镜像」或者「一键部署」的 WordPress 方案,比如轻量应用服务器里就有 WordPress 镜像,可以省去很多手动配置的步骤。想了解具体有哪些镜像,可以再打开这个链接看看:腾讯云服务器优惠活动入口。
四、博客安全加固:从“能用”到“靠谱”
博客搭起来之后,安全加固就是接下来要重点做的事了。这里从几个方面来说:
1. 给网站加上 HTTPS
HTTP 是明文传输,容易被中间人攻击,所以一定要给博客加上 HTTPS。可以用 Let’s Encrypt 提供的免费 SSL 证书,配合 Certbot 来自动申请和配置。
先安装 Certbot 和 Nginx 插件:
sudo apt install -y certbot python3-certbot-nginx
然后运行 Certbot,让它自动配置 Nginx:
sudo certbot --nginx -d your_domain
按提示操作,Certbot 会自动申请证书,并修改 Nginx 配置,把 HTTP 访问重定向到 HTTPS。配置完成后,你的博客就可以通过 https://你的域名 安全访问了。
Certbot 申请的证书有效期是 90 天,不过它会自动帮你续期,你只需要偶尔检查一下续期是否成功就行:
sudo certbot renew --dry-run
2. 修改 WordPress 后台登录地址
WordPress 默认的后台登录地址是 /wp-login.php,很容易被暴力破解工具盯上。可以通过插件或者代码的方式,把登录地址改成一个不容易猜到的路径。
比如用「Limit Login Attempts Reloaded」插件,可以限制登录失败的次数,超过一定次数就暂时封禁 IP;用「WPS Hide Login」插件,可以把后台登录地址改成自定义的 URL,比如 /my-secret-login,这样别人即使知道默认地址,也无法登录。
3. 定期更新系统和插件
WordPress 本身、主题、插件都会不定期发布更新,其中很多是为了修复安全漏洞。所以一定要养成定期更新的习惯:
- 登录 WordPress 后台,检查有没有核心、主题、插件的更新,及时更新。
- 定期登录服务器,执行
sudo apt update && sudo apt upgrade -y,更新系统和软件包。
更新前最好先备份一下网站文件和数据库,以防万一更新出问题可以快速恢复。
4. 定期备份网站数据和数据库
备份是最容易被忽略,但也是最重要的一环。万一服务器被黑、数据被删,有备份就能快速恢复。
可以用一个简单的 Shell 脚本,定期把网站文件和数据库打包备份到另一个目录,甚至同步到对象存储。比如:
!/bin/bash
BACKUP_DIR="/backup"
DATE=$(date +%Y%m%d)
tar -czf $BACKUP_DIR/wordpress_$DATE.tar.gz /usr/share/nginx/
mysqldump -u wordpressuser -p'你的密码' wordpress > $BACKUP_DIR/wordpress_db_$DATE.sql
然后用 Cron 定时任务,每天凌晨 3 点执行这个脚本:
0 3 /path/to/your/backup_script.sh
这样即使出现问题,也能从最近的备份中恢复数据。
五、常见问题排查
在搭博客和配置安全的过程中,可能会遇到一些问题,这里列几个常见的:
- Nginx 502 Bad Gateway:一般是 PHP-FPM 没启动,或者 Nginx 配置里的 fastcgi_pass 地址不对,可以检查 PHP-FPM 状态和 Nginx 配置。
- WordPress 无法上传图片:可能是网站根目录的权限不对,或者 PHP 的上传限制太小,可以检查
/usr/share/nginx/的权限,以及php.ini里的upload_max_filesize和post_max_size参数。 - SSL 证书申请失败:可能是域名解析还没生效,或者安全组没开放 80/443 端口,可以检查域名解析记录和安全组规则。
遇到问题不要慌,先看错误提示,再结合日志文件(比如 Nginx 的 /var/log/nginx/error.log)来排查,大部分问题都能找到原因。
六、总结
用云服务器搭博客,安全设置其实没那么复杂,关键是要养成好习惯:
- 买服务器时,选合适的配置和地域。
- 搭环境前,先把 SSH 密钥、安全组这些基础设置好。
- 博客搭起来后,及时加上 HTTPS,修改后台登录地址,定期更新系统和插件,做好备份。
只要把这些基础的安全设置做到位,你的博客就会比大多数“裸奔”的博客安全很多。如果你还在犹豫选哪款云服务器,可以先通过下面这个链接了解一下腾讯云的优惠活动,选一款适合自己的机型,跟着这篇文章一步步操作,很快就能搭好一个安全靠谱的个人博客:腾讯云服务器优惠活动入口。