网站建设的用户名和密码代码：别被忽悠，后台登录那点事儿我掏心窝子说

网站建设的用户名和密码代码

做建站这行十一年了，我见过太多老板因为一个密码，把心血搭进去。真不是吓唬你，前年有个做餐饮的朋友，网站好好的，突然首页全变成了博彩广告。查了半天，才发现是他当初为了省事，用了“admin123”这种弱口令，加上后台路径没改，黑客随便扫扫就进来了。那一刻，我是真恨铁不成钢。你花几万块建个站，结果因为几个字符的疏忽，全完了。

今天咱们不聊虚的，就聊聊最让人头疼，也最容易被忽视的：网站建设的用户名和密码代码。很多小白以为，建好站，登录后台改改文字就能上线。错！大错特错！这才是安全的第一道防线。

首先，别用默认账号。

很多建站模板，默认后台地址就是 /admin 或者 /wp-admin。黑客写个脚本，几秒钟就能试出你的后台在哪。我强烈建议，在部署网站时，第一时间修改后台登录入口。如果是自己写代码，把登录页面的URL路径改得复杂点，比如 /login-8829 这种，让机器扫不到。如果是用现成的CMS系统，像WordPress、DedeCMS这些，一定要在设置里改默认路径。这一步，能挡住90%的自动攻击脚本。

其次，密码别太简单。

我见过有人用生日当密码，还有人用“123456”。你是想让黑客白嫖你的网站吗？密码必须包含大小写字母、数字和特殊符号，长度至少12位。别嫌麻烦，这是保命符。还有，用户名别用 admin、root、test 这种通用词。给自己起个没人猜得到的名字，比如你的宠物名加个数字，或者公司简称加个乱码。这样，黑客就算撞库，也撞不到你。

再说说代码层面的安全。

很多外包公司给你建站，只给你个账号密码，代码里留了一堆后门。他们可能说：“这是为了方便维护。” 呸！全是扯淡。维护可以远程，为什么要留后门？你要检查你的代码，特别是数据库连接文件。看看有没有硬编码的数据库密码，有没有未使用的测试接口。如果发现代码里有类似 eval、assert 这种危险函数，立马删掉。这些往往是黑客上传木马的入口。

还有，定期改密码。

别觉得一次设好就一劳永逸。建议每三个月改一次后台密码。而且，不同网站不要用同一个密码。万一哪个小网站泄露了数据库，黑客拿着你的邮箱和密码去试其他站，这叫“撞库”，防不胜防。

最后，开启双重验证。

如果条件允许，给后台登录加上手机短信验证或者Google Authenticator。哪怕黑客偷了你的密码，没有你的手机，他也进不来。这招虽然麻烦点，但绝对管用。我有个客户，用了双重验证后，半年没收到一次攻击提醒。

记住，网站安全不是靠运气，是靠细节。别为了省那点钱，找个不靠谱的外包，最后哭都来不及。你自己动手，或者找靠谱的人，把用户名、密码、后台路径、代码安全这四件事做好。这才是对网站负责，也是对自己负责。

别等网站被挂马了，才想起来找我哭诉。那时候，神仙也救不了你。现在就去检查你的后台，改密码，换路径。行动，比什么都强。

本文关键词：网站建设的用户名和密码代码