网络安全这件事，说难也难，说简单也简单。我带过不少徒弟，发现很多人一上来就被各种术语吓住了。其实咱们做网站的，把几件基础事情做好，就能挡住大部分麻烦。

先说 SSL 证书，这是最基础的门槛。你打开网站要是看到地址栏那个小锁标志，就是 HTTPS 在保护数据传输。配置其实不复杂，去 Let’s Encrypt 申请个免费证书，用 Certbot 工具一行命令就能搞定。我记得去年帮一个徒弟配电商站，他总担心付费证书才安全，其实免费和付费的加密强度一样，区别只在保险额度。装好后记得在 Nginx 或 Apache 里强制跳转 HTTPS，不然用户输 http 开头还是不安全。

防火墙是第二道门。Linux 系统自带 iptables，但新手用 ufw 更顺手。安装后先允许 SSH 端口，不然把自己锁外面就尴尬了，我见过太多次这种事了。然后只开放网站需要的 80 和 443 端口，其他一律拒绝。有个徒弟做 API 接口，我让他额外开了 8080 端口，但限制了只允许特定 IP 访问，这样即使端口暴露也进不来。

防攻击这块，DDoS 和 CC 是最常见的。小网站被盯上往往是因为没做任何防护。最简单的办法是上 Cloudflare，免费套餐就能挡掉大部分流量攻击。有个做论坛的徒弟，之前天天被 CC 攻击，服务器 CPU 常年百分百，接了 Cloudflare 后设置个五秒盾，机器人访问先挑战验证，攻击立马少了一大半。另外记得在 Nginx 里限制单 IP 请求频率，比如每秒最多十次，超过就返回 403，这样能防住不少脚本小子。

数据库安全容易被忽视。默认端口 3306 千万别对外网开放，改成内网监听，应用通过 localhost 连接。密码别用 root 这种默认的，我让徒弟用随机生成的长密码，定期更换。还有备份，每天自动备份到远程服务器，万一被勒索还有退路。

最后说个真实案例。前阵子一个徒弟的站被挂马，查了半天发现是 WordPress 插件漏洞。从那以后我要求所有徒弟做到三点：及时更新核心和插件，删掉不用的功能，装个安全插件监控文件变化。现在半年过去，再没出过事。

网络安全不是一劳永逸，得养成习惯。就像关门锁窗，每天顺手做了，自然就安全了。