更新了网站服务器后,偶然发现我的网站的SSL安全评级已经降到了B级,当初的王者现在变白银了。 主要原因是Nginx默认支持TLS1.0,1.1,而并不支持TLS1.3。如果你的Nginx也仍支持TLSv1.0, v1.1那你的网站在https://www.ssllabs.com/ssltest/index.html 上的安全评价最多就是B级。
为了一个好看的评分(对个人小众网站的确仅此而已),我禁用了Nginx里的TLS 1.0 和 1.1并启用TLS 1.3。
我修改了Ubuntu上的2个不同的配置文件,你也许要修改3个
还记得我老早就给我这个基于wordpress破网站加上了登录两步验证并把https变成默认设置吧。好吧,我闲的蛋疼,又开始折腾了。
事情的起因是我心血来潮,在google的pagespeed网站 上测了下www.oheng.com的性能。100分满分的网站性能测试,我的网站居然只得了42分,这怎么能忍,好歹得混个及格吧。https://developers.google.com/speed/pagespeed/insights/
于是,登录那些能找到的网页性能优化网站,查看优化建议,安装wordpress的性能优化插件,压缩媒体内容。。。总之,忙了一下午。
现在来看下优化的结果吧
我居然给我这个每天访问人数不到2位数的网站加上了两步验证!这你敢信?
近年来,我吃饱了没事干,不断增强我这个日活用户就我自己一人的网站的安全性。除了在第一时间升级wordpress到最新版本外,我还将网站的默认传输协议由http改为了https,并不断演练网站的灾难恢复。
这还不够,为了不断给自己添麻烦,我终于给这个破网站加上了登录两步验证的强制要求。那问题来了:
最常见的两步验证就是你用网银付款时,除了输入密码,还需要输入你收到短信中的验证码。支付密码是第一步验证,短信中的验证码是第二步验证,合在一起就是两步验证。
现在越来越多的网站将传输协议由http改为了https,那https到底是怎么回事呢?简单的来说HTTP和HTTPS的区别是有没使用SSL(安全套接字层)或者其后继者TLS(传输层安全)。http+ssl=https, 端口80,443
你需要从根证书颁发机构购买浏览器和客户端能够识别的 SSL 证书。SSL 证书年费从几美刀到几千不等——如果你的网站是基于多个服务器/VM的集群,那你需要买的证书还不只一个。
虽然HTTPS曾经昂贵过,但如今你已经能够从许多机构买到非常便宜的SSL证书. 而 EFF (电子前沿基金会) 已经推出了一个完全免费的 SSL 证书提供机构: https://letsencrypt.org/我的网站用的就是letsencrypt的免费证书。
因为有加密运算,https会占用一些CPU资源。前几年的报道是改为https后,网页的打开时间会增加5到10倍。
现在随着个人电脑性能的大幅提高,https已经和http没有明显的区别了。
Windows Live Writer曾经是我最喜欢的Blog编辑器。随着大博客时代褪去,Windows Live Writer 2012也成了微软Live Writer的最后一个版本。好在微软最终在2013年将之开源,所以才有了现在的open live writer。
挺久没更新博客了,说实话一直在考虑现在个人博客到底还有什么存在的意义。有什么好说的,好分享的,完全可以通过微博/朋友圈/Facebook什么的。
因为现在访问博客人数很少,这次更新去除了那些影响性能的花哨插件,留下的都是博客必须的功能插件。
下面是我不得不保留的7个插件:
Akismet Anti-Spam
一直保留到现在的默认插件,帮你屏蔽垃圾评论,在中文的环境里仍然有效。
Used by millions, Akismet is quite possibly the best way in the world to protect your blog from spam. Your site is fully configured and being protected, even while you sleep.
3.3版本 | 由Automattic | 查看详情
Backup by blogVault
试过许多博客备份插件,比较后觉得这个相对靠谱,Free Plan就已经能满足我这种小博客的需求,迁移和上传dropbox功能也很实用。
Easiest way to backup your WordPress site
1.46版本 | 由Backup by blogVault | 查看详情