Marico's space
最近查了一下自己的服务器日志,盯了五分钟没说话——全是密密麻麻的自动化扫描请求。你以为是哪个黑客在盯着你?不,就是一群 botnets 在 24 小时不间断地扫整个互联网,目标很明确:找 WordPress 站点。
随手截一段日志给大家感受下:
162.158.87.119:0 - "GET /wp-admin/install.php?step=1 HTTP/1.0" 404
2026-05-23 11:46:22,634 INFO [elliotsec.http] request_id=f76d4be342ef method=GET path=/wp-admin/install.php status=404 client=162.158.87.119 duration_ms=1.47
即便你根本没用 WordPress,服务器也会被这些请求狂轰滥炸——/wp-admin/、/wp-login.php,扫你没商量。
作为一个写个人博客的人来说,这个问题就来了:继续用 WordPress 真的值得吗?还是干脆换个更现代、更安全的方案,比如 Ghost?
WordPress 撑起了互联网上 40% 以上的网站。正因为太普遍,它顺理成章成了黑客的头号目标。不是说 WordPress 核心代码烂得没法看,而是它的整个生态天然容易出问题:
插件陷阱:大多数 WordPress 站点依赖几十个第三方插件和主题。只要其中一个开发者忘了打补丁,你的整个站就可能被拿下。
历史包袱:WordPress 活了二十多年,积累了大量为了向后兼容而保留的旧代码。代码量越大,漏洞面就越大,被 exploit 的概率自然就上去了。
上面日志里的那些请求,不是真人黑客坐在电脑前敲命令——全是自动化攻击脚本在跑,24 小时不停。
[攻击者 Botnet]
│
├─► 扫描 IP 段,寻找常见路径(如 /wp-admin/install.php)
│
├─► 检查页面是否存在(状态 200)还是返回 404
│
└─► 如果找到:自动注入已知漏洞代码,拿下站点
目标定位:Bot 在海量 IP 段里扫标准 WordPress 路径(/wp-admin/install.php 或者各种插件的漏洞目录)。
指纹识别:如果服务器返回 200 OK 而不是 404,Bot 就知道这是 WordPress 站点。然后立刻扒页面源码,看你跑的是哪个版本。
自动执行:如果你用的是老版本 WordPress 或者某个有漏洞的插件,Bot 直接跑预写好的脚本。几秒钟内注入恶意代码、埋后门、偷数据、甚至把你的服务器变成垃圾邮件 bot。
如果你只是想做一个快、干净、安全的个人站或博客,Ghost 在设计上就比 WordPress 更适合现代互联网。
换到 Ghost 之后,上面那些日志焦虑基本就没了。原因如下:
WordPress 靠一堆未经审查的第三方 PHP 插件来补齐基础功能。Ghost 不一样——SEO 优化、邮件订阅、会员管理、社交分享,这些功能都是专业工程师直接写在 Ghost 内核里的。活动部件越少,黑客能钻的门就越少。
WordPress 跑在 PHP 上,这个语言在大规模安全防护上出了名的难搞定。Ghost 用 Node.js 构建,路由处理更清晰。更重要的是——自动化脚本基本上都是针对 PHP 漏洞写的,Ghost 站点直接躲开了这波满天乱扫的 bots。
你再看日志,可能会注意到内存使用已经逼近红线:
mem avail: 300 of 961 MiB (31.22%)
WordPress 巨吃资源。数据库查询、重型插件、臃肿主题,RAM 很快就被榨干,一旦 bots 集中扫,站就卡成 PPT 甚至直接崩。Ghost 轻得像张纸,能从容应对流量峰值,占用内存不到标准 WordPress 部署的一个零头。
10 块钱的 VPS 就够了。我自己用的是 kamatera.com。
WordPress 本身没问题,如果你要做复杂的电商站、大型企业目录,需要高度定制化的集成,那 WordPress 还是首选。
但如果你的目标就是写写东西、搭个作品集、或者安全地发发文章,不用每天早上战战兢兢查日志怕被黑——Ghost 完胜。它把互联网 bot 攻击的噪音全砍掉,让你专注在真正重要的事上:写作。
原文链接:https://dev.to/ghost/wordpress-vs-ghost-why-automated-bot-attacks-are-making-us-think-much-2k3i