网站被攻击的总结反思

前段时间网站遭遇恶意攻击，以致无法访问，我对网络安全不是很了解，也只能从表面现象判断可能是遭遇了类似cc攻击，真的是书到用时方恨少，面对攻击真的是一筹莫展，毫无办法。其实早在前几天，我就已经发现网站有恶意注册现象发生，但并没有引起多少警觉，天真的认为阿里的服务器还是很安全的，有个云盾基础版也就差不多够用了，再说我这个小网站，也没什么攻击价值，结果酿成了悲剧。现在大致总结一下，有以下几个方面的问题：
网站数据没有进行合理的备份，网站崩溃后无法进入数据库系统，想备份也迟了，记住隔段时间进行一次备份，备份wordpress的文章数据已经MySQL的数据库数据。
wordpress WP_Image_Editor_Imagick指令注入漏洞没有及时修复，也造成了潜在的隐患。
当初为了解决图片上传问题，部分文件夹的权限设置过高，也存在安全隐患，今后一律改用外链图片，也顺便减轻服务器负担。
这次修复的过程中也发现，windows系统的远程连接可以直接使用复制粘贴实现文件的传输，而无须开启ftp服务（神奇）。所以修复后我也没有再使用ftp，也未添加ftp账号。
开放端口太多，给人可趁之机，需关闭不必要的端口。
服务器上没有相关防护软件，我又对这方面不是很懂，这次修复后给服务器装了安全狗，管不管用先看看吧。
数据库系统的默认root账号与root密码均未修改，存在安全隐患。这次修复后新添加了与root用户有相同权限但有强口令的用户，并删除了原有的root账号。
麻痹大意，以为网站小就没事，但可能有的黑客就专找软柿子捏，或者有新手找简单的练习技术也不一定啊，( ╯□╰ )。

总之，有空的话真的要恶补一下这方面的知识了。