我的天

前段时间就被网友告知我们快要搬家了。搬家其实也没什么，但关键是网友已经忘记了账号密码。发邮件给服务器供应商，根本就没有回应。理论上找账密这种事情是很常见的，但为什么居然会没有回复呢？服务器外国，虽然我们的网站上也没有什么秘密，但如果突然有一天他们宕机了，我们又访问不到，丢失的就会是我们一直以来的心血，准确来说可能是我的心血，因为估计极少有人会像我这么痴迷于每天都写blog。虽然非常惋惜，但实际上我自己的内容倒还有纯文字的备份，只是不太容易查找我想要的内容，也会丢失掉所有的媒体文件以及网友的回复。

在我的印象之中，wordpress的经典搬家是需要在服务器那里把网站的内容拷贝出来，然后再去数据库那里把数据也打包出来，接下来就是到新的服务器那里，把网站内容复制上去，把数据库内容重新导到新的数据库里面。最后的步骤就是在域名那里重新做一个DNS的指向，但是这一个倒不是非常关键，因为用IP地址也能访问得到。对我这个基本上不会有什么浏览量的个人blog来说，外人一两天访问不到无所谓。

我想都没想过，我的合伙人居然把账密忘记了，这实在让人觉得非常的无语，所以如果按照wordpress常规的搬家程序，这个家是无论如何搬不动了，但现在有wordpress插件能实现全站搬家。1月的时候我就试验了一下，把网站的内容打包出来，大小是500多MB。他们的搬家方法你基本上不需要用什么大脑，把东西从原来的地方打包出来，然后新建一个wordpress，再把东西再导进去就可以了，但这个步骤到底行不行，会不会有什么幺蛾子？在没有测试过之前，我是不敢直接在网络上操作的，毕竟文件的大小摆在那里，没必要浪费时间。所以我需要做的就是用XAMPP在本地建立一个wordpress的运行环境，然后在本地建一个新的wordpress，然后尝试一下，把数据导进去。

在本地用XAMPP建wordpress对我来说已经不是第一次，但这一次，在win10之下，我发现了一个非常神奇的问题，理论上本地操作速度应该很快，但实际上打开一个页面居然要转上好几分钟，于是我不得不寻求帮助，结果发现首先第一个拦路虎是Windows Defender，那个东西是一个很大的罪魁祸首，所以首先我得在那里把XAMPP的文件夹设置为例外，第二个拦路虎是Apache的端口默认是80，但是80端口容易跟其他东西形成冲突，所以我把那个端口改成了8080。端口改掉了以后，在浏览器那里，打开本地的网站会出现警告，但是忽略了那些乱七八糟的东西以后就很顺利了，网站是秒开的。在我印象之中，以前我使用XAMPP的时候根本没有设置过MySQL的密码，但这一次我进行了设置，因为实际上在新建一个wordpress的时候需要我填入MySQL的密码，但XAMPP的MySQL默认没有密码。所以以前我之所以没有遇到这个问题，是不是以前的教程默认密码那一栏直接留空？

试验证明，那个搬家插件能非常快速顺利地把整个网站挪到其他地方。基本可以这么说，全部东西都挪过去了，起码我测试的部分都挪过去了。一开始的时候网页会出现404，我觉得可能是某些数据没有完全索引到位，当我在后台检查一番以后，再回到那些之前开不了的页面，发现又全部都可以了。可能在数据库方面，需要一定的时间去建立某些映射关系。除了出现404以外，还有一些warning的地方。搜索之后发现原来那是PHP的一些提示，当某个变量没有声明就开始使用的时候，就会出现那些warning，所以我看到的结果是我要的数据都生成出来了，但是那些数据前面会有一段warning，然后我就在自定义模板的functions.php那里把那些有warning提示的自定义变量全部都先做一个null初始化，这样非常傻瓜的操作以后，那些有warning的地方全部都警报解除了。

试验证明，用这种搬家方式是完全可行的。因为我是在本地测试，所以我把上传文件的大小改为了600MB，但如果我在新的服务器上做这种上传操作，服务器会不会允许我上传那么大的文件呢？万一真不允许我这么干，我还有第二个方案，就是先把导出的文件在本地转化为一个完整的wordpress，再把本地的网站和数据库分两片提取压缩，然后再上传到新的服务器。这是一种曲线救国的方法，应该没有问题。

自己的blog有救了，感觉终于可以松一口气。

从前的世界，邮箱地址就是一切，注册所有东西都必然从邮箱地址开始，所以注册一个邮箱很重要，想一个邮箱的用户名也很重要。一开始我用的是163的邮箱，然后换成了雅虎中国的邮箱，接着雅虎中国挂了，貌似邮箱变成了阿里云的。当时的阿里还没有现在这么强大，我对那一点都不感兴趣。过后的一段日子，貌似我一直都在用奇妙的邮箱，但是Gmail的邮箱从一开始就注定了中国人几乎用不了。一开始很难注册，能比较容易注册的时候登录就得用技巧了，一切都是那么的艰辛。接着，我开始自己建立网站，有了域名，所以我选择了域名邮箱。免费的域名邮箱网易跟腾讯都有，在试用过两边的邮箱以后，我选择了网易的。因为其实在那之前我已经用过好长一段时间163和126的邮箱了。过去好多年，我把自己的域名绑在了网易的免费企业邮箱上，我甚至已经忘记了当初有没有把我的手机绑定进去，但估计需要这么做吧。

昨天我无意之中到我的域名邮箱看看，一个醒目的网易标题把我吓到了，打开进去，内容更是让我震惊。因为邮件是说我的邮箱被禁止了发送邮件的功能，原因有3，我觉得大概是第3条，因为我发送了大量垃圾邮件。但我为什么会发送大量垃圾邮件呢？上个月底到现在，我根本就没有发送过任何邮件，网易的企业邮箱每个月通常我只用一次，在月尾的最后一天。于是我就到发件箱里面一看，简直震惊。里面有183封邮件，打开最新的一封，果然是个广告。那你显示发送的第一封邮件是12月9日。从邮件的标题就知道，我肯定是被破解了。上面有我的邮箱地址，密码和163的邮箱端口。第一封邮件是a1，第二封邮件是test。第二封邮件用的是163的另外一个邮箱端口，收件人是同一个东西。第三封也是一个测试邮件。邮件的内容很正常，就是一些无聊的测试东西，但是不是垃圾的范围。这三封邮件以后的，180封全部都是卖药的英文垃圾邮件。先是12月9日，然后是12月11日，最后一封垃圾邮件发送于12月15号凌晨1点多，北京时间哦！这几封邮件的操作时间一律都是在北京时间的凌晨。毋庸置疑，我的邮箱肯定是被破解了！为什么邮箱会那么容易被破解？就一个账号，给你个密码就能做所有事。官方当你做了这些事到了一定程度的时候突然给你一个禁止邮件，他们是不是应该当那些垃圾邮件发送到一定数量比如说20或者50封的时候就暂停我的发送功能，必须要我去激活才能继续发送呢？他们没有给我账号登录地点的提醒以及垃圾邮件的垃圾发送提醒。同时，邮箱的后台也无法设置不允许通过163端口的方式接发邮件。同样邮箱的登录，除了密码以外，没有任何保护手段/没有验证码，没有二步登陆，也没有其它保护措施。如果我的邮箱被盗，能怪谁呢？与其说163被伤害了，不如说是客户被伤害了，客户的东西放在那里，他们有义务保证客户资料的安全。某封邮件里面把邮箱地址，密码以及所有端口信息都写成标题，为什么这种如此敏感的东西他们居然允许发送出去呢？！正常情况下，这些东西是应该被截留。如果对方真的要这么干的话，他们起码得通过其它绕一点的手段，而不是这般赤裸裸。

我不知道现在被完全禁用发信功能的邮箱还能做什么？只是收信吗？如果只能收信的话，起码我还能接收各种验证码，但显然，还用这个邮箱接收验证码会非常危险。但如果不用这个邮箱的话，我应该用什么邮箱呢？什么邮箱是安全的呢？很多东西理论上他们应该为客户着想，但实际上他们没有。如果可以把邮箱的所有东西全部都保存导出，我愿意注销那个在163的免费企业邮箱。

163的免费邮可以设置禁止端口也有二步验证，但免费企业邮箱里却没有，里面甚至连取消代收邮件的按钮都是实效的。用了这么多年网易的免费企业邮箱，现在我才明白到自己有多危险……

PS：今天我彻底注销了腾讯的企业邮箱管理账号

折腾了一个下午的社区动力到后台发验证邮件。结果最终还是没办法用SMTP的功能。傍晚去练篮球之前，我开通了PHP发送邮件，那是推荐使用，的确可以发邮件，的确那些邮件也可以收到，但问题是qq邮箱除外。这是相当恶心的一件事！社区动力是腾讯的。用户注册时先用邮箱认证是一个阻挡垃圾注册的最好方法，但问题是QQ邮箱用户都收不到，这怎么整啊！这些邮件用163的普通邮箱、163的免费企业邮箱，gmail都收到了，但发送给QQ邮箱的却毫无音信。这真的是好大一盘棋啊！关于邮箱的设定，以前我也有做过，因为在我的WordPress里就设置了只要我做了回复，系统就会发一封信给评论的人。至于他们有没有收到，我就不知道了。最早的时候，我试过用自己的邮箱测试，是可以收到的。因为有这个功能，所以，在我blog评论的人只要我回复了，他们又有正确填写了邮箱地址，就能理论上收到我的回复。我一直觉得这个功能非常简单。但经过一个下午加一个晚上的尝试以后，我觉得这实在太难了。之所以这次社区动力会这么困难是因为这关系到钱，而且是很多很多钱，如果只是一个普通的blog，一天的评论无论如何都是有一定量的，虽然累积起来成千上万也很正常，但问题是对一个论坛来说，一天发成百上千封的邮件太正常了尤其是被攻击的时候。所以在进行邮箱认证的时候我觉得非常有必要用上白名单。设置白名单以后基本可以挡住非常多国外的垃圾注册。

连续两天早上起来我都发现论坛被刷屏了，第一天被刷了5000个回复以上，第二天被刷了500个以上。被刷5000的时候，我怀疑是不是因为我之前修改了后台的设置，把每小时的发帖量就改成了每天。但第二次当我把原设置改回去以后，还是发生这种事，我简直无语了。因为这种事是在六个多小时以内发生。也就是每个小时80个回复以上，而防灌水设置里面其实也写得明白，超过120秒才能再次进行发帖或者回复，也就是两分钟。所以理论上一个小时顶多只能发30贴。我不知道那个用新浪邮箱的人到底是如何做到的，他为什么要这么做，而且他为什么只在一个版块里做这种事。显然，我觉得他一定是用了非常规的手段。要堵住这种漏洞，我们要把论坛的后台升级。我觉得很暴力的做法之一是禁止要新浪邮箱的新注册用户。一开始我们的设想是把注册用户限定为QQ邮箱和gmail，但后来发现QQ邮箱简直就是悲剧中的战斗机。直到晚上很晚的时候，我才发现原来一直负责这个东西的人根本不知道我们的服务器状况，不知道哪些端口是开通的。不知道端口状况又怎么可能设置SMTPNE 发送邮件呢？！好不容易我翻回邮箱里好几年前我注册印坛的内封激活邮件，是他们从新浪邮箱里发出来的。当时我第一次尝试的是163的企业邮箱，但收不到邮件，所以就用了QQ邮箱。当时他们的论坛后台用的是phpwind。一直以来，他们都用得很顺手，直到现在换成了社区动力就撞墙了。之所以这样，我觉得一定程度是因为他们用得太顺手了，所有东西都变得理所当然，但实际上，他们自己并没有搞懂其中有些为什么会那样。我们的进步总是在不断的逼迫下发生的。

我需要成长，印坛的那些老管理员也需要成长。