虚拟主机部署：别急着传文件，先做完这四步检查

【导读】虚拟主机部署不是“拖拽上传完就等于上线”。少做一步环境确认，后面就要花十倍时间找bug——白屏、500错误、连不上数据库……往往都不是代码的问题。

第一步：看清你的“地基”是什么材质
很多用户拿到虚拟主机账号第一反应就是解压WordPress包往根目录扔。但忽略了一个前提：这个空间到底支不支持你要跑的东西？

常见的隐形冲突包括：

PHP版本太低（如主题要求8.0+，而主机默认7.4且不允许切换）；
关键扩展缺失（fileinfo、curl、gd图像处理库未开启）；
open_basedir限制过于严苛，导致Composer autoload失效或WP升级中途终止；
MySQL协议版本过高（8.0默认caching_sha2_password加密方式），旧CMS连接报错“Client does not support authentication protocol”。
一句话总结：部署前必须登录控制面板→查看PHP info详情页→对照程序文档最低要求逐项勾选。宁可多花两分钟，也不要在黑盒里反复重启。

第二步：“权限”不是越宽松越好，而是刚好够用
刚接触Linux的人常犯一个典型错误：为了消除“Permission denied”，干脆给整个public_html递归chmod 777。结果呢？不仅安全隐患拉满，某些主机还会主动拦截此类高危行为并锁定账户。

合理的权限分配原则很简单：

所有.php .html .js等纯输出文件 → 设为644；
包含配置信息的目录（如/wp-config.php所在路径）→ 上层目录设为755，该文件单独改为600；
缓存/上传专用目录（如/wp-content/cache /uploads）→ 可放宽至755，勿加写权限给组和其他人；
Shell脚本或cron入口文件 → 单独标记为700，杜绝远程执行漏洞面扩大。
记住：最小权限 = 最强防御，也是后期审计溯源的基础依据。

第三步：HTTPS不是锦上添花，而是启动开关
如今几乎所有现代浏览器都会对HTTP站点标识“不安全”，更重要的是——许多JS API（地理位置、Notification推送、摄像头调用）已强制要求HTTPS才能启用。如果你的应用依赖其中任何一个功能，没配SSL证书＝根本没法运行。

部署时请同步完成三项动作：

在主机控制台启用Let’s Encrypt免费证书（大多数新型虚拟主机均已内置一键签发）；
修改wp_options表里的siteurl/home值为https://开头（WordPress类站点必备）；
添加强制跳转规则：Apache环境下补全.htaccess中RewriteCond %{HTTPS} off片段；Nginx则需调整server block内的return 301指令。
不做这事，哪怕页面看起来一切正常，“分享按钮点不动”“地图加载不出来”等问题就会陆续浮现。