大家探讨一下网站安全的经验吧!
防入侵、防止攻击等安全问题,越是更新少的小网站越没注意而被攻击入侵。
我用过的做法:
1、网站后台登录带参数,屏蔽嗅探。
如WordPress的/wp-login.php加参数,屏蔽admin账号;关闭xmrpc功能。
2、服务器和面板修改端口改路径防爆破、限IP登录。
3、主域名绑在纯静态目录,或绑在不可执行的对象存储,使用古老朴素的html方法抵御注入。
4、安装Nginx waf、openrasp、D盾等防护软件,定期检查文件。
5、套CDN,隐藏服务器ip,设置阀值防止被刷量,回源到不限流量的云主机。