多次去网安喝茶的我,分享经验,现在使用WordPress静态化防入侵,欢迎观摩
本帖最后由 myes 于 2021-11-27 16:57 编辑前几天,我老家的网安又打电话给我 ,让我把网站给关了。
小地方的就是这样,怕事,动不动就让人把网站关了,习惯了。
我之前在落伍分享过:
“网站被入侵攻击解决方案:本地生成+对象存储纯静态html访问”
“实测百度搜索PC端不收录不更新,小程序排名流量不错,搜狗流量更大”
因为我已经去好几次网安大队喝过茶了。
主要是平时没有什么更新的小网站,被入侵了都不知道,我已经遇到好几次。
现在帮一个公司新做的网站,就用这种方式来解决注入劫持的问题。
前端html静态化,后端使用腾讯云开发的serverless安装WordPress后台以供小程序调用json。
静态化意味着没有数据库查询和动态执行,这是很古老的防入侵,腾讯云开发基于serverless一般也很难被攻破。
欢迎大伙观摩参观案例:
网站:沙县虬兴小吃配料
看起来还是不错的。:ohh::ohh::lol::lol: 我之前的主站就是用DEDE,前台用静态,有动态的隐藏或者删除,基本上不会被黑。 林少 发表于 2021-11-27 14:42
我之前的主站就是用DEDE,前台用静态,有动态的隐藏或者删除,基本上不会被黑。
网站前台html可以放在纯静态空间或阿里云oss或腾讯云cos上,
主域名解析到百度云加速,
再用百度云加速cname到仅纯静态空间,或阿里云oss或腾讯云cos,
自己的服务器主机可能会被攻陷篡改,把阿里云腾讯云的对象存储攻陷的网络攻击可能性就很小。 我感觉静态网站确实不错,就是管理不方便
https://www.im286.net/thread-24289772-1.html
楼主看看我的,我这种情况是程序问题,还是服务器问题呢 wuzhicheng 发表于 2021-11-27 15:09
我感觉静态网站确实不错,就是管理不方便
https://www.im286.net/thread-24289772-1.html
楼主看看我的, ...
我以前也遇到过你这样的问题,
动态可执行,被篡改了php文件,
当时都不知道哪里出问题,只能把源文件全部删除,重新上传新的程序源文件,
后来用d盾扫描了一下,是模版的template下的模版文件被篡改了。
如果纯静态会报毒或劫持,那基本上是js文件被篡改了,把所有源文件还原就能解决。
数据库经常被插入违法内容,基本上也是php文件的问题,如果数据库泄密也可能出问题。
myes 发表于 2021-11-27 15:17
我以前也遇到过你这样的问题,
动态可执行,被篡改了php文件,
当时都不知道哪里出问题,只能把源文件 ...
只要你3306端口不对外开放,数据库基本不会有问题。基本都是程序文件出事。看日志就能找出是哪里出的事 wordpress被黑? dikena 发表于 2021-11-27 15:48
只要你3306端口不对外开放,数据库基本不会有问题。基本都是程序文件出事。看日志就能找出是哪里出的事
是的,但是利用php文件执行sql注入是非常普遍的入侵,宝塔Nginx waf能过滤一部分,最好配合“更深入更爽”的百度安全免费开源openrasp,可以拦截大多入侵。
页:
[1]
2