myes

前几天，我老家的网安又打电话给我 ，让我把网站给关了。
小地方的就是这样，怕事，动不动就让人把网站关了，习惯了。

我之前在落伍分享过：

“网站被入侵攻击解决方案：本地生成+对象存储纯静态html访问”

“实测百度搜索PC端不收录不更新,小程序排名流量不错,搜狗流量更大”

因为我已经去好几次网安大队喝过茶了。


主要是平时没有什么更新的小网站，被入侵了都不知道，我已经遇到好几次。

现在帮一个公司新做的网站，就用这种方式来解决注入劫持的问题。

前端html静态化，后端使用腾讯云开发的serverless安装WordPress后台以供小程序调用json。

静态化意味着没有数据库查询和动态执行，这是很古老的防入侵，腾讯云开发基于serverless一般也很难被攻破。

欢迎大伙观摩参观案例：

网站：沙县虬兴小吃配料

ts99

看起来还是不错的。

林少

我之前的主站就是用DEDE，前台用静态，有动态的隐藏或者删除，基本上不会被黑。

myes

林少 发表于 2021-11-27 14:42
我之前的主站就是用DEDE，前台用静态，有动态的隐藏或者删除，基本上不会被黑。

网站前台html可以放在纯静态空间或阿里云oss或腾讯云cos上，
主域名解析到百度云加速，
再用百度云加速cname到仅纯静态空间，或阿里云oss或腾讯云cos，
自己的服务器主机可能会被攻陷篡改，把阿里云腾讯云的对象存储攻陷的网络攻击可能性就很小。

wuzhicheng

我感觉静态网站确实不错，就是管理不方便
https://www.im286.net/thread-24289772-1.html
楼主看看我的，我这种情况是程序问题，还是服务器问题呢

myes

wuzhicheng 发表于 2021-11-27 15:09
我感觉静态网站确实不错，就是管理不方便
https://www.im286.net/thread-24289772-1.html
楼主看看我的， ...

我以前也遇到过你这样的问题，
动态可执行，被篡改了php文件，
当时都不知道哪里出问题，只能把源文件全部删除，重新上传新的程序源文件，
后来用d盾扫描了一下，是模版的template下的模版文件被篡改了。

如果纯静态会报毒或劫持，那基本上是js文件被篡改了，把所有源文件还原就能解决。

数据库经常被插入违法内容，基本上也是php文件的问题，如果数据库泄密也可能出问题。

dikena

myes 发表于 2021-11-27 15:17
我以前也遇到过你这样的问题，
动态可执行，被篡改了php文件，
当时都不知道哪里出问题，只能把源文件 ...

只要你3306端口不对外开放，数据库基本不会有问题。基本都是程序文件出事。看日志就能找出是哪里出的事

eltonto

wordpress被黑？

myes

dikena 发表于 2021-11-27 15:48
只要你3306端口不对外开放，数据库基本不会有问题。基本都是程序文件出事。看日志就能找出是哪里出的事

是的，但是利用php文件执行sql注入是非常普遍的入侵，宝塔Nginx waf能过滤一部分，最好配合“更深入更爽”的百度安全免费开源openrasp，可以拦截大多入侵。