不怕流氓多,就怕流氓有文化——站长应该防范的几个问题及对应解决方法分享
以下问题按照难防范程度升序排序,欢迎在评论区补充。
- 分析统计服务被刷广告
- 注:分析统计服务如 Umami,Google Analytics
- 情况描述:出现不知名的网站来源,去访问对方网站但没发现挂你的链接。污染统计数据。
- 解决方法 1:忽视对应域名
- 解决方法 2:屏蔽对应域名
- 网站恶意镜像
- 情况描述:站点被人恶意克隆。很多会将里面你的链接都替换成攻击者的链接。会吸走你网站的浏览量,影响浏览器排名。
- 解决方法 1:给网页植入 js 脚本,检测到非指定域名就自动跳转(记得给你的域名编码(如 base64),避免被替换)
- 解决方法 2:给域名服务商发 DMCA。
- 链接恶意重定向
- 情况描述:不知名域名重定向到了你的网站。有些甚至是涉及非法内容的域名。可能导致网警上门找你了解情况/网站被封禁。
- 解决方法:给网站植入 js 脚本,检测来源地址,进行重定向(如重定向至 127.0.0.1)避免被跳转。
- 页面评论区被刷评论
- 情况描述:评论区被机器人刷垃圾评论
- 解决方法 1:添加难破解的验证码
- 解决方法 2:引入评论审核平台辅助过滤评论
- 解决方法 3:要求登录账号才能评论,并且给账号注册设置门槛。
- CDN 被刷流量
- 情况描述:CDN 被恶意刷流量,导致额外的费用支出
- 预防方法:网上有很多讲这方面的文章了。从最基础的来说,请利用好 CDN 自带的设置。
- 镜像源投毒
- 预防方法:及时接收相关资讯;尽量使用经过长期验证的稳定镜像源。尽量用自己 CDN 分发的文件,保证文件的稳定性。定期监控文件是否被替换(如定期检查文件哈希值)。给
script
标签添加integrity
属性。
- 预防方法:及时接收相关资讯;尽量使用经过长期验证的稳定镜像源。尽量用自己 CDN 分发的文件,保证文件的稳定性。定期监控文件是否被替换(如定期检查文件哈希值)。给
- 上游供应链投毒
- 注:如某常用库被替换为恶意代码,某上游开源库被注入恶意代码
- 预防方法:及时接收相关资讯;尽量使用经过长期验证的稳定版本;更新文件版本前确认文件是否有问题;养成备份的好习惯。
- 网站安全漏洞
- 预防方法:关注软件最新安全补丁,及时更新;网站登录入口使用 2FA 验证;部署 WAF 避免非法访问;关注后台日志异常;关注主机 CPU 和内存占用异常;学习网络安全相关知识;启用 HTTPS,禁用过时的 SSL 协议;定期进行安全审计。