很多人觉得网站上线就完事了,后台能登录、页面能打开,万事大吉。可真等到某天首页被篡改成一张大笑脸,或者用户数据莫名出现在暗网论坛上,才意识到问题严重。其实,大多数攻击都不是高科技对抗,而是利用了最基础的疏忽。
别让弱密码成突破口
想想你家的门锁,是用一把万能钥匙就能打开,还是需要指纹+密码+机械钥匙三重验证?网站后台的密码就是这道门锁。用“admin”当用户名,“123456”当密码,等于在门口贴张纸写着:请进来随便翻。
强制启用强密码策略,长度至少8位,包含大小写字母、数字和特殊符号。更进一步,开启双因素认证(2FA),哪怕密码泄露,攻击者没有手机验证码也进不去。
及时更新不是可选项
很多网站用的是开源程序,比如 WordPress、Discuz 或 ThinkPHP。开发者隔段时间就会发布更新,修复刚发现的安全漏洞。你嫌麻烦没升级,黑客却专门盯着这类老版本下手。
有个真实案例:某企业官网三年没更新系统,结果被利用一个已公开半年的远程执行漏洞攻破,整个数据库被拖走。补丁早就有了,就是没人点那个“更新”按钮。
文件上传功能要严管
用户能上传头像、附件,这功能很常见。但如果不加限制,有人传个 .php 后缀的木马文件,再通过访问路径直接执行,服务器就成了别人的肉鸡。
必须做几件事:限制允许上传的文件类型,只放行 jpg、png、pdf 这类非脚本格式;把上传目录的执行权限关掉;文件名随机化,避免覆盖系统文件。
举个简单的配置例子(Nginx):
location ~* \/uploads\/.*\.(php|jsp|asp)$ {
deny all;
}
数据库连接信息别明文存
有些老项目,config.php 里直接写着数据库账号密码,一旦文件被读取,整站数据暴露无遗。正确的做法是把敏感配置放在 web 目录之外,或者使用环境变量加载。
<?php
// 不推荐的做法
$db_password = 'mysecretpassword';
// 推荐:从环境变量读取
$db_password = getenv('DB_PASSWORD');
?>日志不能只写不看
服务器每天生成大量日志,很多人设完后就再也不看。可异常登录、频繁扫描、SQL 注入尝试,都会留在 access.log 和 error.log 里。定期检查日志,能提前发现可疑行为。
比如某个 IP 在一分钟内尝试了上百次 /admin.php 的登录,这就是典型的暴力破解。配合防火墙规则自动封禁,能有效阻止进一步动作。
HTTPS 不只是防劫持
现在浏览器对 HTTP 网站都标“不安全”了,用户看到心里打鼓。但 HTTPS 的作用不止是加密传输,还能防止中间人篡改页面内容。曾经有运营商在用户浏览网页时插入广告,用了 HTTPS 就没法这么干。
Let's Encrypt 提供免费证书,配置也不复杂。只要几条命令,就能让全站流量加密。
Nginx 启用 HTTPS 示例:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/privkey.pem;
location / {
proxy_pass http://localhost:8080;
}
}
最小权限原则要贯彻到底
给数据库账户赋权时,别图省事全给 SELECT、INSERT、UPDATE、DELETE 甚至 DROP 权限。前端查询用的账号,只需要读取权限就够了。万一 SQL 注入发生,最多只能查数据,删不了表。
同理,运行 Web 服务的系统用户也不要用 root。建个专用账户 www-data,只开放必要目录的读写权限,降低被提权风险。