我好端端一个正经外贸网站,首页怎么一堆裸照??


线下课有个学员,她网站差点放弃掉。她网站很老很老了,我在mk教avada主题的时候,她就跟着一起建了网站。网站做得not bad,加上她人勤快,在网站传了很多产品页,还自己写了文章,陆陆续续能收到自然流量的询盘。但她安全防护做得极差,等于裸奔,后面的事我不写你都能猜到。网站流量起来后,网站就反复中毒,反复被黑客攻击。中了毒,网站就会弹涩情网站弹窗,潜在客户一进来,产品没看到,就先看一堆裸照。quality,Q 70画面有点上头,我打个码

被黑客攻击,网站就会多出上万个页面,一查收录,全是日文,自己页面被收录100个,黑客页面被收录10,000个,删都要删半天。quality,Q 70类似这样,收录量猛增

修好了,隔两三个月,又中毒,再修,再中。这个网站反复去世三四次,她本人也在反复折腾的过程中,逐渐消磨了耐心,到最后就随它去。最后我线下课一查她后台,就知道问题出在哪里了。后台除开安装了基本的Wordence插件,就找不到其他插件,而且她网站的响应头(response header)也没做好防护,很容易被全自动化的病毒爬虫盯上。后来费了好大力气,还让我国外的技术员工帮她弄,才修复好。我观察了下,网站日均流量过300,或有某个热门关键词上了谷歌首页,就容易被自动爬虫盯上。如果你网站暂时还没有300流量,且没有关键词排上去,那可以不用着急。但如果达成300成就,就有词榜上有名,下面的操作一定要跟着我弄。网站安全话题太大,后面慢慢掰开说,这篇文章,我先说下怎么做好响应头的保护,防止被病毒爬虫盯上。

什么是响应头?

很专业的话题。大概意思是,我们在浏览器登录别人网站时,我们浏览器都会“自报家门”,给对方网站发出一个清单(request header)。网站收到这个清单,就会响应返回一个清单(response header),包含了服务器的信息,比如压缩方式,缓存信息,文件类型,文件编码,http版本。不需要了解太深,比如,你不懂微波炉原理,并不妨碍你拿它热饭吃。

为什么要修改网站响应头?

我们没法阻止其他人给网站发起请求,但可以控制给对方返回什么结果。甚至可以扔回去个虚假信息,如果对方用了自动爬虫,就能一定程度干扰判断。像常见的XSS跨站脚本攻击,MITM中间人攻击和Clickjacking点击劫持攻击,都能用这种方法防。具体看看知乎帖子吧,有些专业的网络安全知识,我也是上面学的。

为什么我线上/线下课没教?

之前我也不懂,现在懂也不晚,人都在进化嘛,好过永远不懂。而且我发现哪怕用的再好的服务器(WPengine、Cloudway等),最基本的响应头保护都没做,如果流量大,那就是隐患。不要给自己埋雷。

怎么查自己网站的安全分数?

安装个谷歌插件:Checkbotquality,Q 70满星好评

免费版可以查自己100个页面,完全够用。安装好后,登录网站,点击浏览器插件的图标就能查,非常傻瓜化的工具。我查了下没做过响应头防护的网站,得到这样的结果:quality,Q 705个零分

所以要额外做的保护如下 ,共 5个方面:

  • HSTS
  • Content Sniffing
  • clickjack
  • XSS
  • Server version data

小白也能做好响应头防护吗?

当然可以,后面我教程都是专门给 0 基础的人看的。你不懂代码也可以做好响应头防护。但事先说下,以下方法只适用于WordPress网站,如果你网站是找外包公司建的,而且对方用的也不是WordPress系统,那我就不知道怎么帮你了。小概率你加钱能解决,找对方程序员修改下响应头的信息,就能搞定,厉害的程序员分分钟弄好,都不用你教他什么是响应头,你给他看错误信息就行。大概率你加钱也搞不定,因为对方程序员未必懂,他可能会告诉你,各种工具测出来的分数不一样,不要听别人的,别人都是半吊子,我们建站公司已经帮你弄到最好了。

怎么做好响应头防护?

在 WordPress 后台,安装“Http Headers”,截图如下:quality,Q 70注意下,作者是 Dimitar Ivanov

安装好后,在 WordPress 后台的 Settings 中找到“HTTP Headers”。quality,Q 70

进入到第一项“security”:quality,Q 70

前面四项都要做设置:quality,Q 70

先进第一个X-Frame-Options,做如下设置并保存:quality,Q 70

进第二个X-XSS-Protection,做如下设置并保存:quality,Q 70

进第三个X-Content-Type-Options,做如下设置并保存:quality,Q 70

进第四个 Strict-Transport-Security,做如下设置并保存:quality,Q 70

安全防护做好后,是这么个样子:quality,Q 70前面四项都是绿色的

然后再重新进入“HTTP Headers”的设置页面,进入 “MISCELLANEOUS”:quality,Q 70

进入“X-Powered-By”:quality,Q 70

做如下设置并保存:quality,Q 70

做好设置后的截图如下:quality,Q 70

此时用 Checkbot 重新查,发现安全分数全变绿,就大功告成:quality,Q 70安全分是 100%满分

总结

在网站遭受过攻击前,很多人(包括我在内)都觉得自己网站很安全。直到在自己网站上看到裸照。做好上述响应头防护,网站会安全几分,能防止自动爬虫识别你的高流量网站,挡下 90% 的麻烦事。

Posted in WordPress建站笔记.