如何规避网站备份压缩包被下载盗取的问题

通过url下载网站备份压缩包的盗取方法,已经流行很多年了。而一部分站长没有养成好习惯,就容易出问题被人窃取网站备份压缩包。

网站备份压缩包是什么

通常以 .zip、.rar、,gz、.tar等文件格式的网站备份压缩包,里面包含网站文件、数据库等重要信息。如果被别有用心的人拿到,等于把网站拱手送人。

如何盗取网站备份压缩包

一部分粗心大意的站长会把备份好的网站压缩包放到网站根目录(老魏遇到太多小白这么干了),这样就等于把网站备份公开在网络上,只要知道了备份包的url就能下载了。

也有站长在还原网站时,把压缩包上传到了网站根目录,也会遇到同样的问题。

为了尽快破解出网站备份压缩包的名字,黑客会使用 工具软件+字典 自动扫描网站的根目录,比如下面这样的情况:

如何盗取网站备份压缩包

使用了字典之后,自动化运作的软件会不断扫描直到命中,当返回状态为 200 时就自动下载文件。

看到这里老魏建议你马上去检查一下自己的网站根目录,以及反省一下自己是否有类似的习惯。如果有请立即改正。

大家也可以把上面的 IP地址在防火墙中拉黑,如果这个 IP地址没有你的真实访客,甚至可以禁止掉整个 IP段。

如何保障网站备份压缩包的安全

如果你打算长期在服务器/虚拟主机中存放备份,建议参考下面的须知:

  • 不管插件备份、面板备份,备份包都不要放到网站根目录;
  • 不要使用上图中的常见文件名,特别是 www、域名等用脚趾头都能想到的名字。好在很多备份插件生成的压缩包都是随机字符名字,不容易被猜到;
  • 给重要目录设置权限,不给 web访问权限,仅限admin访问等;
  • 建议使用付费防火墙来保护压缩包的安全,这样我们也省心很多。比如上图大家看到的状态值是 503,也就是被防火墙拦截后的返回值,可以按需设置。
  • 虚拟主机无法安装防火墙,建议使用 WordPress安全插件,比如All In One WP Security & FirewallWordfence Security等。

网站备份放哪里安全

我们平时备份网站的压缩包放在哪里比较安全呢?

  • 使用 WordPress备份插件导出的压缩包,比如UpdraftPlusWPvivid Backup一般都在 /wp-content/ 下面的某个目录中,压缩包名字也是 随机字符+时间 命名的,即使黑客知道了目录位置也猜不到名字。
  • 宝塔面板计划任务备份的压缩包,放在 backup目录中(网站目录之外),黑客也无法获取到。
  • 手动备份的压缩包要及时下载到本地,然后删除网站根目录中的压缩文件。

总之广大站长在建站、维护时要提高警惕性,不给黑客可趁之机,保障网站备份压缩包的安全。

温馨提示: 本文最后更新于2024-06-16 19:03:13,某些文章具有时效性,若有错误或已失效,请在下方 留言或联系 Ferry资源网
© 版权声明
THE END
喜欢就支持一下吧
点赞0赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容