服务器如何做好网站防护?
美国、香港服务器
服务器如何做好网站防护?
05-12 来源:
一、服务器系统基础加固(必做)
1. 改 Root 密码 + 强密码规则
密码必须:大写 + 小写 + 数字 + 符号,杜绝弱密码爆破。
bash
运行
passwd
2. SSH 安全加固(防登录爆破)
修改 SSH 默认 22 端口
禁止 Root 远程登录
关闭密码登录,只用密钥登录
编辑配置:
bash
运行
nano /etc/ssh/sshd_config
关键配置:
plaintext
Port 22222
PermitRootLogin no
PasswordAuthentication no
重启:
bash
运行
systemctl restart sshd
3. 系统定时更新补丁
bash
运行
dnf update -y
4. 安装防爆破 Fail2ban
自动拦截多次密码错误的 IP,防 SSH、网站后台爆破。
二、防火墙严格封端口(最关键)
CentOS9 firewalld 标准做法
只放行必要端口:22 (改后)、80、443、业务端口
关闭所有多余端口
限制陌生 IP 访问
示例:只开放 80/443 / 自定义 SSH 端口
bash
运行
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --permanent --add-port=443/tcp
# 放行你改的SSH端口
firewall-cmd --permanent --add-port=22222/tcp
firewall-cmd --reload
云服务器额外必做后台安全组同样只放行 80、443、SSH 端口,其余全封闭。
三、Nginx 网站防护(防 CC、恶意请求)
1. 隐藏版本号
nginx
server_tokens off;
2. 限制单 IP 访问频率(防 CC)
限制单个 IP 一秒内请求次数,防刷接口、刷首页。
3. 禁止恶意 UA、爬虫、非法访问
屏蔽垃圾爬虫、扫描器、恶意程序。
4. 开启 Gzip、隐藏敏感目录
防止目录遍历、源码泄露。
四、接入泛播 / CDN 隐藏真实 IP(最高级防护)
真实服务器 IP 绝对不能暴露方案:
接入 Cloudflare 美国泛播 CDN
域名走 CF 代理,橙色云朵开启
源服务器只允许 CF 节点 IP 访问,屏蔽所有外网直连
好处:
真实 IP 隐藏,无法被定点 DDoS、端口扫描
自带美国泛播 Anycast 抗攻击
自动过滤恶意流量、爬虫、CC 攻击
五、网站程序与漏洞防护
网站程序、插件、主题及时更新
删掉不用的插件、后台入口改名
后台限制 IP 访问,只允许你自己 IP 登录
关闭网站目录浏览
数据库不要对外开 3306 端口
六、服务器木马 / 后门日常防护
定期清理临时目录(木马最爱藏)
bash
运行
rm -rf /tmp/* /var/tmp/* /dev/shm/*
定期查定时任务、可疑进程
不装陌生脚本、破解软件、来路不明插件
定期查杀 Rootkit 后门
七、DDoS / 黑洞终极防护
接入美国泛播高防 IP/CDN,流量先清洗再进源站
不暴露源 IP,避免被直接打 IP
服务器防火墙 + 云安全组双层拦截
被攻击后立刻排查木马、清理发包进程
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
