通过url下载网站备份压缩包的盗取方法,已经流行很多年了,2023年了怎么这种低级手段还一直出现?
如果一部分站长没有养成好习惯,就容易出问题被人窃取网站备份压缩包。
文章目录
网站备份压缩包是什么
如何盗取网站备份压缩包
如何保障网站备份压缩包的安全
网站备份放哪里安全
网站备份压缩包是什么
通常以 .zip、.rar、,gz、.tar等文件格式的网站备份压缩包,里面包含网站文件、数据库等重要信息。如果被别有用心的人拿到,等于把网站拱手送人。
如何盗取网站备份压缩包
一部分粗心大意的站长会把备份好的网站压缩包放到网站根目录(太多小白这么干了),这样就等于把网站备份公开在网络上,只要知道了备份包的url就能下载了。
也有站长在还原网站时,把压缩包上传到了网站根目录,也会遇到同样的问题。
为了尽快破解出网站备份压缩包的名字,黑客会使用 工具软件+字典 自动扫描网站的根目录。
比如下面这样的情况:
使用了字典之后,自动化运作的软件会不断扫描直到命中,当返回状态为 200 时就自动下载文件。
看到这里建议你马上去检查一下自己的网站根目录,以及反省一下自己是否有类似的习惯。如果有请立即改正。
大家也可以把上面的 IP地址在防火墙中拉黑,如果这个 IP地址没有你的真实访客,甚至可以禁止掉整个 IP段。
如何保障网站备份压缩包的安全
如果你打算长期在服务器/虚拟主机中存放备份,建议参考下面的须知:
- 不管插件备份、面板备份,备份包都不要放到网站根目录;
- 不要使用上图中的常见文件名,特别是 www、域名等用脚趾头都能想到的名字。好在很多备份插件生成的压缩包都是随机字符名字,不容易被猜到;
- 给重要目录设置权限,不给 web访问权限,仅限admin访问等;
- 建议使用付费防火墙来保护压缩包的安全,这样我们也省心很多。比如上图大家看到的状态值是 503,也就是被防火墙拦截后的返回值,可以按需设置。
- 虚拟主机无法安装防火墙,建议使用 WordPress安全插件,比如All In One WP Security & Firewall,Wordfence Security等。
网站备份放哪里安全
我们平时备份网站的压缩包放在哪里比较安全呢?
- 使用 WordPress备份插件导出的压缩包,比如UpdraftPlus、WPvivid Backup一般都在 /wp-content/ 下面的某个目录中,压缩包名字也是 随机字符+时间 命名的,即使黑客知道了目录位置也猜不到名字。
- 宝塔面板计划任务备份的压缩包,放在 backup目录中(网站目录之外),黑客也无法获取到。
- 手动备份的压缩包要及时下载到本地,然后删除网站根目录中的压缩文件。
总之广大站长在建站、维护时要提高警惕性,不给黑客可趁之机,保障网站备份压缩包的安全。