网站安全，解决防入侵、防止攻击等安全问题

大家探讨一下网站安全的经验吧！

防入侵、防止攻击等安全问题，越是更新少的小网站越没注意而被攻击入侵。

我用过的做法：
1、网站后台登录带参数，屏蔽嗅探。
如WordPress的/wp-login.php加参数，屏蔽admin账号；关闭xmrpc功能。

2、服务器和面板修改端口改路径防爆破、限IP登录。

3、主域名绑在纯静态目录，或绑在不可执行的对象存储，使用古老朴素的html方法抵御注入。

4、安装Nginx waf、openrasp、D盾等防护软件，定期检查文件。

5、套CDN，隐藏服务器ip，设置阀值防止被刷量，回源到不限流量的云主机。

• 1、别买盗版程序，后门 和 漏洞，比较多。
  
  2、SCDN，能拦截99%的攻击，CC ddos SQL注入 暴力破解 webshell  
  
  3、第三方防火墙软件，安全狗、宝塔防火墙...
  
  4、后台路径 和  密码，随便改改。

都在开玩笑说，就怕用了腾讯云，一觉醒来房子车子裤子都是马化腾的了。
刚刚看了@zhujibcom 关于edgeone的帖子“以防护后的干净流量进行计费，避免预期外的高额账单”，这点不错，看了费用，一个月低至9.9，还能接受，如果一年得多个几千块，和百度云cdn一样贵，真的是只能放云主机了，关站得了

宝塔有官方插件，我用了腾讯云cos插件，直接挂载就可以了，但是我亲自测试了，生成的内容还是无法直接存储到cos上，还是需要复制过去，不知道是不是我没设置好，可以设置一个“计划任务”定时备份html目录到cos上。

  我看重的是cos作为静态空间，不会被入侵注入，就是要控制好流量，毕竟是后付费的，一旦被刷量，很容易巨额账单。
阿里云oss也有免费插件，所有的云都有免费的，我没安装

看来 你还是没有意识到edgeone的收费贵在哪啊

HTTPS/HTTP请求是收费的，只要有CC请求都是会消耗请求数，不管是不是正常的请求一样计费，那对于那些被CC攻击的网站来说，你敢用？ 现在随便一个CC一小时都有上亿次请求量，你去看看edgeone的请求包多少钱够花？

还有CC攻击一样会消耗流量包的，只不是被拦截的不会消耗或者消耗小而以，问题是edgeone的防御也不是很精准啊，被攻击一样流量花花的往下掉。

edgeone有个智能加速 还有其它功能也是收费的，而且一不小心就开到，价格贵得离谱，开智能加速的，一但被攻击真的可能一套房。
还是edgeone的是有海外节点的，而这个海外节点流量收费比国内贵多了，如果你选择全球加速，消耗请求数比你正常的快得多 。

最后，有点很恶心，他那个封顶策略有10分钟延迟，这10分钟延迟都够黑客攻击你欠几千块了。 如果没做策略被干一整天，十几万都有可能。

所以edgeone并不便宜，他只是给了你基础流量，后面续付费远贵于套餐。

cms安装在本地，或子域名安装cms，
像WordPress使用Simply Static、wp2static等全站生成html的插件，
再上传到绑定www主域名的纯静态html空间或对象存储（阿里云oss、腾讯云cos），更好用sync 命令
就是更新网站后要生成，再ftp或sync，很麻烦，适用于更新很少的企业网站。

后台完全独立站点访问，有条件的启用自定义端口，服务器管理面板软路由策略只允许负责人当地IP段（如：82端口）
http://后台网址:82