大家探討一下網站安全的經驗吧！

防入侵、防止攻擊等安全問題，越是更新少的小網站越沒注意而被攻擊入侵。

我用過的做法：
1、網站后臺登錄帶參數，屏蔽嗅探。
如WordPress的/wp-login.php加參數，屏蔽admin賬號；關閉xmrpc功能。

2、服務器和面板修改端口改路徑防爆破、限IP登錄。

3、主域名綁在純靜態目錄，或綁在不可執行的對象存儲，使用古老樸素的html方法抵御注入。

4、安裝Nginx waf、openrasp、D盾等防護軟件，定期檢查文件。

5、套CDN，隱藏服務器ip，設置閥值防止被刷量，回源到不限流量的云主機。

• 1、別買盜版程序，后門 和 漏洞，比較多。
  
  2、SCDN，能攔截99%的攻擊，CC ddos SQL注入 暴力破解 webshell  
  
  3、第三方防火墻軟件，安全狗、寶塔防火墻...
  
  4、后臺路徑 和  密碼，隨便改改。

都在開玩笑說，就怕用了騰訊云，一覺醒來房子車子褲子都是馬化騰的了。
剛剛看了@zhujibcom 關于edgeone的帖子“以防護后的干凈流量進行計費，避免預期外的高額賬單”，這點不錯，看了費用，一個月低至9.9，還能接受，如果一年得多個幾千塊，和百度云cdn一樣貴，真的是只能放云主機了，關站得了

寶塔有官方插件，我用了騰訊云cos插件，直接掛載就可以了，但是我親自測試了，生成的內容還是無法直接存儲到cos上，還是需要復制過去，不知道是不是我沒設置好，可以設置一個“計劃任務”定時備份html目錄到cos上。

  我看重的是cos作為靜態空間，不會被入侵注入，就是要控制好流量，畢竟是后付費的，一旦被刷量，很容易巨額賬單。
阿里云oss也有免費插件，所有的云都有免費的，我沒安裝

看來 你還是沒有意識到edgeone的收費貴在哪啊

HTTPS/HTTP請求是收費的，只要有CC請求都是會消耗請求數，不管是不是正常的請求一樣計費，那對于那些被CC攻擊的網站來說，你敢用？ 現在隨便一個CC一小時都有上億次請求量，你去看看edgeone的請求包多少錢夠花？

還有CC攻擊一樣會消耗流量包的，只不是被攔截的不會消耗或者消耗小而以，問題是edgeone的防御也不是很精準啊，被攻擊一樣流量花花的往下掉。

edgeone有個智能加速 還有其它功能也是收費的，而且一不小心就開到，價格貴得離譜，開智能加速的，一但被攻擊真的可能一套房。
還是edgeone的是有海外節點的，而這個海外節點流量收費比國內貴多了，如果你選擇全球加速，消耗請求數比你正常的快得多 。

最后，有點很惡心，他那個封頂策略有10分鐘延遲，這10分鐘延遲都夠黑客攻擊你欠幾千塊了。 如果沒做策略被干一整天，十幾萬都有可能。

所以edgeone并不便宜，他只是給了你基礎流量，后面續付費遠貴于套餐。

cms安裝在本地，或子域名安裝cms，
像WordPress使用Simply Static、wp2static等全站生成html的插件，
再上傳到綁定www主域名的純靜態html空間或對象存儲（阿里云oss、騰訊云cos），更好用sync 命令
就是更新網站后要生成，再ftp或sync，很麻煩，適用于更新很少的企業網站。

后臺完全獨立站點訪問，有條件的啟用自定義端口，服務器管理面板軟路由策略只允許負責人當地IP段（如：82端口）
http://后臺網址:82