ウェブサイトのセキュリティ

外国貿易ウェブサイトを構築している多くの友人は、自分のウェブサイトが国内 IP からアクセスされることを制限したいと考えています。また、さまざまな理由で特定の IP からブロックする必要があるリソースをウェブサイトに保存している友人もいます。ソース IP のほとんどは海外からのものであるため、外国の IP が Web サイトにアクセスできないようにしたいと考えています。

理由が何であれ、特定の地域や国からのIPアクセスをブロックしたりブロックしたりすることは、日常のWebサイト構築でよく使用されます。 PHP を使用している場合、比較的簡単な方法は、PHP ファイルに IP を決定するコードを追加し、IP ライブラリを使用して比較することです。IP がアクセス制限範囲内にある場合は、アクセスの継続を禁止します。

Web サイトが Nginx の場合、Nginx-ngx_http_geoip_module モジュールを直接使用できます。このモジュールは国、地方、都市などの IP を正確に把握でき、アクセスの識別とブロックはすべて Nginx によって実行されます。 PHP に比べてリソースが節約されますが、Nginx はコンパイルが面倒です。

友人は自分の会社の Web サイトをクラウド ホスト上に置きましたが、トラフィックはそれほど大きくありませんでしたが、頻繁に CC によって攻撃されたため、IO と CPU が急激に増加し、最終的にはデータベースがハングアップしました。ウェブサイトにアクセスできなくなりました。最初は Cloudflare が有効になっていましたが、攻撃者は必死にスキャンしており、防御効果は平均的でした。

悪意のある IP を正確に特定するには、Cloudflare CDN を有効にした後、Nginx と Apache で Real IP モジュールを有効にし、スクリプトを使用して Web サイトのログを分析し、ログから異常な IP を収集し、Cloudflare API を使用して悪意のある IP を追加する必要があります。ファイアウォール内のCloudflareにバッチで送信します。

最近、友人が Yunfu ホストを使用していたときに、SSH が他人によって激しくスキャンされていることを発見しました。SSH アカウントとパスワードが推測されたことはありませんが、誰かが彼を見つめ続ければ、遅かれ早かれ何かが起こるでしょう。私は彼が S-S-H ログイン ホワイトリストを設定するのを手伝いました。これは、彼自身の IP からのログイン アクセスのみを許可し、他のすべての IP を拒否します。

実際、S-S-H がクラックされていないことを確認する最も簡単な方法は、デフォルトのポート 22 を変更することです。たとえば、私たちが使用しているクラシック VPS では、VPS の作成時にデフォルトでポート 22 が変更されています。最も徹底した方法は、アカウントとパスワードによるログインを禁止し、キーを使用してログインすることです。キーが安全に保管されている限り、誰もサーバーに入ることができません。

新しい VPS ホスティング Web サイトビルダーの場合は、常に VPS ホスティング コントロール パネルを使用することをお勧めします。現在、仮想ホストから VPS に移行したばかりの多くの友人は、無料の VPS ホスト コントロール パネルをコマンドに慣れていないため、使いやすく、作業効率を大幅に向上させることができます。

ただし、無料の VPS コントロール パネルを使用する場合の致命的な可能性は、セキュリティ上の問題があることです。ここ数日で暴露された「VestaCP のセキュリティ脆弱性により、数百台の Digital Ocean サーバーがミートマシンになった」ことが <bpt0 で議論されています。 > VestaCP 公式 Web サイトのフォーラム と lowendtalk フォーラム が爆発的に増加し、多くのユーザーが VestaCP のセキュリティ問題について不満を言い始めました。

Web サイトを構築するために VPS ホストを使用する人が増えていますが、個人用 VPS ホストは、仮想ホストや管理対象サーバーと比較して、基本的に管理されていません。つまり、ホストプロバイダーは、VPS ホストのネットワークを円滑にすることにのみ責任を負います。自分でそれを理解する必要があります。これまで、Alibaba Cloud が使用していた VPS ホストは、CC や DDOS によって頻繁に攻撃されていました。基本的に、攻撃を受けるたびに、Alibaba Cloud の「ブラックホール」に侵入していました。

CC および DDOS 用の Alibaba Cloud の VPS ホストは、一般に、攻撃トラフィックが増加すると、基本的にルートがクリアされ、1 日または数日間「ブラック ホール」が発生することもあります。 。今、私は自分のウェブサイトを古典的な CN2 VPS ポーターに移動しました。以前、ポーターは CC と DDOS を 3 回しか処理しないと VPS を直接ブロックするという注意を受けました。