在上一篇文章中,我们介绍了如何在宝塔的网站中设置禁止在指定目录中读取运行php文件(见:《宝塔网站安全增强 - 禁止在指定目录执行PHP等脚本文件》),在本篇中,我们将会介绍如何在包头的网站中设置,禁止蜘蛛、爬虫、黑客扫描探针等恶意程序访问网站的敏感资源。
在网站运行中,通过分析日志我们可以发现,经常会有大量的IP,通过探针、常用文件猜测的方式扫描网站的敏感资源,比如扫描网站的备份程序、数据库程序等,以达到入侵、攻击网站的行为,如图。

同时,在之前的一篇文章中,丁老师介绍了在阿里云服务器中,如何对这些恶意IP进行封锁(参见:《阿里云服务器如何屏蔽封锁某个IP段?》),本文将会介绍如何禁止匿名访客访问这些敏感资源。核心的方式是通过对Nginx、Apache的设置,来禁止匿名访客读取指定后缀的文件。
具体方法为:
一、Nginx环境
1.点击网站的设置按钮,点击左侧标签的“配置文件”。

2.在右侧的配置底部,添加Nginx禁止访问指定后缀文件的规则。
#禁止访问备份文件
location ~* \.(tar|gz|zip|rar|sql|bak|backup)$ {
deny all;
return 403;
}3.该规则意思为,禁止匿名访客访问tar、tz、zip、rar、sql、bak、backup等后缀文件或文件夹。添加完成后,点击保存即可生效。
二、Apache环境
1.进入网站根目录,编辑.htaccess文件(如果没有就新建一个)。
2.在htaccess中输入编辑以下代码。
禁止访问指定后缀的文件
<FilesMatch "\.(tar|tz|rar|sql|zip|bak|backup)$">
Order Allow,Deny
Deny from all
</FilesMatch>
禁止访问指包含指定名称的文件夹
<DirectoryMatch "/(tar|tz|rar|sql|zip|bak|backup)(/.*)?$">
Order Allow,Deny
Deny from all
</DirectoryMatch>3.保存即可生效。
丁老师软件,推出图片在线加水印功能,支持图片和PDF文件加水印,可以添加文字水印、图片水印,文字水印支持调整文字大小、文字颜色、位置、透明度等,添加水印后可以自动生成文件,可以下载。在线添加图片水印地址https://www.dls6....
有同学咨询,在平时使用微信交流时,有人发送的文字就可以打开微信小程序,这种是什么原理,如果自己也有小程序,该如何实现呢?今天丁老师就这个问题进行一下介绍。微信口令链接其实别人发送的这段文字,是叫做微信口令链接,即发送特定的关键词代码,是...
经常有同学提问,公众号绑定的域名链接,访问时提示“无法确认该网页的安全性,请谨慎访问”,这是怎么回事?如何解决呢?如图:这是一个被问及比较多的问题,也是一个比较普遍的情况,今天丁老师就这个问题的原因,以及解决方法,来进行分析和解答。问:...
客户有这样一个需求,他们分别在丁老师这里开发了微信小程序和APP,最近想把小程序的流量和业务,往APP上转移,也就是准备实现品牌的私域流量,目前是使用图文+二维码的方式,引导用户去应用市场下载,现在是想实现在打开小程序的时候,自动唤起已...
开发抖音小程序所需资料及费用概览随着短视频平台抖音(TikTok)在全球范围内的迅速崛起,越来越多的企业和个人开始意识到在抖音平台上开发小程序的重要性。抖音小程序不仅可以增强品牌曝光率,还能为用户提供更加便捷的服务体验。那么问题来了,开发一...
从事技术开发的同学都知道,不管是做网站也好,开发各种业务系统也好,目前大多数企业部署的web环境是-操作系统:Linux,数据库:Mysql/MariaDB/PostgreSQL/MongoDB,Web容器:Nginx/Tomcat/Apa...
国外很多VPS购买后,只有密码,没有登录账号,如何登录呢?我们以one.com为例,购买了VPS后,只能设置密码,但是用root,也无法登录,是怎么回事呢?查了官方文档,原来修改的VPS密码,不是root的,这个VPS默认的账号是admin...
在使用wordpress的过程中,有的时候部分页面打不开,或是程序不能正常使用,也没有显示具体的错误信息,这个时候该怎么办呢?首先是查看错误日志,可以查看wordpress本身的错误日志,以及php的错误日志。这时有朋友提问了,wordpr...