这是阿余博客从零建站系列合集安全进阶篇。
前面我们完成了服务器基础加固、站点权限防护、网站速度优化,解决了网站不被暴力破解、不卡顿、可稳定访问的基础问题。但个人博客长期运营,还会遇到两大隐形致命难题:恶意爬虫疯狂采集内容、黑客批量挂马篡改站点。
很多新手辛苦原创的技术文章、实操教程,发布几小时就被全网垃圾站爬虫批量扒走,对方秒收录、自己站点权重被稀释、原创标识被顶替;更严重的是网站被植入暗链、挂马弹窗、恶意跳转,导致百度降权、收录清零、站点报废。
本篇阿余博客独家整理个人博客专用全套防护方案,区别于网上通用繁杂教程,精准适配Typecho、WordPress个人博客,通过Nginx规则、宝塔防护、爬虫过滤、权限锁死、漏洞封堵多维防护,精准拦截恶意爬虫、垃圾采集、挂马篡改,同时放行百度、搜狗、必应正规搜索引擎,不影响正常收录。
一、新手必懂:为什么你的博客总被爬、被挂马?
个人博客没有流量门槛,全网爬虫机器、垃圾采集站、批量扫描工具会24小时自动扫描公网站点,新手默认配置存在大量防护空白,导致被动受害。
1、恶意爬虫/采集泛滥的核心原因
-
网站无爬虫过滤规则,所有访问请求全部放行,机器爬虫可无限制抓取全站内容
-
无访问限流,单IP可一秒发起数十次请求,疯狂扒取文章、图片、源码
-
未区分正规蜘蛛与垃圾爬虫,无法精准拦截恶意访问
2、网站被挂马、被篡改的核心漏洞
-
站点目录权限过松,核心文件可被写入、篡改、上传恶意脚本
-
冗余端口、无用文件、安装残留未清理,留下攻击入口
-
未拦截SQL注入、脚本访问、恶意文件请求,漏洞裸奔暴露
-
主题、插件存在隐性漏洞,被批量扫描利用植入后门
博客长期运营核心:基础加固防入侵,进阶防护防爬、防篡改、防采集。
二、Nginx精准爬虫防护(放行正规蜘蛛,拦截垃圾采集)
绝大多数垃圾爬虫、AI采集机器、垃圾站采集程序,都可以通过Nginx规则精准拦截。本次配置只封恶意、不封收录,完美适配博客SEO运营。
1、阿余博客专属爬虫拦截规则(直接复制即用)
宝塔面板 → 软件商店 → Nginx → 设置 → 配置文件,粘贴至文件末尾,重启Nginx生效:
# 屏蔽恶意爬虫、AI采集、垃圾抓取UA if ($http_user_agent ~* "spider|scrapy|curl|wget|python|gohttp|ai-spider|archive|spiderbot") { return 403; } # 放行正规搜索引擎蜘蛛 if ($http_user_agent ~* "Baiduspider|Sogouspider|Bingbot|Googlebot") { allow all; } # 禁止空UA恶意访问 if ($http_user_agent = "") { return 403; }
2、规则详细说明(新手易懂)
-
拦截对象:Python爬虫、Scrapy采集、curl/wget批量抓取、AI内容采集机器、各类垃圾蜘蛛
-
放行对象:百度、搜狗、必应、谷歌正规收录蜘蛛,不影响网站正常收录排名
-
拦截空访问:杜绝无标识恶意扫描、批量探测请求
三、Nginx访问限流防护(防CC、防批量采集)
单IP高频极速请求是恶意采集、CC攻击的典型特征,通过Nginx限流规则,限制单IP访问频率,杜绝一秒数十次的批量扒站行为,同时不影响正常用户浏览。
1、博客专属限流代码(低配服务器适配)
# 全局限流配置 limit_req_zone $binary_remote_addr zone=bloglimit:10m rate=10r/s; # 站点应用限流 location / { limit_req zone=bloglimit burst=15 nodelay; }
2、参数适配逻辑
-
rate=10r/s:单IP每秒最多10次请求,满足正常用户浏览、翻页、刷新需求
-
burst=15:突发请求缓冲,避免正常访问误拦截
-
nodelay:超额请求直接拦截,不堆积延迟,杜绝爬虫批量刷请求
配置完成后,可彻底解决瞬间流量暴涨、服务器CPU占用过高、恶意批量采集等问题。
四、全站防挂马、防篡改核心配置(堵死漏洞入口)
挂马、暗链植入、页面篡改,全部是利用网站漏洞写入恶意脚本,下面通过多层规则,彻底禁止非法写入、非法脚本访问、漏洞注入。
1、禁止访问高危恶意脚本
屏蔽站点内所有未知php、asp、shell脚本访问,杜绝后门木马执行:
# 禁止访问高危后门脚本 location ~* (shell|hack|eval|webshell|phpinfo|spider\.php) { return 403; } # 禁止非法目录执行脚本 location ~ /(temp|cache|upload)/.*\.php$ { deny all; }
2、禁止SQL注入、特殊字符攻击
拦截常见注入攻击、恶意参数探测,保护数据库与站点源码安全:
# 拦截SQL注入与特殊恶意参数 if ($request_uri ~* "(select|union|and|or|exec|insert|delete|update|%27|%22|%3C|%3E)") { return 403; }
3、上传目录强制锁死(防挂马重中之重)
网站木马99%都上传至uploads上传目录,锁死该目录PHP执行权限,从根源杜绝挂马运行:
宝塔站点设置 → 防注入设置 → 禁止上传目录运行PHP,一键开启,适配Typecho、WordPress所有博客程序。
五、Robots.txt规则配置(规范爬虫、屏蔽无效抓取)
合理的robots规则,可以引导正规蜘蛛抓取有效内容,屏蔽后台、缓存、无用目录,减少爬虫无效请求,降低被采集概率。
网站根目录新建/修改robots.txt,阿余博客通用纯净规则:
User-agent: * # 禁止抓取后台、缓存、配置、隐私目录 Disallow: /admin/ Disallow: /wp-admin/ Disallow: /usr/cache/ Disallow: /config/ Disallow: /install.php # 放行搜索引擎 User-agent: Baiduspider Allow: / User-agent: Sogouspider Allow: / User-agent: Bingbot Allow: /
六、宝塔面板可视化防护叠加(零基础双重保险)
在代码规则防护基础上,搭配宝塔自带防护功能,无需写代码,一键开启多层防护,新手零难度落地。
-
开启宝塔防火墙CC防护:拦截高频访问、异常请求、恶意扫描
-
开启文件防篡改:监控网站核心文件,一旦出现新增、修改、删除文件,即时告警
-
开启恶意文件拦截:自动拦截exe、sh、shell、未知脚本上传
-
关闭目录浏览:禁止外人遍历网站所有文件,防止源码、备份泄露
-
定期木马查杀:每周一键全站查杀,清理隐性后门、残留恶意文件
七、Typecho/WordPress专属防爬防挂马优化
1、Typecho专属优化
-
关闭后台公开访问入口,修改后台路径,杜绝后台暴力扫描
-
关闭匿名评论、评论外链,拦截垃圾评论植入暗链
-
删除安装文件、调试文件,清理冗余残留入口
2、WordPress专属优化
-
禁止WP默认后台批量扫描,拦截wp-login高频请求
-
卸载无用插件、盗版主题,杜绝插件后门漏洞
-
关闭XML-RPC接口,拦截批量爆破、恶意请求攻击
八、新手防护高频误区(必看避坑)
-
不要一刀切封禁所有爬虫:错误拦截正规蜘蛛会直接导致网站不收录、权重归零
-
不要过度限流:限流参数过严会导致正常用户访问403、页面打不开
-
不随意安装第三方防护插件:多数防护插件臃肿、带后门、冲突严重,Nginx原生规则最稳定
-
不要忽略文件权限:规则再完善,权限过松依然可以被挂马篡改
-
防护不是一次性操作:需定期查杀、查看日志,及时拦截新型爬虫攻击
九、防护效果检测与异常排查
-
查看Nginx日志:可清晰看到大量403拦截记录,代表恶意爬虫已被成功拦截
-
查询蜘蛛抓取状态:百度站长平台验证蜘蛛正常抓取,无收录异常
-
监控文件变动:无陌生文件新增、无核心文件篡改,站点处于安全状态
-
检测访问稳定性:正常用户浏览、翻页、访问全程无拦截、无报错
本篇合集定位
本文为阿余博客建站合集安全进阶篇,补齐了基础加固之外的防采集、防爬虫、防挂马、防篡改核心能力。
至此,你的博客完成了底层安全加固+速度性能优化+爬虫入侵防护全套闭环,从裸奔站点升级为高安全、高稳定、高收录的优质个人博客,彻底杜绝原创内容被爬、网站被黑、权重流失的问题。
写在最后
个人博客运营,内容是核心,安全是底线,防护是护城河。
辛辛苦苦原创输出,却被恶意爬虫一键扒空、被黑客挂马降权,是新手建站最大的遗憾。真正的建站规范,不仅是会搭建、会优化速度,更要会守住自己的站点、守住自己的原创价值。
跟着阿余博客建站合集全套规范落地,搭建一套安全纯净、极速稳定、防爬防黑、利于长期收录的专属个人技术博客。