阿余博客|建站合集08:博客防爬虫、防恶意采集、防挂马全套防护教程(2026零基础落地)

这是阿余博客从零建站系列合集安全进阶篇
前面我们完成了服务器基础加固、站点权限防护、网站速度优化,解决了网站不被暴力破解、不卡顿、可稳定访问的基础问题。但个人博客长期运营,还会遇到两大隐形致命难题:恶意爬虫疯狂采集内容、黑客批量挂马篡改站点
很多新手辛苦原创的技术文章、实操教程,发布几小时就被全网垃圾站爬虫批量扒走,对方秒收录、自己站点权重被稀释、原创标识被顶替;更严重的是网站被植入暗链、挂马弹窗、恶意跳转,导致百度降权、收录清零、站点报废。
本篇阿余博客独家整理个人博客专用全套防护方案,区别于网上通用繁杂教程,精准适配Typecho、WordPress个人博客,通过Nginx规则、宝塔防护、爬虫过滤、权限锁死、漏洞封堵多维防护,精准拦截恶意爬虫、垃圾采集、挂马篡改,同时放行百度、搜狗、必应正规搜索引擎,不影响正常收录。

一、新手必懂:为什么你的博客总被爬、被挂马?

个人博客没有流量门槛,全网爬虫机器、垃圾采集站、批量扫描工具会24小时自动扫描公网站点,新手默认配置存在大量防护空白,导致被动受害。

1、恶意爬虫/采集泛滥的核心原因

  • 网站无爬虫过滤规则,所有访问请求全部放行,机器爬虫可无限制抓取全站内容
  • 无访问限流,单IP可一秒发起数十次请求,疯狂扒取文章、图片、源码
  • 未区分正规蜘蛛与垃圾爬虫,无法精准拦截恶意访问

2、网站被挂马、被篡改的核心漏洞

  • 站点目录权限过松,核心文件可被写入、篡改、上传恶意脚本
  • 冗余端口、无用文件、安装残留未清理,留下攻击入口
  • 未拦截SQL注入、脚本访问、恶意文件请求,漏洞裸奔暴露
  • 主题、插件存在隐性漏洞,被批量扫描利用植入后门
博客长期运营核心:基础加固防入侵,进阶防护防爬、防篡改、防采集。

二、Nginx精准爬虫防护(放行正规蜘蛛,拦截垃圾采集)

绝大多数垃圾爬虫、AI采集机器、垃圾站采集程序,都可以通过Nginx规则精准拦截。本次配置只封恶意、不封收录,完美适配博客SEO运营。

1、阿余博客专属爬虫拦截规则(直接复制即用)

宝塔面板 → 软件商店 → Nginx → 设置 → 配置文件,粘贴至文件末尾,重启Nginx生效:

# 屏蔽恶意爬虫、AI采集、垃圾抓取UA if ($http_user_agent ~* "spider|scrapy|curl|wget|python|gohttp|ai-spider|archive|spiderbot") { return 403; } # 放行正规搜索引擎蜘蛛 if ($http_user_agent ~* "Baiduspider|Sogouspider|Bingbot|Googlebot") { allow all; } # 禁止空UA恶意访问 if ($http_user_agent = "") { return 403; }

2、规则详细说明(新手易懂)

  • 拦截对象:Python爬虫、Scrapy采集、curl/wget批量抓取、AI内容采集机器、各类垃圾蜘蛛
  • 放行对象:百度、搜狗、必应、谷歌正规收录蜘蛛,不影响网站正常收录排名
  • 拦截空访问:杜绝无标识恶意扫描、批量探测请求

三、Nginx访问限流防护(防CC、防批量采集)

单IP高频极速请求是恶意采集、CC攻击的典型特征,通过Nginx限流规则,限制单IP访问频率,杜绝一秒数十次的批量扒站行为,同时不影响正常用户浏览。

1、博客专属限流代码(低配服务器适配)

# 全局限流配置 limit_req_zone $binary_remote_addr zone=bloglimit:10m rate=10r/s; # 站点应用限流 location / { limit_req zone=bloglimit burst=15 nodelay; }

2、参数适配逻辑

  • rate=10r/s:单IP每秒最多10次请求,满足正常用户浏览、翻页、刷新需求
  • burst=15:突发请求缓冲,避免正常访问误拦截
  • nodelay:超额请求直接拦截,不堆积延迟,杜绝爬虫批量刷请求
配置完成后,可彻底解决瞬间流量暴涨、服务器CPU占用过高、恶意批量采集等问题。

四、全站防挂马、防篡改核心配置(堵死漏洞入口)

挂马、暗链植入、页面篡改,全部是利用网站漏洞写入恶意脚本,下面通过多层规则,彻底禁止非法写入、非法脚本访问、漏洞注入。

1、禁止访问高危恶意脚本

屏蔽站点内所有未知php、asp、shell脚本访问,杜绝后门木马执行:
# 禁止访问高危后门脚本 location ~* (shell|hack|eval|webshell|phpinfo|spider\.php) { return 403; } # 禁止非法目录执行脚本 location ~ /(temp|cache|upload)/.*\.php$ { deny all; }

2、禁止SQL注入、特殊字符攻击

拦截常见注入攻击、恶意参数探测,保护数据库与站点源码安全:
# 拦截SQL注入与特殊恶意参数 if ($request_uri ~* "(select|union|and|or|exec|insert|delete|update|%27|%22|%3C|%3E)") { return 403; }

3、上传目录强制锁死(防挂马重中之重)

网站木马99%都上传至uploads上传目录,锁死该目录PHP执行权限,从根源杜绝挂马运行:
宝塔站点设置 → 防注入设置 → 禁止上传目录运行PHP,一键开启,适配Typecho、WordPress所有博客程序。

五、Robots.txt规则配置(规范爬虫、屏蔽无效抓取)

合理的robots规则,可以引导正规蜘蛛抓取有效内容,屏蔽后台、缓存、无用目录,减少爬虫无效请求,降低被采集概率。
网站根目录新建/修改robots.txt,阿余博客通用纯净规则:
User-agent: * # 禁止抓取后台、缓存、配置、隐私目录 Disallow: /admin/ Disallow: /wp-admin/ Disallow: /usr/cache/ Disallow: /config/ Disallow: /install.php # 放行搜索引擎 User-agent: Baiduspider Allow: / User-agent: Sogouspider Allow: / User-agent: Bingbot Allow: /

六、宝塔面板可视化防护叠加(零基础双重保险)

在代码规则防护基础上,搭配宝塔自带防护功能,无需写代码,一键开启多层防护,新手零难度落地。
  • 开启宝塔防火墙CC防护:拦截高频访问、异常请求、恶意扫描
  • 开启文件防篡改:监控网站核心文件,一旦出现新增、修改、删除文件,即时告警
  • 开启恶意文件拦截:自动拦截exe、sh、shell、未知脚本上传
  • 关闭目录浏览:禁止外人遍历网站所有文件,防止源码、备份泄露
  • 定期木马查杀:每周一键全站查杀,清理隐性后门、残留恶意文件

七、Typecho/WordPress专属防爬防挂马优化

1、Typecho专属优化

  • 关闭后台公开访问入口,修改后台路径,杜绝后台暴力扫描
  • 关闭匿名评论、评论外链,拦截垃圾评论植入暗链
  • 删除安装文件、调试文件,清理冗余残留入口

2、WordPress专属优化

  • 禁止WP默认后台批量扫描,拦截wp-login高频请求
  • 卸载无用插件、盗版主题,杜绝插件后门漏洞
  • 关闭XML-RPC接口,拦截批量爆破、恶意请求攻击

八、新手防护高频误区(必看避坑)

  • 不要一刀切封禁所有爬虫:错误拦截正规蜘蛛会直接导致网站不收录、权重归零
  • 不要过度限流:限流参数过严会导致正常用户访问403、页面打不开
  • 不随意安装第三方防护插件:多数防护插件臃肿、带后门、冲突严重,Nginx原生规则最稳定
  • 不要忽略文件权限:规则再完善,权限过松依然可以被挂马篡改
  • 防护不是一次性操作:需定期查杀、查看日志,及时拦截新型爬虫攻击

九、防护效果检测与异常排查

  • 查看Nginx日志:可清晰看到大量403拦截记录,代表恶意爬虫已被成功拦截
  • 查询蜘蛛抓取状态:百度站长平台验证蜘蛛正常抓取,无收录异常
  • 监控文件变动:无陌生文件新增、无核心文件篡改,站点处于安全状态
  • 检测访问稳定性:正常用户浏览、翻页、访问全程无拦截、无报错

本篇合集定位

本文为阿余博客建站合集安全进阶篇,补齐了基础加固之外的防采集、防爬虫、防挂马、防篡改核心能力。
至此,你的博客完成了底层安全加固+速度性能优化+爬虫入侵防护全套闭环,从裸奔站点升级为高安全、高稳定、高收录的优质个人博客,彻底杜绝原创内容被爬、网站被黑、权重流失的问题。

写在最后

个人博客运营,内容是核心,安全是底线,防护是护城河
辛辛苦苦原创输出,却被恶意爬虫一键扒空、被黑客挂马降权,是新手建站最大的遗憾。真正的建站规范,不仅是会搭建、会优化速度,更要会守住自己的站点、守住自己的原创价值。
跟着阿余博客建站合集全套规范落地,搭建一套安全纯净、极速稳定、防爬防黑、利于长期收录的专属个人技术博客。
上一篇 阿余博客|建站合集07:博客全站速度优化实操|Nginx缓存、Gzip压缩、静态提速、浏览器缓存配置
下一篇 阿余博客|建站合集09:博客零基础SEO收录搭建|站长平台绑定、站点地图、主动推送、收录优化全套教程

探索站点内容

搜索文章、标签、分类

目录
Mr_Yu

Mr_Yu管理员

这个人很懒,什么都没有留下。

本月创作热力图