网站被扫描漏洞怎么防护？3步教你识别并阻止恶意扫描攻击

你的网站正被当成“自动售货机”狂按测试键

别慌，这不是黑客盯上你了——是成千上万台机器在同时给你家大门试密码。它们不挑网站大小，只认漏洞有无。你昨天没更新的那个插件？可能今天就被扫出三遍了。

为什么你的网站总被盯上？攻击者到底在扫什么？

他们不是在找你，是在找“好下手的系统”。

扫的是现成的漏洞：CMS 版本太老、后台地址还是默认的 /wp-admin、表单没做提交校验、插件里埋着已公开的 RCE 漏洞……这些都不是猜想，是攻击者手里现成的清单。

扫描器几秒就能识别你用的是 WordPress 6.1 还是 Drupal 9.4，然后立刻调出对应版本的漏洞库开扫。新漏洞一公布，24 小时内就会有脚本开始撞门。

一个真实案例：帮一家本地律所查网站卡顿原因，日志里全是针对 /wp-content/plugins/wp-file-manager/ 的请求。他们用的还是 2020 年就爆出高危漏洞的老版本，虽然没被上传木马，但服务器 CPU 被扫到常年 90%+，连首页都加载缓慢。

如何发现你的网站正在被扫描？别做“瞎子”

你拦不住扫描，但得知道谁来过。

打开你主机控制面板里的「访问日志」或「错误日志」（cPanel 是「Error Log」，宝塔叫「网站日志」），不用全看，盯住两件事：

• 大量 404 Not Found，尤其集中在 /admin.php、/phpmyadmin/、/wp-json/wp/v2/users/ 这类路径；
• 同一个 IP 在一分钟内请求了几十个不同后缀的文件，比如 /config.php、.git/config、/backup.zip……

这些不是访客，是机器人在翻你家窗户。

给你的建议：今天晚饭后，打开你常用的主机后台（比如阿里云虚拟主机、腾讯云轻量应用服务器、或者宝塔面板），点进网站日志，搜索关键词 404，再按 IP 排序。你会看到一堆陌生 IP，在反复敲你根本没开过的门。

加固防线：这5个基础防护必须立即做

别等被扫穿了才动手。下面五件事，今晚就能做完。

1. 所有东西都更新一遍：CMS 核心、主题、插件、PHP 版本——只要后台提示“有新版本”，就点更新。别信“等忙完再说”，安全补丁从不等人。
2. 改掉所有默认名：把后台登录地址换成 /login-2024 这种；数据库表前缀别用 wp_；管理员账号别叫 admin，哪怕叫 zhangsan88 都行。
3. 密码必须够长，且开启二次验证：密码至少 12 位，含大小写字母+数字；后台如果有 Google Authenticator 或短信验证选项，现在就打开。
4. 锁死暴力登录入口：WordPress 用户装「Wordfence」或「Loginizer」；用宝塔的直接在「网站设置 → 安全 → 防CC攻击」里勾选「限制登录失败次数」。
5. 开一道网关过滤层：如果你用的是阿里云、腾讯云、华为云的域名，直接在「云解析 DNS」里启用免费的「Web 应用防火墙（WAF）」；没用云服务的，宝塔面板里搜「ModSecurity」一键安装就行。

进阶策略：让扫描器“扫了也白扫”的技巧

基础做完，再加点“障眼法”和“小陷阱”，让攻击者觉得你这单不划算。

藏起你的技术标签：WordPress 默认会在网页源码里留 <meta name="generator" content="WordPress 6.3.2">，删掉它。方法很简单：在主题的 functions.php 最底部加一行代码：

remove_action('wp_head', 'wp_generator');

静态资源文件名也别带 jquery-3.6.0.min.js 这种明显版本号，重命名为 js-main-v2.js 就行。

放个“假后台”当诱饵：在网站首页 HTML 里加一段隐藏链接：

<a href="/admin-login-backup/" style="display:none;">网站管理入口</a>

然后在服务器配置里，对所有访问 /admin-login-backup/ 的请求，直接返回 403 并封 IP。Wordfence 和宝塔都能设规则自动拉黑。

文件权限别大撒把：上传目录（比如 wp-content/uploads/）只给 755 或 750，千万别设 777；配置文件（如 wp-config.php）权限改成 600，防止被直接下载。

被扫描不等于被入侵，但你必须有的应急计划

扫描天天有，被攻破只是概率问题。预案不是防万一，是保命线。

备份不能只存在服务器上：用宝塔的「计划任务」每天自动备份网站+数据库，目标选「FTP」或「七牛云/腾讯云 COS」——别存本地，也别存同台服务器。备份保留最近 7 天即可。

关键文件一动就报警：宝塔自带「文件防篡改」功能，打开它，监控 index.php、wp-config.php、.htaccess 这几个核心文件。一旦被改，微信/邮件立刻收到通知。

恢复流程写成三步纸条贴显示器边：
① 立即停站（宝塔里点「停止网站」）
② 查日志定位异常 IP 和修改时间
③ 从最近干净备份里还原网站+数据库

别等出事再想步骤，真乱起来，人会懵。

今天下班前，花15分钟执行这个关键操作

别收藏，现在就做。

打开你天天登录的网站后台（WordPress 就是 /wp-admin，Typecho 就是 /admin），按顺序走完：

1. 点「用户」→「所有用户」，把列表拉到底；
2. 删掉所有名字像 test、demo、admin123、guest 的账号；
3. 把剩下管理员账号的用户名，从 admin 改成你自己能记住但别人猜不到的（比如 liwei-editor）；
4. 点进那个管理员账号编辑页，把密码重置成 14 位以上的新密码（用手机备忘录生成一串乱码粘过去）；
5. 找到「双因素认证」开关（WordPress 插件叫「Two Factor Authentication」，宝塔建站工具里也有），打开它，用微信扫码绑定。

做完这五步，你网站的“可攻击面”至少缩小一半。不是因为你多厉害，而是你把最容易被踹开的那扇窗，亲手焊死了。