妈的,我算是服了,百度没把我搞死,差点让自己一个骚操作给送走。真的,新手别以为搞个二级域名做专题站或者博客分站是什么高端操作,你服务器和程序底子没弄明白,这就是给自己挖天坑!我上周不就想给新项目*test.yourdomain.com*开个测试后台吗,想着和主站后台分开干净。
结果呢?我他妈在宝塔里直接绑了个泛解析*.yourdomain.com 图省事啊!想着以后开二级站方便,连那个robots和nginx配置都没细看,默认就扔那了。
噩梦开始了。就三天,就三天!凌晨4点手机邮件疯狂震,阿里云报警服务器CPU长期100%。我顶着黑眼圈爬起来连SSH都卡,一看日志,好家伙,无数个乱七八糟的二级域名请求,什么*admin.yourdomain.com*,*wp-login.yourdomain.com*,全是扫描和垃圾蜘蛛在撞库!我这才反应过来,泛解析把所有这些根本不存在的子域名全都指向了我的主站根目录,那些扫站机器人可高兴了,觉得发现了新大陆,疯狂爬取根本不存在的登录页面和漏洞路径。这还没完,更骚的是我主站用的一个老CMS,它后台登录地址刚好就是*admin.yourdomain.com*,这下直接被暴露在公网上裸奔,跟挂了横幅请人来黑我没区别。
所以你们问二级域名怎么登录后台?这根本不是个技术问题,这是个安全意识问题!首先,绝大多数情况,你二级域名绑定到网站目录后,它的后台和你主站是两套独立的系统(比如WordPress子站),你需要访问*二级域名/wp-admin*。如果是为了管理二级域名本身(比如在面板里),那根本不是通过域名访问,是你服务器或DNS服务商提供的管理面板!这里有份保命文档讲基础权限和解析设置的,真的,去看一眼,别学我。
血泪教训就几点,抽了三根烟才总结出来:第一,千万别随便开泛解析,除非你知道你在做什么并且有严格的防火墙规则。第二,新二级域名上线,第一时间在robots里屏蔽测试路径和后台,别让蜘蛛瞎逛。第三,也是最重要的,后台登录地址能改就改,别用默认的admin、login,改得他妈亲爹都不认识最好,然后强密码+限制IP访问!我现在回想都后怕,要是真被搞了,主站被挂马或者数据库被删,那才真是权重归零,收录全掉,几个月白干。现在这环境,服务器安全就是SEO的命根子,这根子烂了,你TDK写得再漂亮,外链做得再多,有个屁用。
不说了,我去给防火墙再加两条规则。真的,心累。
