#8 zeroqing
因为对莫妮卡的风格不熟悉,所以我没有参与,只是打开网页看了看。
提出些建议:
1.网站使用SSL(纱世里)证书加密一下,2023年,无论网站多么小,我觉得都应该有个加密。
证书是可以有免费的,例如国外的Let's Encrypt(三个月有效期)或是国内的freessl.cn (一年有效期)。
2.网站套Cloudflare CDN防护,避免网站被打,产生天价账单或者丢失数据。我看到服务器位于香港阿里云,流量很贵,小心被刷流量(如背景图片),Hostloc等VPS圈子里俗称“剑皇”,使用VPS刷流量从而产生账单或者使服务器变卡。一般是惩罚坏家伙的,但是也可以【轻易】被滥用
3.把网站上的电子邮件地址都@换成#,这样可以降低被爬虫采集到,从而批量发送垃圾邮件的概率。
4.我不懂数据库这个,但是监听端口是必须暴露在公网的吗?我简单做了个端口扫描(我现在的IP是x.x.x.141、x.x.x.137和2408……::19F3),发现SSH和数据库端口都暴露在公网,有条件的话设置个防火墙吧,在不影响使用的情况下。
或者是邮件/手机号接收投稿?毕竟群发垃圾短信和垃圾邮件也是有成本的,这个网页上连个验证码的影子都没看见,真有人下黑手丢垃圾还是很容易的,记录IP不痛不痒,毕竟IP可以随便找肉鸡代理。哪怕是我,现在也能一口气换几十个IP。上个Google人机验证啥的更好,毕竟要让坏人干坏事的成本和难度提升才好,而我相信这点程度是拦不住真爱粉的。
以下为网站的开放端口列表,我扫描用的的IP应该是137那个结尾的,我觉得只留下80、443就够了。
