我好端端一个正经外贸网站，首页怎么一堆裸照？？

线下课有个学员，她网站差点放弃掉。她网站很老很老了，我在mk教avada主题的时候，她就跟着一起建了网站。网站做得not bad，加上她人勤快，在网站传了很多产品页，还自己写了文章，陆陆续续能收到自然流量的询盘。但她安全防护做得极差，等于裸奔，后面的事我不写你都能猜到。网站流量起来后，网站就反复中毒，反复被黑客攻击。中了毒，网站就会弹涩情网站弹窗，潜在客户一进来，产品没看到，就先看一堆裸照。 1637245990 82a4aaf5dae3e499577f3de5f17fe81f 画面有点上头，我打个码

被黑客攻击，网站就会多出上万个页面，一查收录，全是日文，自己页面被收录100个，黑客页面被收录10,000个，删都要删半天。 1637245990 aa546923633bb750c87f310b03d5c14e 类似这样，收录量猛增

修好了，隔两三个月，又中毒，再修，再中。这个网站反复去世三四次，她本人也在反复折腾的过程中，逐渐消磨了耐心，到最后就随它去。最后我线下课一查她后台，就知道问题出在哪里了。后台除开安装了基本的Wordence插件，就找不到其他插件，而且她网站的响应头(response header)也没做好防护，很容易被全自动化的病毒爬虫盯上。后来费了好大力气，还让我国外的技术员工帮她弄，才修复好。我观察了下，网站日均流量过300，或有某个热门关键词上了谷歌首页，就容易被自动爬虫盯上。如果你网站暂时还没有300流量，且没有关键词排上去，那可以不用着急。但如果达成300成就，就有词榜上有名，下面的操作一定要跟着我弄。网站安全话题太大，后面慢慢掰开说，这篇文章，我先说下怎么做好响应头的保护，防止被病毒爬虫盯上。

什么是响应头？

很专业的话题。大概意思是，我们在浏览器登录别人网站时，我们浏览器都会“自报家门”，给对方网站发出一个清单(request header)。网站收到这个清单，就会响应返回一个清单(response header)，包含了服务器的信息，比如压缩方式，缓存信息，文件类型，文件编码，http版本。不需要了解太深，比如，你不懂微波炉原理，并不妨碍你拿它热饭吃。

为什么要修改网站响应头？

我们没法阻止其他人给网站发起请求，但可以控制给对方返回什么结果。甚至可以扔回去个虚假信息，如果对方用了自动爬虫，就能一定程度干扰判断。像常见的XSS跨站脚本攻击，MITM中间人攻击和Clickjacking点击劫持攻击，都能用这种方法防。具体看看知乎帖子吧，有些专业的网络安全知识，我也是上面学的。

为什么我线上/线下课没教？

之前我也不懂，现在懂也不晚，人都在进化嘛，好过永远不懂。而且我发现哪怕用的再好的服务器（WPengine、Cloudway等），最基本的响应头保护都没做，如果流量大，那就是隐患。不要给自己埋雷。

怎么查自己网站的安全分数？

安装个谷歌插件：Checkbot。 1637245990 f94f807a874da284e51e4860d3495d1c 满星好评

免费版可以查自己100个页面，完全够用。安装好后，登录网站，点击浏览器插件的图标就能查，非常傻瓜化的工具。我查了下没做过响应头防护的网站，得到这样的结果： 1637245990 cb1d83aebd4d0776ebae1361a25fbeaa 5个零分

所以要额外做的保护如下，共 5个方面：

HSTS
Content Sniffing
clickjack
XSS
Server version data

小白也能做好响应头防护吗？

当然可以，后面我教程都是专门给 0 基础的人看的。你不懂代码也可以做好响应头防护。但事先说下，以下方法只适用于WordPress网站，如果你网站是找外包公司建的，而且对方用的也不是WordPress系统，那我就不知道怎么帮你了。小概率你加钱能解决，找对方程序员修改下响应头的信息，就能搞定，厉害的程序员分分钟弄好，都不用你教他什么是响应头，你给他看错误信息就行。大概率你加钱也搞不定，因为对方程序员未必懂，他可能会告诉你，各种工具测出来的分数不一样，不要听别人的，别人都是半吊子，我们建站公司已经帮你弄到最好了。