本人打算把在 vps 上搭建的网站迁移到家里的虚拟机上,用内网穿透只公开 443 和 80 端口。cms 是 wordpress ,之前用的是宝塔,网站运行目录最大权限是 www 用户。 如果迁移到家里,在网站被挂马或者入侵的情况下,入侵者能拿到的最大权限是什么,会不会威胁到家庭内网安全。
网站是一点个人项目,但一年前在 b 站公开过地址,有 20 多万浏览量。网站在线率不是第一要务,但不希望引狼入室。
1
wnpllrzodiac 22 天前 via Android
这么大访问量,家庭宽带要暴露 80 ,443 。运营商不找你?
|
2
kkk9 22 天前
套上 cf 可以解决 99%的问题->剩下 1%里面,wp 跟随最新版本更新,不乱装插件,主题检查干净,又可以解决 99%的问题
|
3
COW 22 天前 via Android
国内 isp 家宽通常都是禁掉 80/443 端口的,另外这么大流量估计分分钟就被识别出来了,不怕被封宽带?
|
4
hefish 22 天前
非常危险,有被警察蜀黍破门而入的危险。
|
5
0x3036 22 天前 via iPhone
楼上各位,有没有一种可能,OP 肉身在墙外😂
|
6
opengps 22 天前
首先当然是暴露你这个网站的内容,进一步你这台服务器的内容,进一步暴露内网其他内容
|
7
Tiande 22 天前 via Android
cf tunnel 绑定域名
|
8
iyiluo 22 天前
网站如果有漏洞,拿到 shell ,整个家庭内网都会被一锅端吧。直接上容器,把网站放容器里面,这样安全很多
|
9
InDom 22 天前
最高是有可能威胁到整个内网的。
|
10
villivateur 22 天前
会威胁到内网安全,比如更方便黑客对你内网设备爆破,给你的联网微波炉开个机啥的。
所以我个人不推荐这种场景用 wordpress ,更不应该用宝塔面板,很容易增加攻击面。 |
11
nutting 22 天前
国外商业宽带不管开放端口对外提供服务?
|
12
ChrisLii OP @wnpllrzodiac 肉身美国
|
14
ChrisLii OP 国外公网 ip 多,所以 nat 层数少,端口映射很容易就出去了。千兆家宽上传大概在 300-400 左右。不过 cf 既方便又安全,并且没有速度损失所以就没有开端口。
另外 tailscale 这种组网工具用起来很方便,每个州至少都有几个公共服务器,前十秒走公共中转延迟 40-50 ,之后建立直连通道延迟能做到 20 以下。 |
15
ChrisLii OP 为了安全决定还是单独租个服务器,各位有推荐的性价比 vps 吗,不追求回国网络质量,打算套 cf 。
|
16
jenson47 22 天前
装个 waf 吧,wordpress 的代码结构确实不安全
|
17
ChrisLii OP 另外还希望大家推荐下图床方案,域名没有备案,目前用的是阿里云但考虑迁移到 cf r2 ,不过 cf 国内打开速度一言难尽。
|
18
Senorsen 22 天前
做好网络隔离,hypervisor 版本不要太低以免被逃逸
|
19
yinmin 22 天前 via iPhone
怕入侵,建议 docker 部署,然后在主机防火墙里禁止这个 docker 容器访问家里的局域网
|
20
googlefans 22 天前
关闭所有端口
|