一、一个早上的安全告警
上周,我们在为一家唐山本地企业维护网站时,客户突然发来一条消息:
"我的网站是不是被挂马了?看看这个日志文件。"
打开服务器上的 IIS 日志文件,发现仅当天的日志就已经有数百条请求记录。快速扫一眼,情况确实不寻常——大量定向扫描和攻击尝试正在发生。
但最终结论让人松了一口气:网站是安全的。因为这是一个纯静态 HTML 站,所有攻击请求全部返回了 404。
这个真实案例值得每个有网站的企业主了解。我们来看看日志里到底发生了什么。
二、攻击日志里发现了什么
以下是同一天内抓取到的三类典型攻击(所有攻击目标IP已被打码处理):
1. WebShell 扫描
攻击者使用自动化脚本,反复请求常见的 WebShell 文件名:
GET /11.php → 404 GET /123.php → 404 GET /cmd.php → 404 GET /shell.php → 404 GET /webshell.php → 404
WebShell 是一种通过上传恶意 PHP 脚本来获得服务器控制权的攻击方式。攻击者每扫到一个可以执行的 PHP 文件,就有可能在服务器上执行任意命令——篡改页面、植入恶意代码、盗取数据。
来源IP:海外代理 154.83.211.58,全天扫描了多次。
2. 文件上传漏洞利用
更危险的一波攻击来自另一个IP:
POST /FileUpload/Index → 404 POST /FileUpload/Index → 404 POST /FileUpload/Index → 404 ...(同一来源7秒内连试7次)
攻击者在用自动化脚本尝试上传恶意文件到服务器。如果服务器有文件上传功能且没有做好安全过滤,上传的 PHP 文件可以直接被执行,服务器就此沦陷。
3. 旧 CMS 漏洞探测
还有大量针对已废弃的 CMS 组件路径的扫描:
GET /kindeditor/attached/file/20230201/...html → 404 GET /dede/ → 404 GET /plus/ → 404 GET /data/ → 404
哪怕这些旧目录早就删了,攻击机器人依然会按字典遍历常见路径。KindEditor 等旧编辑器曾被发现多个高危漏洞,CVE 数据库中至今有备案。这也是攻击者的重点扫描对象。
🔐 关键结论:因为这是一个纯静态 HTML 站,没有 PHP 解释器,没有文件上传功能,没有任何动态执行环境——以上所有攻击全部返回 404,没有造成任何实质影响。
三、纯静态 HTML 站为什么天然免疫
纯静态站(也叫静态 HTML 站)指的是每个页面都是写死的 .html 文件,不依赖服务器端程序生成内容。它的安全优势来自架构层面:
| 攻击类型 | 动态站(PHP/CMS) | 静态 HTML 站 |
|---|---|---|
| WebShell 扫描 | 如果文件存在即可执行 | 没有 .php 文件,100% 404 |
| 文件上传 | 上传点可能被利用 | 无上传功能,攻击无效 |
| SQL 注入 | 数据库交互存在注入风险 | 无数据库连接,无注入入口 |
| CMS 漏洞 | 依赖 CMS 安全更新 | 无 CMS,无组件漏洞 |
| 反代/解析攻击 | 复杂 | 简单,仅服务静态文件 |
简单说:攻击面趋近于零。静态 HTML 站的服务端只需要做一件事——把文件发给浏览器。没有动态执行环境,绝大多数 Web 攻击手段都失去了目标。
四、动态站(PHP/CMS)不是不能用,但有代价
并不是说动态站一无是处。CMS(如织梦、WordPress、帝国CMS)的优势在于:
- 方便后台编辑内容
- 有成熟的模板体系
- 集成了用户管理、评论等功能
但代价也很明显:
- 持续的安全维护成本——需要定期打补丁、更新版本
- 攻击面大——每个功能模块都可能成为入口
- 安全配置复杂——权限控制、上传过滤、防注入等需要专业配置
- 长期运维负担——数据库备份、性能优化、日志分析
根据公开的统计数据,使用 CMS 搭建的网站中,约 60% 的网站至少运行着一个已过期的版本,而这些过期版本往往存在多个已公开的漏洞。这背后是运营者根本无暇顾及安全更新。
五、企业网站建设的选型建议
不同的网站需求适用不同的技术路线。以下是我们基于多年服务经验给出的选型建议:
| 网站类型 | 推荐方案 | 理由 |
|---|---|---|
| 品牌展示官网(5-10页) | 纯静态 HTML | 安全、极速、零维护 |
| 营销型网站(需持续更新内容) | 纯静态 HTML + 手动更新 | 内容不多时仍推荐静态 |
| 电商/平台型网站 | 合理评估后选择 | 需要动态功能,必须专业安全加固 |
| 需要后台自管理的网站 | 轻量框架 / 无头CMS | 避免使用臃肿的PHP CMS |
很多唐山本地企业做网站时,实际的诉求就是"我有个线上门面,客户能搜索到、能看到公司介绍和案例就好"。这种场景下,纯静态 HTML 站是最务实的选择——安全、加载快、SEO友好,还没有定期打补丁的烦恼。
六、如果已经用了动态站,怎么办?
如果现有的网站已经是 PHP 动态站,也不必恐慌。可以逐步做以下提升:
- 关闭不必要的功能——关闭注册、评论、文件上传等非必需模块,减少攻击面
- 及时更新——CMS 和插件版本的更新记录要关注,发布安全补丁后第一时间更新
- 部署 WAF(Web 应用防火墙)——云服务商基本都提供 WAF 服务,可以拦截常见攻击
- 定期查看日志——养成习惯,偶尔翻一翻日志,早期发现异常
- 考虑逐步迁移到静态方案——对于纯展示内容,静态化改造在技术上是可行的
七、总结
这次真实的安全告警事件让我们得到一个清晰的结论:网站安全不是靠"装个安全软件"解决的,而是从架构层面决定的。
对于大多数企业展示型网站来说,纯静态 HTML 方案在安全性上具有天生的优势——零攻击面、零维护负担、零安全焦虑。而对那些确实需要动态功能的企业网站,也要在规划和架构层面就把安全纳入考量,而不是等被攻击了才补救。
最后留一个问题给各位企业主:你现在的网站,是用什么建的呢?它的最后一次安全更新是什么时候? 如果答不上来,也许值得花几分钟看看日志——可能会发现一些有趣的东西。