站长容易中招的攻击：网站备份压缩包被窃取

网站备份压缩包被窃取这种方法很老了，但由于很多新手站长未养成良好的习惯，往往容易中招。这里介绍一下正确的网站备份方式，如何防范网站备份压缩包被窃取。

黑客为什么要窃取网站备份压缩包

网站备份压缩包通常是以.zip、.rar、.gz或.tar为扩展名的压缩包文件。里面包含了大量敏感信息，例如所有程序代码、数据库连接信息、甚至有管理登录秘钥或密码等等。

一旦这些信息被黑客拿到，那么攻破一个网站变得轻而易举。

黑客如何窃取网站备份压缩包

很多站长备份网站的时候，直接在网站目录下进行打包操作。这样网站备份的压缩包就暴露在互联网，任何人只要掌握了该压缩包的URL，就能下载。

另外一种情况是站长在恢复备份时，将备份压缩包上传至了网站目录，同样将压缩被暴露至互联网了。

那么黑客要窃取网站备份压缩包就必须掌握URL，所以他们会利用一些自动程序扫描网站。以下是站长帮使用的WAF防火墙截获的一些扫描实例截图：

这种扫描URL的方式会持续很长时间，且不断变化路径，直到命中正确的URL。一旦发现URL返回200的时候，自动程序就会开始下载压缩包。

有些新手站长莫名其妙的网站被黑，现在应该知道一些端倪了。

正确的网站备份方式

网站备份本来是一个好习惯，但错误的备份方式就导致了安全隐患。如何备份与恢复网站才稳妥？

如何防范网站备份压缩包被窃取

备份的资料或是其它敏感资料，如果要存放在WEB服务器上的话，要遵守以下规则：