我們在站點維護的過程中經(jīng)常需要對Nginx配置文件進行修改，本文分享一些實用的規(guī)則，修改nginx的配置之前務必做好備份，修改完畢后需要重載一次nginx的，否則不會生效。

防止文件被下載

比如將網(wǎng)站數(shù)據(jù)庫導出到站點根目錄進行備份，很有可能也會被別人下載，從而導致數(shù)據(jù)丟失的風險。以下規(guī)則可以防止一些常規(guī)的文件被下載，可根據(jù)實際情況增減。

location ~ \.(zip|rar|sql|bak|gz|7z)$ {
  return 444;
}

屏蔽非常見蜘蛛（爬蟲）

如果經(jīng)常分析網(wǎng)站日志你會發(fā)現(xiàn)，一些奇怪的UA總是頻繁的來訪問網(wǎng)站，而這些UA對網(wǎng)站收錄毫無意義，反而增加服務器壓力，可以直接將其屏蔽。

if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
     return 444;
}

禁止某個目錄執(zhí)行腳本

比如網(wǎng)站上傳目錄，通常存放的都是靜態(tài)文件，如果因程序驗證不嚴謹被上傳木馬程序，導致網(wǎng)站被黑。以下規(guī)則請根據(jù)自身情況改為您自己的目錄，需要禁止的腳本后綴也可以自行添加。

#uploads|templets|data 這些目錄禁止執(zhí)行PHP
location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
    return 444;
}

屏蔽某個IP或IP段

如果網(wǎng)站被惡意灌水或CC攻擊，可從網(wǎng)站日志中分析特征IP，將其IP或IP段進行屏蔽。

#屏蔽192.168.5.23這個IP
deny 192.168.5.23;
#屏蔽192.168.5.* 這個段
denu 192.168.5.0/24;

防盜鏈

普通的防盜鏈是通過referer來做，比如：

location ~* \.(gif|jpg|png|bmp)$ {
    valid_referers none blocked *.example.com server_names ~\.google\. ~\.baidu\.;
    if ($invalid_referer) {
        return 403;
    }
}

限速

限速包括限制請求的并發(fā)數(shù)和請求的下載速度。
簡單的限制某個線程的下載速度就直接加上一句話就可以了：

limit_rate 1024k;

禁止訪問這個頁面

更改此文件的名字，讓別人猜不到，例如限制：/xmlrpc.php
在服務器加入以下代碼：

location =/xmlrpc.php
{
deny all;
}

加入之后，再次訪問，會拒絕訪問請求：返回403報錯！