域名安全与保护
域名是你的数字资产。一旦被劫持或到期被抢注,损失可能是毁灭性的——SEO 归零、品牌信任崩塌、客户流量全部丢失。
域名面临的三类风险
graph TD
A[域名风险] --> B[到期未续费
被抢注] A --> C[账户被入侵
域名被转移] A --> D[WHOIS 信息泄露
引来垃圾邮件/骚扰]
被抢注] A --> C[账户被入侵
域名被转移] A --> D[WHOIS 信息泄露
引来垃圾邮件/骚扰]
| 风险类型 | 后果 | 防护方法 |
|---|---|---|
| 到期未续费 | 域名进入赎回期,最终被抢注 | 开启自动续费 + 邮件提醒 |
| 账户被入侵 | 域名被非法转移 | 强密码 + 2FA + 域名锁定 |
| WHOIS 信息泄露 | 垃圾邮件、社工攻击 | 开启 WHOIS 隐私保护 |
WHOIS 隐私保护
WHOIS 是公开的域名注册信息数据库。默认情况下,你的姓名、邮箱、电话、地址都是公开的。
查看你的 WHOIS 信息:
whois example.com
或使用 who.is 在线查询。
如何保护:
大多数注册商提供免费或付费的 WHOIS 隐私保护(也叫 Domain Privacy 或 ID Protection):
| 注册商 | WHOIS 隐私费用 |
|---|---|
| Cloudflare | 免费(自动开启) |
| Namecheap | 免费(WhoisGuard) |
| GoDaddy | 额外收费(约 $10/年) |
开启后,WHOIS 显示的是注册商的代理信息,而不是你的真实信息。
域名锁定(Transfer Lock)
域名锁定防止未经授权的域名转移。
Lock 状态说明:
| 状态 | 含义 |
|---|---|
| 锁定(Locked) | 无法发起域名迁移(安全状态) |
| 解锁(Unlocked) | 允许迁移,只在准备迁移时开启 |
最佳实践: - 平时保持锁定状态 - 只在准备迁移域名时解锁 - 迁移完成后重新锁定
在哪里设置:注册商后台 → 域名管理 → Transfer Lock / Registrar Lock
自动续费设置
域名到期时间线:
timeline
title 域名到期后的状态变化
到期日 : 域名服务停止(网站无法访问)
+0-30天 : 宽限期,可以续费恢复
+30-45天 : 赎回期,续费价格暴涨($100–$200+)
+75天 : 公开删除,任何人可注册
必做设置: 1. 开启自动续费 — 注册商后台 → 自动续费 → 开启 2. 保持信用卡有效 — 自动续费失败最常见原因是信用卡过期 3. 接收提醒邮件 — 设置域名到期前 90 天、30 天、7 天提醒
账户安全
域名账户被入侵是最危险的风险,一旦攻击者拿到注册商账户,可以把域名转走。
必做安全设置:
- [ ] 强密码:16+ 字符,大小写+数字+特殊符号,不重用
- [ ] 启用 2FA:首选硬件密钥(YubiKey)或 TOTP App(Google Authenticator)
- [ ] 备用邮箱安全:WHOIS 邮箱本身也要开 2FA
- [ ] 登录通知:开启账户异常登录邮件提醒
Cloudflare 的额外保护: - Account 可以设置 Login Audit(登录记录) - 支持 SSO / 企业 SSO
高价值域名的额外保护
如果你的域名年收益超过 $10,000,考虑这些额外措施:
| 措施 | 说明 |
|---|---|
| Registry Lock | 需要注册商电话确认才能修改,防止社工攻击 |
| 多注册商分散 | 不把所有域名放在同一注册商 |
| 离线备份 | 记录所有 DNS 配置,做离线文档备份 |
| 法律保护 | 注册商标,方便域名争议仲裁(UDRP) |
本章执行清单
- [ ] 检查所有域名的自动续费是否开启
- [ ] 确认信用卡信息是最新的
- [ ] 开启 WHOIS 隐私保护(大多数注册商免费)
- [ ] 确认域名处于锁定状态(除非正在迁移)
- [ ] 为注册商账户开启 2FA
下一章:SSL 与 HTTPS——让你的站点从 HTTP 升级到 HTTPS,并解决常见的证书问题。