- 注册
- 2026/01/08
- 消息
- 12
本文适用于 XenForo 2.2 / 2.3 + 宝塔面板,重点解决三类问题:
刷注册、刷请求、资源被爬取。
目标不是 100% 防住,而是:
注册页
登录页
搜索接口
下载接口
资源列表页
防护要 精准,不能全站乱封。
后台 → 设置 → 安全选项:
应用范围:
不要只给注册加。
后台 → 用户 → 用户组选项:
刷子最怕“延迟收益”
设置:
能挡掉大多数撞库脚本。
后台 → 设置 → 搜索:
搜索接口是 刷子和爬虫最爱
宝塔 → 安全 → 防火墙 → 限速
示例策略:
这是 反爬最重要的一步
推荐策略:
不影响真人用户,却能废掉脚本。
避免:
推荐:
直链 = 白送爬虫。
能挡掉大量低级爬虫。
不影响正常用户。
不要全站 JS Challenge,体验会崩。
发现后:
全站验证码
全站 JS Challenge
靠“安全插件”解决一切
完全不限制游客
资源直链
新站推荐组合:
成本低,效果好。
对 XenForo 资源站来说,
保护资源,比增加流量更重要。
刷注册、刷请求、资源被爬取。
一、先说清楚:什么是“防刷”,什么是“反爬”
防刷(Anti-Abuse)
- 刷注册
- 刷登录
- 刷评论 / 回复
- API 滥用
反爬(Anti-Scraping)
- 批量爬取主题 / 插件资源
- 下载页被脚本抓取
- 镜像站
目标不是 100% 防住,而是:二、刷子最常攻击的 5 个入口(重点)
注册页 登录页 搜索接口 下载接口 资源列表页 防护要 精准,不能全站乱封。三、防刷注册与登录(第一优先级)
启用人机验证(必须)
后台 → 设置 → 安全选项:
- 启用验证码
- 推荐:hCaptcha / reCAPTCHA
应用范围:
- 注册
- 登录
- 忘记密码
不要只给注册加。 邮箱验证 + 发帖限制
后台 → 用户 → 用户组选项:
- 新用户必须邮箱验证
- 新用户:
- 24 小时内禁止发链接
- 限制发帖频率
刷子最怕“延迟收益” 登录失败限制(非常有效)
设置:
- 登录失败 N 次 → 临时封 IP
- 封禁时间:10–30 分钟
能挡掉大多数撞库脚本。四、防刷请求(接口 / 搜索 / 高频访问)
限制搜索权限(强烈推荐)
后台 → 设置 → 搜索:
- 游客搜索:关闭或限制
- 新用户搜索:限频
搜索接口是 刷子和爬虫最爱 宝塔层限速(轻量但有效)
宝塔 → 安全 → 防火墙 → 限速
示例策略:
- 单 IP 每秒请求数限制
- 对 /search、/login 单独限速
五、反爬资源与下载(资源站核心)
资源下载必须登录(必做)
- 游客不可下载
- 注册用户才可下载
这是 反爬最重要的一步 下载行为加“软门槛”
推荐策略:
- 下载前必须:
- 回复
- 点赞
- 满足积分
不影响真人用户,却能废掉脚本。 下载链接不直链(非常关键)
避免:
代码:
example.com/files/theme.zip推荐:
- 通过 XenForo 下载控制
- 使用临时 / 动态 URL
直链 = 白送爬虫。六、Nginx / 宝塔反爬实战(不伤性能)
屏蔽明显爬虫 UA(基础)
代码:
if ($http_user_agent ~* (curl|wget|python|scrapy|httpclient)) {
return 403;
} 针对资源路径限速
代码:
location /resources/ {
limit_req zone=req_limit burst=10 nodelay;
}七、CDN 层防刷(Cloudflare 示例)
推荐规则
- /login /register:
- JS Challenge
- /search:
- Rate Limit
- 静态资源:
- Cache
不要全站 JS Challenge,体验会崩。八、日志识别刷子与爬虫(进阶)
常见特征
- 请求间隔极短
- UA 固定
- 不加载图片 / JS
- 只访问资源页
发现后:- 封 IP 段
- 加规则
九、常见防刷反爬误区(一定要避开)
全站验证码 全站 JS Challenge 靠“安全插件”解决一切 完全不限制游客 资源直链十、站长实战推荐方案(总结)
新站推荐组合:
- 注册 + 登录验证码
- 游客禁止下载
- 新用户下载限制
- 搜索限频
- Nginx 基础反爬
成本低,效果好。结语(经验总结)
对 XenForo 资源站来说,
保护资源,比增加流量更重要。