站长切记：请勿将重要配置文件备份为.bak后缀

很多站长有这样一个习惯，更改网站配置文件之前将原始文件重命名来备份，例如将config.php重命名为config.php.bak，殊不知这样一个小小的细节就给黑客留下了可乘之机，站长们可以做如下实验：

1、将您网站根目录下任意.php文件重命名为.php.bak，例如将config.php重命名为config.php.bak

2、然后您在浏览器中输入http://你的网站域名/config.php.bak

3、看到没？PHP文件里面所有的信息都显示出来了有没有？或者是可以下载！但是你直接访问 http://你的网站域名/config.php （非入口文件）是看不到里面的代码的！

所以，黑客就利用了站长们这点不好的习惯，对网站的可能的配置文件进行扫描，如下图某网站安全软件拦截信息：

确实是这样的，不相信的可以自己测试。当然你还可以测试你想要下载的文件，比如说模板文件，js，等等，这里不多说，请自行摸索。

所以我们在可以修改备份文件名后缀，或者是使用防护软件进行防护。

原文地址：http://blog.ailab.cn/post/129