参考：https://cangshui.net/4289.html

目的：防止censys.io此类网站扫描获得源站IP

原理：nginx服务器当未设置默认网站时，通过IP可自动访问建立的第一个网站，而当你在IP前加上https访问时，自动暴露该网站的https证书签发域名。

因此：只要扫描指定IP的443端口就很有可能知道某个网站的源站IP，直接扫描0.0.0.0/0即可。

注意：如果在censys.io已经能查到源站IP，请换掉源站IP，或者直接重新开VPS搬家。换掉IP之后千万别解析到自己源站IP上，到时候会有查解析记录的平台照样查得出。

方法一：最暴力的方法，用哪家CDN，就iptables只允许CDN的回源IP访问自己的IP。参考：各大CDN的节点IP段 设置全站只能通过CDN访问 https://cangshui.net/?p=3143

方法二：先创建一个不是自己域名的网站，域名随便；创建好之后删掉该网站目录下的文件，然后将此网站设为默认网站；然后打开该网站设置，添加自签发ssl证书，证书下载：https://cangshui.net/-down/-mytargz/pemkey.tar ；添加完之后打开自己的源站IP就会发现（https://源站IP），根本就没有颁布给哪个域名这种东西，因此不会暴露。

方法三：不要使用邮件系统，包括使用托管邮局和本地直接发信，邮局托管发信，收信用户可直接查看来源IP，而本地发信直接查MX解析记录即可。解决思路：关闭邮箱系统/使用代理服务器来操作托管邮局发信，使用单独域名、单独服务器负责此类任务。

方法四：不需要在源站放一个证书，只要CDN设置为http回源，CDN使用https就行了！不要用协议跟随！在cloudflare上是点击crypto，然后把SSL设为full即可!记得一点就是不要把自己的网站设为默认站点，默认站点的意思就是说直接访问IP，这个网站就会显示出来不需要带域名！

方法五：硬抗，渗透类的话基本上你使用最新的cms，只要你别暴露数据库在公网上，别把后台密码设为弱密码、开发者更新漏洞修复，你的安全问题基本上没啥，重点只是ddcc之类的攻击。参考：CC攻击和防御 https://cangshui.net/?p=2028