我在 2 个月内扫描了 596 个网站，其中 81.6% 未实施速率限制。以下是 2026 年其他已失效的安全措施。

一名名为 Ben 的开发者使用其工具 UNPWNED 对 596 个生产环境网站进行了安全卫生状况评估。结果显示，独立黑客和开发者（尤其是使用 AI 代码助手者）的安全实践令人担忧地糟糕。几乎所有扫描的域名都缺乏关键安全措施，如 DNSSEC 和可发现的隐私政策。绝大多数网站也未实施基本防护，例如速率限制以及 DKIM 和 DMARC 等邮件认证头。 数据表明，92.6% 的网站未启用 DNSSEC，使其易受 DNS 欺骗攻击；81.6% 的网站未实施任何速率限制，从而允许无限制的暴力破解攻击；此外，78.5% 的网站缺失 DKIM，使得邮件伪造变得显著更容易。令人担忧的是，69.6% 的网站未设置 Content-Security-Policy 头，而这是防御跨站脚本（XSS）攻击的关键防线。 几乎所有网站（99.7%）都缺少 security.txt 文件，导致安全研究人员无法通过明确渠道报告漏洞。尽管 100% 的可测量网站拥有有效的 SSL/TLS 证书，但整体平均安全等级仅为 70.8 分（满分 100 分）。作者强调，这些问题并非理论上的，而是代表了现实世界中的攻击向量。 文章指出，AI 生成的代码、框架默认配置以及托管平台通过未优先处理或隐藏关键安全配置，导致了这些安全缺口。作者提供了针对常见问题的简单修复方案，包括 CSP 头、速率限制、DMARC 和 DNSSEC。此外，作者还分享了关于营销安全工具以及利用数据进行用户参与的教训。最后，文章呼吁读者使用 UNPWNED 扫描自己的网站。