2026 年 Discord 服务器安全指南：保护您的社区

您的 Discord 服务器很有价值。它代表着您的社区、对话和关系 — 值得保护。

在 2026 年，Discord 服务器攻击有多种形式：突袭（大量用户加入并垃圾邮件频道）、机器人泛滥、针对管理员帐户的网络钓鱼尝试以及来自外部社区的协同攻击。一个被入侵的管理员帐户可以删除您的整个服务器。

好消息是：通过正确的设置和意识，您可以在大多数攻击发生之前阻止它们。

四种威胁类别

在深入研究防御措施之前，请了解您要防御的内容。

突袭和成员攻击 当协同用户（通常是敌对社区）同时加入您的服务器并发送垃圾邮件、发布冒犯性内容或删除频道时，就会发生突袭。Discord 每月大约有 19 million 个活跃服务器，突袭每周影响数千个社区。一次突袭可能会损害信任，并需要数小时才能清理干净。

机器人垃圾邮件 恶意机器人用消息、垃圾邮件链接淹没您的服务器，或试图升级权限。与突袭（人类用户）不同，机器人垃圾邮件是自动化的，可能会压倒审核。

网络钓鱼和诈骗 攻击者冒充工作人员，提供虚假的 Nitro，或发送带有恶意链接的消息，这些链接会窃取 Discord 令牌（令牌授予完全帐户访问权限）。工作人员帐户的泄露通常先于完整的服务器接管。

管理员帐户泄露 如果有人获得您的管理员密码或 2FA 代码，他们可以删除您的整个服务器，锁定所有者并窃取数据。这是核选项。

第 1 层：验证级别（您的第一道防线）

Discord 的内置验证系统是您最便宜的防御措施。它不花任何费用，并且可以阻止大多数随意攻击。

了解五个级别

• 级别 0（无）：任何人都可以查看和聊天。没有保护。仅用于私人朋友服务器。
• 级别 1（低）：需要验证电子邮件。阻止一次性帐户，但不阻止有组织的突袭。
• 级别 2（中）：需要验证电子邮件 + 5 分钟会员资格。延迟突袭。大多数服务器应该从这里开始。
• 级别 3（高）：需要验证电子邮件 + 10 分钟会员资格。适用于较大的服务器。对合法的新成员有明显的摩擦。
• 级别 4（非常高）：需要会员资格 + 手动门槛（成员必须对消息做出反应）。最大程度的摩擦，仅适用于高信任社区或在主动攻击之后。

设置您的级别

转到服务器设置 → 安全设置 → 验证级别。建议：

• 新服务器：级别 2（中）。这是一个很好的平衡 — 阻止随意垃圾邮件，而不会惹恼真正的成员。
• 1,000+ 成员：级别 2 或 3。您需要摩擦来减缓有组织的攻击。
• 活跃的突袭目标：级别 3（高）。10 分钟的延迟可以阻止大多数突袭。
• 突袭发生后：暂时跳到级别 4。一旦情况稳定下来，就降回级别 2 或 3。

仅靠验证是不够的，但它是您的基础。

第 2 层：自动审核和关键字过滤器

Discord 的自动审核系统 24/7 全天候运行，无需人工干预。在服务器设置 → 自动审核中进行设置。

要启用的自动审核规则

垃圾邮件检测

• 启用：突袭检测（多个新帐户同时发布）、提及垃圾邮件、重复消息
• 操作：超时 10 分钟（适合测试），或静音 1 小时（对已建立的服务器安全）
• 原因：自动捕获机器人泛滥和突袭活动

链接和邀请

• 启用：阻止邀请链接（除非来自受信任的角色）
• 操作：静默删除或发送到版主频道进行审核
• 原因：网络钓鱼通常通过链接缩短器进行。邀请链接邀请突袭。

关键字过滤器

• 添加：服务器特定的阻止术语（诽谤、骚扰、网络钓鱼域名列表）
• 操作：删除 + 发送到版主频道
• 原因：在人类看到之前捕获有问题的内容。在突袭中添加您发现的域名。

新帐户

• 标记：在容易发生突袭的类别中，帐户年龄小于 24 小时
• 操作：超时或自动角色门槛
• 原因：有组织的突袭使用一次性帐户

提及垃圾邮件

• 限制：每条消息最多 5 个 @提及
• 操作：超时
• 原因：阻止 @everyone/@here 垃圾邮件和有针对性的骚扰

高级关键字策略

从一个通用的关键字列表开始（社区准则、禁止的诽谤）。随着时间的推移，添加服务器特定的术语，这些术语表示垃圾邮件或攻击（以前的突袭短语、已知的诈骗链接、冒充模式）。每周查看版主报告以捕获新模式。

第 3 层：具有突袭模式的审核机器人

自动审核捕获模式，但您需要一个审核机器人来进行高级威胁响应。2026 年的首选：

Dyno

• 突袭模式：如果 X 在 Y 秒内加入，则自动踢出新帐户
• 日志记录：加入、离开、删除、角色更改的完整审核跟踪
• 自动审核：Discord 自动审核的冗余
• 设置：突袭模式以在 5 秒内踢出 5 个以上的帐户

MEE6

• 类似的突袭检测和日志记录
• 历史上更好的正常运行时间记录
• 设置：默认启用突袭保护 + 日志记录

Carl-bot

• 较小但可靠
• 强大的自定义命令支持
• 设置：基本突袭检测

配置突袭检测

在您的机器人的仪表板中：

1. 启用突袭模式
2. 设置灵敏度：标记 10 秒内 5 个以上的加入
3. 操作：自动踢出 + 通知版主频道
4. 在您的版主频道中查看日志

当突袭模式触发时，您将看到即时通知。这使版主有 30 秒的时间做出反应，然后损害会加剧。

第 4 层：管理员帐户安全（至关重要）

被入侵的管理员帐户是对服务器的完全入侵。

必需的安全措施

双重身份验证 (2FA)

1. 转到用户设置 → 帐户
2. 启用双重身份验证
3. 将您的恢复代码保存在密码管理器中（而不是笔记中）
4. 要求所有管理员级别的用户使用 2FA：服务器设置 → 管理员
5. 将其作为工作人员规则：“所有管理员都必须启用 2FA”

这一步可以阻止 99% 的帐户接管。

密码安全

• 使用唯一的密码（不在帐户之间重复使用）
• 使用密码管理器（Bitwarden、1Password、KeePass）
• 如果您怀疑泄露，请立即更改
• 每周检查您的活动会话：设置 → 活动会话 → 注销未知会话

电子邮件帐户安全 您的 Discord 帐户的电子邮件是恢复后门。如果有人获得您的电子邮件，他们可以重置您的 Discord 密码。

• 也在您的电子邮件帐户上启用 2FA
• 使用强而唯一的密码
• 定期检查登录活动

注意令牌暴露 Discord 令牌是“主密钥”。切勿：

• 将您的令牌粘贴到 Discord、GitHub 或论坛中
• 与机器人或“验证”网站分享
• 点击声称显示您的令牌的链接

如果您不小心泄露了令牌：

1. 立即轮换它：用户设置 → 高级 → 重新生成令牌（或只是更改您的密码）
2. 检查您的活动会话并注销未知会话
3. 如果涉及恶意行为，请向 Discord Trust & Safety 报告事件

第 5 层：频道安全和角色门槛

结构性防御使攻击者更难造成损害。

角色层次结构

1. 管理员角色：位于所有其他角色之上。只有所有者和 1-2 个受信任的共同管理员。
2. 版主角色：可以删除消息、静音、踢出，但不能删除频道或管理角色。
3. 受信任的成员：适用于活跃的社区领导者。只能管理特定频道。
4. @everyone：拒绝危险权限（管理频道、管理角色、禁止成员、踢出成员、删除消息）

切勿轻易授予管理员权限。“能力越大，责任越大” — 如果该帐户被黑客入侵，责任也越大。

频道锁定

创建一个 #admin-only 频道，其中：

• 可见性：仅限版主角色 + 以上
• 目的：工作人员讨论、事件响应、安全决策
• 备份：如果混乱失控，工作人员可以在此处协调

对于您最重要的频道（#rules、#announcements）：

• 拒绝 @everyone 的发送消息权限
• 仅允许工作人员角色发送消息
• 设置为社区只读

第 6 层：事件响应计划

尽管您尽了最大努力，但突袭可能会发生。以下是如何响应。

当突袭开始时

1. 立即：锁定所有频道 — 服务器设置 → 权限 → @everyone → 拒绝发送消息
2. 联系版主：在您的私人版主频道（如果您有）中发送消息，并通过 Discord/Discord 服务器呼叫联系
3. 收集证据：突袭消息、加入时间、用户名的屏幕截图（用于报告）
4. 自动踢出入侵者：如果您的机器人仍在工作，请手动触发突袭模式
5. 删除垃圾邮件：浏览频道并删除冒犯性/垃圾邮件内容。机器人可以加快此过程。

突袭之后

1. 禁止和报告：禁止所有突袭帐户。如果涉及威胁，请向 Discord Trust & Safety 报告最严重的帐户。
2. 查看日志：检查说了什么和删除了什么。截取任何重要的内容。
3. 通知您的社区：在 #general 中发布一条简短消息：“我们遇到了安全事件。所有攻击者都已被删除。我们正在审查我们的安全措施。”
4. 与工作人员进行汇报：什么有效？什么失败了？自动审核是否捕获了它？突袭模式是否踢出了用户？根据您学到的知识进行改进。
5. 加强验证：将您的验证级别提高 48 小时，然后决定是否要保持更高的级别。

向 Discord 报告

如果突袭涉及威胁、骚扰或有针对性的仇恨言论：

1. 转到 Discord 的 Trust & Safety 联系方式：discord.com/safety
2. 提供：服务器 ID、突袭时间范围、屏幕截图、主要攻击者
3. Discord 可能会调查并对攻击者的帐户采取行动

第 7 层：员工培训和社区文化

您最好的防御是有意识的社区和训练有素的员工。

培训您的版主

• 识别突袭指标：协同的新帐户、垃圾邮件模式、类似消息
• 了解网络钓鱼的样子：“点击此处验证您的帐户”、虚假的 Nitro、“免费提升”
• 了解升级：切勿将管理员权限授予您未亲自见过的人
• 记录事件：保存屏幕截图、记录加入时间、注意哪些用户一起加入

与您的社区沟通

在 #rules 或 #announcements 中发布：

在我们的服务器上保持安全

我们重视安全。以下是要了解的内容：

• 工作人员绝不会主动 DM 您，要求您提供密码或验证
• 不要点击来自未知用户的链接
• 向 @mods 报告可疑活动
• 切勿分享您的 Discord 令牌（您帐户的密钥）

这条简单的消息可以防止大多数诈骗。当您的社区知道攻击是可能的时候，他们就不那么容易受到攻击了。

监控和持续安全

安全不是一次性设置。积极监控：

• 每周：检查 Discord 中的活动会话（设置 → 活动会话）。注销未知会话。
• 每月：查看您的自动审核规则。如果您看到模式，请添加新的阻止关键字。
• 每季度：审核管理员帐户。删除不活跃的管理员。查看角色权限。
• 在任何事件之后：提高验证级别，进行安全演习，更新您的事件响应计划。

Rally 也有帮助 — 在 Rally 上列出您的服务器，以接触参与的社区，并减少对公共 Discord 发现的依赖（这会吸引更多随机突袭）。Rally 基于活动的排名意味着您的社区对真正希望加入和参与的人可见，而不是路过的突袭者。

保护您的服务器意味着像防御者一样思考 — 多层廉价的早期预警、明确的升级程序以及了解威胁的社区。做到这一点，突袭就会变成麻烦，而不是灾难。