PbootCMS是一款永久开源且免费的PHP企业网站开发建设管理系统,采用高效简洁的模板标签和PHP语言开发,支持多种URL模式及自定义地址名称,满足网站推广优化需求。它提供响应式管理后台、在线升级功能,并支持内容模型、多语言、自定义表单等多种功能。系统内置SEO优化功能,助力网站提升搜索引擎排名,广泛用于企业、政府、电子商务和教育等领域,致力于为用户提供最佳的网站开发建设解决方案。
虽然PbootCMS非常优秀,但漏洞也是挺多的。没办法,谁叫PbootCMS的功能那么强大呢,功能越是强大,就越容易出漏洞。要解决PbootCMS经常被黑问题(上传Webshell、网页劫持、挂马、篡改、SQL注入攻击),需要做一些必要的安全防护措施。我们接下来就一步步讲解如何部署PbootCMS安全防护规则。
安全防护需要一套完整的防护体系才能解决问题,非单个防护功能可以实现。因此我们需要从防篡改、防注入(WAF)等方面入手,主要使用以下防护模块:
1、 文件防篡改
2、 防SQL注入、防XSS攻击
3、 后台访问保护
4、 Webshell防护
一、 文件防篡改
可以使用文件ACL实现,也可以使用防篡改软件实现。文件ACL防篡改设置非常复杂,不适用大部分用户,暂不予考虑。使用防篡改软件最担心的是副作用,怕出现虽然能防止篡改,但却影响网站日常管理的情况。因此我们推荐使用《护卫神.防入侵系统》,因为其内置PbootCMS的防篡改规则,只需要一键设置即可开启防篡改功能(如下图一),并且没有副作用,不会给网站日常管理带来影响。
(图一:PbootCMS防篡改规则模板)
如上图所示,只需要填写“网站目录、安全模板、后台地址”,点击确定按钮,就可以开启防篡改了。若有人上传webshell或篡改系统文件,会立即被拦截(如下图二)
(图二:护卫神拦截黑客非法篡改文件)
二、 防SQL注入、防XSS攻击
这两个漏洞防护虽然可以通过修复程序源码解决,但很显然除了PbootCMS官方,我们自身几乎没法修改源码,因此只有使用WAF来解决。我们仍然推荐使用《护卫神.防入侵系统》,其内置的“SQL注入防护”模块,可以有效拦截针对PbootCMS的SQL注入攻击和XSS跨站脚本攻击。该模块默认已开启(如下图三),无需单独设置。
(图三:护卫神防护SQL注入攻击和XSS跨站脚本攻击)
当有黑客进行SQL注入攻击和XSS攻击时,系统会自动拦截,效果如下图四。
(图四:护卫神有效拦截SQL注入攻击和XSS跨站脚本攻击)
三、 后台防护保护
这个功能用于防止账户密码泄露导致黑客合法进入PbootCMS后台,合法进行篡改操作的情况(例如通过网站设置模块植入恶意代码)。可以使用《护卫神.防入侵系统》的“后台访问保护”模块实现,只需要填写后台地址、授权密码和授权区域就可以了(如下图五)。
(图五:PbootCMS后台保护模块)
如上图所示,对后台admin.php进行保护,成都地区用户可以直接访问后台。非成都地区用户访问后台时,会要求输入授权密码(如下图六)
(图六:拦截非法访问PbootCMS后台)
成都地区用户或是输入了正确的授权密码的用户,都可以成功访问后台(如下图七)。
温馨提示:设置城市区域授权一般不会产生安全风险,黑客和您同所城市的几率几乎为零。
(图七:成功访问PbootCMS后台)
四、 Webshell防护
上述三步已经解决PbootCMS安全问题,但我们不止步于此,而是做到更全面的安全防护,因此我们还需要对Webshell进行防护。《护卫神.防入侵系统》自研Webshell杀毒引擎,搭建有全球病毒监测网,自动收集各种Webshell样本,查杀率高达99%。为了提升查杀效果,《护卫神.防入侵系统》具有四重查杀机制,在上传时、保存时、请求时、访问时都会进行查杀,让Webshell无处遁形,对于变种木马也能自动识别。
首先通过“木马防护”模块,实时监测网站文件变化,发现Webshell,立即查杀。
然后会在上传文件时,查杀上传内容,阻止黑客上传Webshell。
当用户请求静态文件目录下的木马时,系统会立即拦截,阻止触发Webshell。
当用户访问网页时,还会对输出数据进行查杀,防止Webshell流出服务器,拦截效果如下图八。
(图八:拦截Webshell流出服务器)
使用护卫神防入侵系统,经过上述全方位的安全部署,您的PbootCMS将变得非常安全,可放心使用!
扫一扫
3379
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
