Emlog是一款基于 PHP+MySQL 的开源博客系统,以轻量、简洁、易用著称,适合个人博客和小型网站。其主要特点:
轻量高效:代码简洁,运行速度快,资源占用低。
易于使用:安装简单,后台操作直观,适合新手。
模板与插件:支持丰富的模板和插件,便于功能扩展和界面定制。
SEO友好:内置SEO优化功能,利于搜索引擎收录。
多用户支持:允许多用户共同管理博客。
数据备份:提供便捷的数据备份与恢复功能。
虽然Emlog非常优秀,但要提升Emlog的安全防护能力,仍然需要从防篡改、后台保护、Webshell防护、SQL注入攻击防护、XSS跨站脚本攻击防护等多方面部署防护策略。下面我们就手把手教你如何部署Emlog防护!
一、 文件防篡改保护
要提升防护能力,防篡改是必不可少的。对文件做篡改防护有两种方法:1、通过ACL策略实现 2、使用底层驱动实现
1、 通过ACL策略防篡改
防护思路:全站只给读取权限;再对部分目录开放写权限,并禁止这些目录执行PHP脚本。
Emlog需要开放写权限的目录有:/content/cache/、/content/uploadfile/、/content/backup/
**/content/cache/:**用于存放系统缓存文件和临时文件
**/content/uploadfile/:**用于存放上传图片
**/content/backup/:**用于存放备份文件
注意:这三个目录务必禁止执行PHP脚本。这样设置以后,黑客就只能往这3个目录写入文件,由于禁止执行PHP脚本,即使黑客上传了webshell,也无法运行。
此方法设置较为复杂,需要很强的专业技术。另外局限性也较多,例如无法只对PHP文件做防篡改,需要对所有文件做防篡改。如果网站有生成HTML静态文件,就无法使用此方法了。
2、 使用防篡改软件
使用防篡改软件,是在底层驱动层面锁止文件,让黑客无法篡改文件。不同软件设置方法不同,推荐使用《护卫神.防入侵系统》,因为其内置Emlog的防篡改规则。如下图一,只需要选择"网站目录",安全模板选择"Emlog安全模板",防篡改功能就开启了,同时不会影响网站日常管理维护,没有副作用(非常有特色的地方,大部分防篡改软件都有副作用)。
(图一:Emlog防篡改模板)
当黑客上传webshell,拦截效如下图二。
(图二:Emlog防篡改拦截效果)
二、 后台防护和Webshell加强防护
此时还需要对后台做下防护,防止黑客窃取后台权限进行合法的篡改操作(例如在网站配置设置处植入恶意代码)。
防护思路也很简单,给后台设置二次密码,或是限制指定区域才能访问。《护卫神.防入侵系统》的"网站后台保护"模块可以实现此功能。如下图三,填写后台地址、设置授权密码和允许访问的区域就可以了。
(图三:Emlog后台保护)
此时,不在授权区域的用户访问后台,会要求输入授权密码(如下图四)
(图四:Emlog后台拦截保护)
输入正确的授权密码,或是在授权区域的用户(如本文设置的成都地区),就可以正常访问Emlog后台(如下图五)。很显然,黑客和你同所城市的几率非常非常低。
(图五:Emlog后台访问)
至于残留Webshell,《护卫神.防入侵系统》的"木马防护"模块可以轻松查杀掉,查杀率高达99%。 "静态目录保护"模块也会进一步阻止Webshell执行。
三、 防SQL注入和XSS跨站脚本攻击
SQL注入攻击和XSS跨站攻击是黑客常用的web入侵手段,也需要做好防护。
《护卫神·防入侵系统》默认已开启SQL注入防护模块(如下图六)。除了拦截SQL注入,还能拦截XSS跨站脚本,拦截效果如图七。
(图六:Emlog防SQL注入防护)
(图七: SQL注入攻击拦截效果)
怎么样,是不是很简单,只需要简单几步设置,就能轻松解决Emlog安全漏洞问题。