EMLOG漏洞防护方法（防Webshell、防篡改、防劫持、防SQL注入、防XSS攻击）

Emlog是一款基于 PHP+MySQL 的开源博客系统，以轻量、简洁、易用著称，适合个人博客和小型网站。其主要特点：

轻量高效：代码简洁，运行速度快，资源占用低。

易于使用：安装简单，后台操作直观，适合新手。

模板与插件：支持丰富的模板和插件，便于功能扩展和界面定制。

SEO友好：内置SEO优化功能，利于搜索引擎收录。

多用户支持：允许多用户共同管理博客。

数据备份：提供便捷的数据备份与恢复功能。

虽然Emlog非常优秀，但要提升Emlog的安全防护能力，仍然需要从防篡改、后台保护、Webshell防护、SQL注入攻击防护、XSS跨站脚本攻击防护等多方面部署防护策略。下面我们就手把手教你如何部署Emlog防护！

一、 文件防篡改保护

要提升防护能力，防篡改是必不可少的。对文件做篡改防护有两种方法：1、通过ACL策略实现   2、使用底层驱动实现

1、 通过ACL策略防篡改

防护思路：全站只给读取权限；再对部分目录开放写权限，并禁止这些目录执行PHP脚本。

Emlog需要开放写权限的目录有：/content/cache/、/content/uploadfile/、/content/backup/

/content/cache/：用于存放系统缓存文件和临时文件

/content/uploadfile/：用于存放上传图片

/content/backup/：用于存放备份文件

注意：这三个目录务必禁止执行PHP脚本。

这样设置以后，黑客就只能往这3个目录写入文件，由于禁止执行PHP脚本，即使黑客上传了webshell，也无法运行。

此方法设置较为复杂，需要很强的专业技术。另外局限性也较多，例如无法只对PHP文件做防篡改，需要对所有文件做防篡改。如果网站有生成HTML静态文件，就无法使用此方法了。

2、 使用防篡改软件

使用防篡改软件，是在底层驱动层面锁止文件，让黑客无法篡改文件。不同软件设置方法不同，推荐使用《护卫神.防入侵系统》，因为其内置Emlog的防篡改规则。如下图一，只需要选择“网站目录”，安全模板选择“Emlog安全模板”，防篡改功能就开启了，同时不会影响网站日常管理维护，没有副作用（非常有特色的地方，大部分防篡改软件都有副作用）。

（图一：Emlog防篡改模板）

当黑客上传webshell，拦截效如下图二。

（图二：Emlog防篡改拦截效果）

二、 后台防护和Webshell加强防护

此时还需要对后台做下防护，防止黑客窃取后台权限进行合法的篡改操作（例如在网站配置设置处植入恶意代码）。

防护思路也很简单，给后台设置二次密码，或是限制指定区域才能访问。《护卫神.防入侵系统》的“网站后台保护”模块可以实现此功能。如下图三，填写后台地址、设置授权密码和允许访问的区域就可以了。

（图三：Emlog后台保护）

此时，不在授权区域的用户访问后台，会要求输入授权密码（如下图四）

（图四：Emlog后台拦截保护）

输入正确的授权密码，或是在授权区域的用户（如本文设置的成都地区），就可以正常访问Emlog后台（如下图五）。很显然，黑客和你同所城市的几率非常非常低。

（图五：Emlog后台访问）

至于残留Webshell，《护卫神.防入侵系统》的“木马防护”模块可以轻松查杀掉，查杀率高达99%。 “静态目录保护”模块也会进一步阻止Webshell执行。

三、 防SQL注入和XSS跨站脚本攻击

SQL注入攻击和XSS跨站攻击是黑客常用的web入侵手段，也需要做好防护。

《护卫神·防入侵系统》默认已开启SQL注入防护模块（如下图六）。除了拦截SQL注入，还能拦截XSS跨站脚本，拦截效果如图七。

（图六：Emlog防SQL注入防护）

（图七： SQL注入攻击拦截效果）

怎么样，是不是很简单，只需要简单几步设置，就能轻松解决Emlog安全漏洞问题。 

原文：EMLOG漏洞防护方法（防Webshell、防篡改、防劫持、防SQL注入、防XSS攻击）