在网站安全体系中，WAF（Web Application Firewall，Web 应用防火墙）是防护 PbootCMS 的第一道关键屏障。很多站点“反复被黑”，本质问题不是程序没漏洞，而是攻击没有被前置拦截。

这篇文章不讲空泛概念，直接从攻击类型 + WAF规则 + 实战配置思路来拆解，帮助你把 PbootCMS 的攻击面压下去。

一、PbootCMS 常见攻击类型（WAF必须重点防的）

在实际运维中，PbootCMS 最常见的入侵路径主要集中在以下几类：

1. SQL 注入攻击

攻击点通常出现在：

• 搜索接口

• URL参数（id、cid、page）

• 自定义标签解析参数

典型特征：

• ' or 1=1 --

• union select

• information_schema

WAF必须做：

• SQL关键字过滤

• UNION / SELECT 黑名单

• 单引号异常检测

2. XSS 跨站脚本攻击

常见注入位置：

• 留言表单

• 评论模块

• 后台富文本编辑器（如果未过滤）

攻击特征：

<script>alert(1)</script>
<img src=x onerror=alert(1)>

WAF必须做：

• script 标签拦截

• onerror/onload 事件过滤

• HTML编码检查

3. 文件上传漏洞利用

攻击重点：

• 上传图片接口

• 附件上传功能

• 编辑器上传点

常见行为：

• 上传 .php/.phtml/.jsp 文件

• 图片马（双扩展名：xxx.jpg.php）

WAF必须做：

• 文件扩展名白名单

• MIME 类型校验

• 上传目录禁止执行脚本

4. 后台暴力破解（撞库）

攻击对象：

• /admin 登录页

特征：

• 高频 POST 请求

• IP集中访问登录接口

• 异常 UA

WAF必须做：

• IP限速

• 登录失败次数限制

• CAPTCHA验证

5. 模板注入 / 命令执行尝试

针对 PbootCMS 模板解析机制的探测：

• {php}

• system()

• exec()

WAF必须做：

• PHP函数关键字拦截

• 模板特殊标签过滤

二、WAF核心配置策略（实战规则）

下面是建议你直接落地的规则设计思路。

1. SQL注入规则（核心规则）

建议关键词：

union | select | insert | delete | update | drop | benchmark | information_schema

建议策略：

• 命中直接拦截（block）

• URL + POST参数双检测

• URL decode 后再检测

2. XSS防护规则

拦截特征：

<script | </script> | onerror= | onload= | javascript: | eval(

强化策略：

• HTML实体解码后检测

• 对 input / textarea 单独规则

3. 文件上传防护规则

必须强制：

文件类型白名单：

jpg | jpeg | png | gif | pdf | doc | docx

拦截：

php | php5 | phtml | jsp | asp | aspx | exe

同时启用：

• 双扩展名检测（jpg.php）

• 文件内容扫描（magic bytes）

4. 后台防护规则（/admin）

建议策略：

• 登录接口限速：5次/分钟/IP

• 触发封禁：10次失败封 30 分钟

• 仅允许指定 IP（如果环境允许）

5. 恶意扫描防护（爬虫攻击）

拦截特征：

• 高频 404 请求

• 扫描敏感路径：

/phpmyadmin
/.env
/.git
/install

策略：

• User-Agent 黑名单

• 访问频率限制

• 自动封 IP（动态封禁）

三、Nginx + WAF 配合建议（关键）

如果你用的是 Nginx，建议加一层基础规则：

1. 禁止敏感文件访问

location ~* .(bak|sql|log|ini|env)$ {
    deny all;
}

2. 禁止PHP危险函数请求（初级防护）

if ($query_string ~* "union.*select.*") {
    return 403;
}

3. 限制访问频率

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

四、WAF部署架构建议（推荐）

推荐三层防护结构：

用户请求
   ↓
CDN/WAF（第一层拦截）
   ↓
Nginx（基础过滤）
   ↓
PbootCMS（应用层）

最佳实践：

• WAF负责“识别攻击”

• Nginx负责“简单过滤”

• CMS负责“业务安全”

五、容易被忽略的PbootCMS安全点

很多人只防SQL/XSS，但忽略了：

1. /runtime 目录泄露

可能存：

• 缓存文件

• 日志

• 临时PHP文件

必须禁止访问

2. 模板缓存污染

攻击者可能通过上传或写入缓存影响页面结构

建议：

• 定期清理 runtime

• 禁止 web 写权限

3. 默认后台路径暴露

如果是默认 /admin：

• 极易被扫描

建议：

• 修改后台路径

• 加二次验证

六、经验分享（核心思路）

WAF不是“装了就安全”，而是要形成策略组合：

• SQL注入：关键字 + 语法结构拦截

• XSS：HTML/JS行为检测

• 上传漏洞：白名单 + 扩展名 + 内容校验

• 暴力破解：限速 + IP封禁

• 扫描行为：行为分析 + 动态封禁

如果你的 PbootCMS 站点已经出现过“反复被黑”，通常不是一次漏洞，而是：

攻击入口没有被持续封堵 + 缺少行为级防护

如果你需要，我可以帮你把这套规则整理成：

• Nginx完整WAF配置文件

• 或 Cloudflare WAF 规则模板

• 或宝塔面板可直接导入版本

直接说你用的环境就行。