蘋(píng)果CMS是一款基于PHP+MySQL開(kāi)發(fā)的開(kāi)源內(nèi)容管理系統(tǒng)，專注于視頻網(wǎng)站建設(shè)。系統(tǒng)以輕量高效為特點(diǎn)，支持多站點(diǎn)管理、多播放器兼容、模板標(biāo)簽化開(kāi)發(fā)及自動(dòng)化數(shù)據(jù)采集功能，可快速搭建影視資源站。

該系統(tǒng)采用MVC架構(gòu)，內(nèi)置智能采集模塊，支持對(duì)接主流資源站接口實(shí)現(xiàn)內(nèi)容自動(dòng)更新，大幅降低運(yùn)營(yíng)成本。提供豐富的模板機(jī)制和插件擴(kuò)展接口，開(kāi)發(fā)者可自由定制功能模塊。前臺(tái)支持HTML靜態(tài)生成，結(jié)合緩存技術(shù)保障高并發(fā)訪問(wèn)性能。

作為免費(fèi)開(kāi)源程序，蘋(píng)果CMS憑借簡(jiǎn)潔的后臺(tái)管理、靈活的采集規(guī)則和活躍的開(kāi)發(fā)者社區(qū)，成為中小視頻站點(diǎn)的主流選擇。系統(tǒng)持續(xù)更新安全補(bǔ)丁，提供API接口便于二次開(kāi)發(fā)，但對(duì)服務(wù)器環(huán)境配置要求較高，需具備基礎(chǔ)運(yùn)維能力。適合具有影視資源整合需求的站長(zhǎng)快速構(gòu)建視頻門(mén)戶平臺(tái)。

作為站長(zhǎng)，最擔(dān)心的事莫過(guò)于網(wǎng)站被入侵了，其中非法上傳Webshell和網(wǎng)站劫持是常用的入侵手段。如果蘋(píng)果CMS搭建的網(wǎng)站被劫持了該怎么辦呢？下面我們就來(lái)為您詳細(xì)講解防護(hù)方法。

首先我們需要明白什么是網(wǎng)站劫持。

網(wǎng)站劫持是攻擊者通過(guò)非法手段篡改或控制網(wǎng)站，將用戶的訪問(wèn)請(qǐng)求重定向到惡意網(wǎng)站。這種行為不僅嚴(yán)重影響用戶的瀏覽體驗(yàn)，還可能導(dǎo)致用戶個(gè)人信息泄露、財(cái)產(chǎn)損失等嚴(yán)重后果。網(wǎng)站劫持一般通過(guò)三個(gè)層面實(shí)施：DNS、網(wǎng)站和服務(wù)器。但根據(jù)我們處理過(guò)的多起蘋(píng)果CMS劫持案例經(jīng)驗(yàn)，分析得出，蘋(píng)果CMS的劫持幾乎都是利用網(wǎng)站上傳漏洞，植入惡意代碼實(shí)施的。

由此可以知道，對(duì)蘋(píng)果CMS的劫持防護(hù)，我們重點(diǎn)應(yīng)該放到網(wǎng)站上傳漏洞，阻止黑客非法上傳Webshell和惡意代碼。

一、 網(wǎng)站防劫持

黑客先利用文件上傳漏洞，上傳Webshell；再通過(guò)Webshell篡改網(wǎng)站，植入劫持代碼。要阻止黑客上傳Webshell和阻止黑客篡改蘋(píng)果CMS網(wǎng)站，防篡改功能是必不可少的，因此需要使用防篡改軟件，在底層驅(qū)動(dòng)鎖止文件，讓黑客無(wú)法篡改文件，自然也就沒(méi)法上傳Webshell和植入劫持代碼了。

不同軟件設(shè)置方法不同，推薦使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》，因?yàn)槠鋬?nèi)置蘋(píng)果CMS的防篡改規(guī)則，并且沒(méi)有副作用。如下圖一，只需要選擇“網(wǎng)站目錄”，安全模板選擇“蘋(píng)果CMS安全模板”，防篡改功能就開(kāi)啟了，同時(shí)不會(huì)影響網(wǎng)站日常管理（非常有特色的地方，大部分防篡改軟件都有副作用）。

（圖一：蘋(píng)果CMS防篡改規(guī)則模板）

當(dāng)黑客上傳webshell，攔截效如下圖二。

（圖二：蘋(píng)果CMS防篡改攔截效果）

通過(guò)《護(hù)衛(wèi)神.防入侵系統(tǒng)》，輕松解決黑客非法上傳Webshell、非法植入劫持代碼。

二、 DNS防劫持

雖然蘋(píng)果CMS的劫持主要來(lái)自于上傳漏洞，但還是建議對(duì)DNS進(jìn)行一定的防護(hù)，這樣才能更安全。DNS防護(hù)非常簡(jiǎn)單：選用大廠的DNS就可以解決。例如阿里云、騰訊云、華為云、百度云。如果你的域名在小注冊(cè)商處，可以使用DNSPOD的免費(fèi)DNS快速解決問(wèn)題。

三、 服務(wù)器防劫持

服務(wù)被劫持后，服務(wù)器上的所有網(wǎng)站都會(huì)被劫持（無(wú)論什么CMS，哪怕不是蘋(píng)果CMS）。也就是說(shuō)，網(wǎng)站中沒(méi)有劫持代碼，黑客是植入了劫持組件到WebServer。我們只需要找出WebServer上陌生的組件，刪除掉就可以了（有些組件刪除后需要重啟服務(wù)器才生效）。

為了防止黑客再次植入劫持組件，我們還需要對(duì)服務(wù)器進(jìn)行安全加固，尤其是遠(yuǎn)程桌面登錄安全加固。若黑客遠(yuǎn)程登錄不了服務(wù)器，自然也就沒(méi)法植入劫持組件了。

可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“遠(yuǎn)程防護(hù)”模塊（如下圖三）。該模塊可對(duì)遠(yuǎn)程桌面進(jìn)行全面安全防護(hù)，支持：終端IP/區(qū)域限制、在線開(kāi)關(guān)遠(yuǎn)程桌面服務(wù)、終端計(jì)算機(jī)名限制、遠(yuǎn)程桌面開(kāi)放時(shí)間、暴力破解防護(hù)、遠(yuǎn)程登錄消息通知。

（圖三：服務(wù)器遠(yuǎn)程桌面防護(hù)）

如上圖所示，在“終端IP/區(qū)域防護(hù)”，設(shè)置只允許“成都”地區(qū)遠(yuǎn)程登錄服務(wù)器。很顯然，黑客和你同所城市的幾率非常低。如果還不放心，此處可留空，就只有你自己才能遠(yuǎn)程登錄服務(wù)器，這樣就非常安全了。

當(dāng)有人遠(yuǎn)程登錄服務(wù)器時(shí)，管理員能及時(shí)收到消息通知（短信、微信、郵件），如下圖四，讓管理員更放心！

 （圖三：遠(yuǎn)程登錄通知）

怎么樣，是不是很簡(jiǎn)單，只需要簡(jiǎn)單幾步設(shè)置，就能輕松解決蘋(píng)果CMS網(wǎng)站劫持問(wèn)題。