需通过堡塔企业级防篡改-重构版插件实现源码级防护,依次完成安装、添加保护站点/目录、配置进程与目录白名单、启动服务并验证日志,必要时清理残留防护。
如果您希望在宝塔面板中启用网站源码级防护,防止黑客非法修改网页文件、植入挂马或篡改HTML/JS/CSS等静态资源,则需通过企业级防篡改插件实现精准、内核级的实时拦截。以下是具体设置步骤:
一、安装企业级防篡改插件
该插件基于驱动层防护机制,兼容CentOS 7/8/8 Stream、Debian 10/11、Ubuntu 18.04/20.04/22.04系统,不与旧版“网站防篡改”或“堡塔企业级防篡改”共存,安装前须确认未启用冲突插件。
1、登录宝塔面板,在左侧菜单栏点击软件商店。
2、在搜索框中输入堡塔企业级防篡改-重构版,找到对应插件后点击右侧安装按钮。
3、等待安装完成,安装成功后在已安装列表中找到该插件,点击设置进入管理界面。
二、添加保护站点或目录
插件默认不自动启用防护,需手动指定需保护的目标。支持按站点、子目录、甚至单个关键文件进行粒度控制,避免误拦合法更新操作。
1、在插件设置页面,点击左侧菜单中的保护列表。
2、点击添加保护按钮。
3、在弹出窗口中,选择站点类型(如:网站根目录、自定义路径),输入目标路径(例如:/www/wwwroot/example.com)。
4、勾选需要防护的文件后缀,默认已包含php、html、htm、js、css、config等高危类型;可点击添加自定义后缀补充如.yml、.env等敏感配置文件扩展名。
5、点击提交完成添加。
三、配置防护规则与白名单
为兼顾安全性与运维灵活性,插件支持进程白名单、目录白名单及全局策略调整,避免因CMS自动更新、CI/CD部署脚本等合法行为被误拦截。
1、在保护列表中,找到刚添加的条目,点击右侧配置按钮。
2、在配置页中,切换至进程白名单标签,点击添加进程,填入允许修改受保护文件的进程名(如:php-fpm、rsync、git)。
3、切换至目录白名单标签,添加无需防护的临时目录(如:/www/wwwroot/example.com/runtime、/www/wwwroot/example.com/uploads)。
4、返回插件主设置页,点击左侧全局配置,根据实际需求启用重命名防护与权限变更防护(二者默认开启)。
四、启动服务并验证日志
防护功能仅在服务运行状态下生效,且所有拦截行为均记录于日志中,便于溯源分析攻击路径与误报情况。
1、在插件主设置页,确认服务状态为已启动;若为停止状态,点击启动按钮。
2、点击左侧菜单中的防护统计,查看实时拦截次数、受保护文件数量及活跃防护项。
3、点击左侧菜单中的操作日志,筛选时间范围,检查是否存在文件写入拦截记录;若发现误拦,立即回溯对应进程与路径,补全白名单。
4、在保护列表中,对任一已添加站点点击模拟攻击,验证防护是否即时响应。
五、手动清理残留防护(备用方案)
若曾安装过其他防篡改插件或卸载后出现文件不可修改问题,需清除底层残留锁定机制,否则新插件可能无法覆盖旧防护策略。
1、执行命令检查网站目录下是否存在immutable属性文件:find /www/wwwroot/your_site -exec lsattr {} \;。
2、对查出带i标志的文件执行解除命令:chattr -i /www/wwwroot/your_site/file.php;如需批量处理,使用:find /www/wwwroot/your_site -exec chattr -i {} \;。
3、删除旧插件规则目录(如存在):rm -rf /www/server/panel/plugin/webshell_protection/ 或根据插件名称查找对应路径。
4、重启宝塔服务使变更生效:bt restart。
