1Panel 专业版内置的 WAF(Web应用防火墙)确实非常强大,这些规则已经覆盖了绝大多数常见的 Web 攻击手段。现在说一下它们是如何保护你的网站的:
1. 敏感文件与目录过滤(保护你的 .env 等文件)
- 规则:
\.(htaccess|mysql_history|bash_history|DS_Store|git|env|idea|user\.ini) - 作用:这是专门针对敏感文件泄露的防护规则。它直接拦截了对
.env、.git(代码仓库)、.htaccess等隐藏文件的访问请求。 - 对你的意义:有了这条规则,当黑客使用自动化工具扫描你网站的
/.env或/.git/config时,WAF 会直接返回拦截页面(通常是 403 Forbidden),从而完美防止了敏感凭证泄露。
2. SQL 注入防护
- 规则:
sleep\((\s*)(\d*)(\s*)\)和(exists\(|select\#|\(select|select\() - 作用:防止黑客通过输入恶意的 SQL 语句来窃取或篡改你的数据库。
sleep()是黑客常用的盲注测试函数,而select则是查询数据库的核心指令。 - 对你的意义:WordPress 的核心代码虽然相对安全,但很多第三方插件可能存在 SQL 注入漏洞。这条规则能有效阻断针对数据库的自动化攻击。
3. 一句话木马与 RCE(远程代码执行)防护
- 规则:
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\( - 作用:这是极其重要的一条规则。
eval、system、shell_exec等是 PHP 中用于执行系统命令或动态代码的函数。黑客上传“一句话木马”后,必须通过这些函数来执行恶意代码。 - 对你的意义:即使黑客侥幸绕过了上传限制,把木马传到了你的服务器上,WAF 也能在请求触发这些危险函数时将其拦截,防止服务器被接管。
4. 目录遍历与路径穿越防护
- 规则:
(?:etc\/\W*passwd)和\.{2,}[\/\\]|%2e%2e[%2f%5c] - 作用:防止黑客通过
../../这样的路径跳转,跳出网站根目录,去读取 Linux 系统的核心文件(如/etc/passwd)。 - 对你的意义:保护服务器底层系统的安全,防止黑客通过 Web 漏洞探测服务器操作系统的用户信息。
5. XSS(跨站脚本攻击)防护
- 规则:
(window\['|globalThis\[|self\[|top\[|this\[|parent\[) - 作用:拦截前端 JavaScript 的恶意注入,防止黑客在你的网页中插入恶意脚本,从而窃取访客的 Cookie 或进行钓鱼。
6. 针对特定应用(WordPress/ThinkPHP/Java)的防护
- 规则:
wp-includes/wlwmanifest.xml:这是针对 WordPress 的 XML-RPC 漏洞探测文件,拦截它可以防止暴力破解和 DDoS 攻击。invokefunction|call_user_func_array|\\think\\:这是针对 ThinkPHP 框架的 RCE 漏洞特征。\${jndi::这是针对 Java Log4j2 史诗级漏洞(Log4Shell)的拦截规则。
💡 给你的建议:
1Panel 的这套默认规则质量很高,强烈建议保持全部开启。 如果你在日常使用中发现某些正常的后台操作(比如保存某个特定插件的设置)被 WAF 误拦截了,你可以:
- 查看 1Panel 的 WAF 拦截日志,找到被拦截的具体 URL 和参数。
- 在 WAF 设置中添加白名单,而不是直接关闭整条规则。这样既能保证网站正常运行,又能维持极高的安全性。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
