寶塔環(huán)境作為服務(wù)器管理和運(yùn)維的重要工具，其安全防護(hù)至關(guān)重要。以下是一些關(guān)鍵的安全防護(hù)措施：

1. 面板設(shè)置

    (1) 面板賬號(hào)、密碼都使用復(fù)雜組合的長(zhǎng)字符串，避免使用純數(shù)字、純字母等易破解

    (2) 安全設(shè)置（按下圖開(kāi)啟對(duì)應(yīng)功能），有條件還可以進(jìn)一步加強(qiáng)安全，比如啟用：動(dòng)態(tài)口令認(rèn)證、訪問(wèn)設(shè)備驗(yàn)證、密碼復(fù)雜度驗(yàn)證、綁定域名。

         注意：要更改面板端口時(shí)，請(qǐng)先在寶塔（安全->防火墻）添加新端口號(hào)，以及阿里云\騰訊云等服務(wù)器也要放開(kāi)該端口號(hào)

    在設(shè)置地區(qū)登錄限制時(shí)，一般選中地區(qū)放行即可，如圖：

2. 強(qiáng)密碼策略，使用復(fù)雜且不易猜測(cè)的密碼，并定期更換密碼，以減少被暴力破解的風(fēng)險(xiǎn)。

    (1) 寶塔面板登錄、BasicAuth認(rèn)證密碼

    (2) 數(shù)據(jù)庫(kù)賬號(hào)、密碼

    (3) FTP賬號(hào)、密碼

    (4) 所有網(wǎng)站后臺(tái)管理賬號(hào)、密碼

3. 防火墻配置

結(jié)合操作系統(tǒng)防火墻，對(duì)不必要的端口進(jìn)行關(guān)閉，僅開(kāi)放必要的服務(wù)端口，以限制潛在的攻擊面。一般情況下，網(wǎng)站默認(rèn)使用上圖這些端口，如寶塔默認(rèn)會(huì)存在一些額外端口，若無(wú)需要建議刪掉：

    (1) 20、21（FTP端口，不嫌麻煩改用寶塔管理，如果一定要用FTP，強(qiáng)烈改用SFTP進(jìn)行SSH遠(yuǎn)程服務(wù)，下節(jié)課會(huì)講到）

    (2) 22（SFTP端口，也是FTP的另一種方式，不需要FTP可以刪掉端口）

    (3) 3306（一般情況可以刪掉端口，如果要使用Navicat for MySQL工具管理，可以放行端口并指定只允許你的網(wǎng)絡(luò)IP）

    (4) 6379（Redis緩存專用，如果沒(méi)有安裝Redis插件或服務(wù)，可以刪掉端口）

    (5) 888（phpMyAdmin默認(rèn)端口，建議刪掉，通過(guò)登錄寶塔面板訪問(wèn)較為安全）

   (6) 其他端口號(hào)不一一列舉，用不上可以刪掉，誤刪導(dǎo)致訪問(wèn)不了，再增加端口號(hào)回來(lái)。

同時(shí)阿里云/騰訊云/華為云等運(yùn)營(yíng)商對(duì)應(yīng)服務(wù)器實(shí)例，也要對(duì)安全組規(guī)則做增加、刪減端口處理。

(6) 如果網(wǎng)站業(yè)務(wù)地區(qū)明確，可以增加地區(qū)規(guī)則，屏蔽掉一些國(guó)家，阻止入侵。

4. SSH遠(yuǎn)程服務(wù)（采用22端口服務(wù)，更安全的一種FTP傳輸，簡(jiǎn)稱：SFTP）

    (1) 下載FTP工具 FileZilla（免費(fèi)開(kāi)源）

    (2) 通過(guò)SSH遠(yuǎn)程連接服務(wù)器

    (3) 推薦在寶塔里修改網(wǎng)站文件，盡量少用這些外部工具連接，開(kāi)放越多越不安全，比如：不用工具后可以關(guān)閉SSH

    (4) 如果非要建FTP普通賬號(hào)給客戶，強(qiáng)烈要求賬號(hào)密碼設(shè)置較復(fù)雜一些，防被爆破影響整臺(tái)服務(wù)器入侵中毒。

5. 加強(qiáng)寶塔里網(wǎng)站的安全防護(hù)

    (1) 配置網(wǎng)站HTTPS協(xié)議，為網(wǎng)站提供加密通信，防止數(shù)據(jù)在傳輸過(guò)程中被截獲或篡改。

    (2) 配置網(wǎng)站目錄權(quán)限，啟用防跨站攻擊、訪問(wèn)日志，防止黑客通過(guò)其他網(wǎng)站目錄進(jìn)行入侵攻擊，并記錄入侵日志。

    (3) 啟用HTTPS防竄站，解決HTTPS竄站的問(wèn)題

6. 更新軟件和補(bǔ)丁也至關(guān)重要，及時(shí)關(guān)注官方更新，可以有效減少存在漏洞被利用的風(fēng)險(xiǎn)

    (1) 寶塔面板更新

    (2) 寶塔軟件商店里所安裝的軟件都可能存在漏洞，及時(shí)更新

    (3) 服務(wù)器操作系統(tǒng)（以阿里云為例）

        ① 登錄阿里云，進(jìn)入【安全與合規(guī)】模塊：

        https://home.console.aliyun.com/home/dashboard/securitycenter

        根據(jù)儀表盤提示進(jìn)行一些漏洞修復(fù)，并做好安全檢測(cè)修補(bǔ)。

    ② 進(jìn)入云安全中心，查看漏洞管理，并根據(jù)阿里云提供的方案處理

        https://yundun.console.aliyun.com/

7. 檢查所有網(wǎng)站根目錄并刪掉源碼壓縮包，每份源碼的加密串不同，黑客會(huì)利用服務(wù)器權(quán)限漏洞進(jìn)行掃描目錄，下載壓縮包分析漏洞進(jìn)行攻擊。

8. 定期備份數(shù)據(jù)是關(guān)鍵。無(wú)論是網(wǎng)站數(shù)據(jù)，還是ECS服務(wù)器快照，都應(yīng)定期進(jìn)行備份，并存儲(chǔ)在安全的位置。一旦遭遇攻擊或數(shù)據(jù)丟失，可以迅速恢復(fù)。