視頻教程--->在線觀看

寶(bao)塔環境作為(wei)服務器管(guan)理和(he)運(yun)維的重要工具，其安全(quan)防護至關(guan)重要。以下(xia)是一些關(guan)鍵(jian)的安全(quan)防護措施：

1. 面板設置

    (1) 面板(ban)賬號、密碼都使用復雜組合的(de)長(chang)字符串，避(bi)免使用純數字、純字母等(deng)易(yi)破解(jie)

    (2) 安(an)全(quan)設(she)置（按下圖開啟對應功能），有條件還可以進一步加強安(an)全(quan)，比(bi)如啟用：動態(tai)口(kou)令認(ren)證、訪問設(she)備驗(yan)證、密碼(ma)復雜(za)度驗(yan)證、綁(bang)定域名。

         注(zhu)意(yi)：要更(geng)改面板(ban)端口(kou)時，請(qing)先在寶塔(ta)（安全->防(fang)火墻(qiang)）添加新(xin)端口(kou)號(hao)(hao)，以及阿(a)里云(yun)\騰訊云(yun)等服(fu)務器也要放開(kai)該端口(kou)號(hao)(hao)

    在設(she)置地(di)(di)區登錄限制時，一(yi)般選中地(di)(di)區放行(xing)即可(ke)，如圖：

2. 強密(mi)(mi)碼(ma)策略，使(shi)用復雜且不易猜測(ce)的密(mi)(mi)碼(ma)，并定期(qi)更換密(mi)(mi)碼(ma)，以減少被暴(bao)力破解(jie)的風險(xian)。

    (1) 寶(bao)塔面板登錄、BasicAuth認證密碼

    (2) 數據庫賬號、密(mi)碼

    (3) FTP賬號、密碼

    (4) 所有(you)網站后臺管(guan)理賬號、密碼(ma)

3. 防火墻配置

結合操作系統防火墻(qiang)，對不(bu)必要(yao)的(de)端(duan)(duan)(duan)口(kou)進行(xing)關閉，僅開放(fang)必要(yao)的(de)服務端(duan)(duan)(duan)口(kou)，以限制潛在(zai)的(de)攻擊面。一般情況下，網(wang)站默認使用上(shang)圖這些端(duan)(duan)(duan)口(kou)，如(ru)寶塔默認會存在(zai)一些額外端(duan)(duan)(duan)口(kou)，若無需(xu)要(yao)建議刪掉：

    (1) 20、21（FTP端口，不嫌麻煩改(gai)用(yong)寶塔管理，如果一(yi)定要用(yong)FTP，強烈改(gai)用(yong)SFTP進行SSH遠程服務，下(xia)節課會講到）

    (2) 22（SFTP端口(kou)，也是FTP的另一種(zhong)方式，不(bu)需要FTP可以刪(shan)掉端口(kou)）

   ; (3) 3306（一般情(qing)況可(ke)以刪掉(diao)端口，如果要使用Navicat for MySQL工具管理，可(ke)以放行端口并指定只(zhi)允許你的網(wang)絡(luo)IP）

    (4) 6379（Redis緩(huan)存專(zhuan)用(yong)，如果沒(mei)有安裝(zhuang)Redis插件或服務，可以刪掉端口）

    (5) 888（phpMyAdmin默認(ren)端口，建(jian)議刪掉，通過登錄(lu)寶塔(ta)面板(ban)訪問較為安(an)全）

   (6) 其他端(duan)口號不(bu)一一列舉，用不(bu)上可以刪(shan)(shan)掉，誤刪(shan)(shan)導致訪問(wen)不(bu)了，再增加端(duan)口號回來。

同(tong)時阿里云(yun)/騰訊(xun)云(yun)/華(hua)為云(yun)等運營商對(dui)應服務(wu)器實(shi)例，也要(yao)對(dui)安全(quan)組(zu)規則做(zuo)增加、刪減端口處理。

(6) 如果網站業務地區明確(que)，可(ke)以增(zeng)加(jia)地區規(gui)則，屏蔽掉一些(xie)國(guo)家，阻止入侵。

4. SSH遠程服務（采用22端口(kou)服務，更安全(quan)的(de)一種FTP傳輸，簡稱(cheng)：SFTP）

 ;   (1) 下(xia)載FTP工(gong)具 FileZilla（免費開源）

    (2) 通過SSH遠程連接服務器

    (3) 推薦在寶塔里(li)修改網站文件，盡量少用(yong)(yong)這些外部工具連(lian)接，開放越(yue)多越(yue)不安(an)全，比如(ru)：不用(yong)(yong)工具后可以(yi)關閉(bi)SSH

  ;  (4) 如果非要建FTP普通賬號給客戶，強(qiang)烈要求(qiu)賬號密碼(ma)設置較復雜(za)一些，防被爆破(po)影響(xiang)整(zheng)臺(tai)服務器(qi)入侵中毒。

5. 加強寶塔里網(wang)站的安全防護

    (1) 配置(zhi)網(wang)站(zhan)HTTPS協議，為網(wang)站(zhan)提供加密通信，防止數據在傳輸過程中被截(jie)獲或篡改。

    (2) 配置(zhi)網站目(mu)錄權限(xian)，啟(qi)用防跨站攻(gong)(gong)擊、訪問日志(zhi)(zhi)，防止黑客通過其他(ta)網站目(mu)錄進行(xing)入侵(qin)攻(gong)(gong)擊，并記錄入侵(qin)日志(zhi)(zhi)。

    (3) 啟用HTTPS防竄(cuan)(cuan)站，解決HTTPS竄(cuan)(cuan)站的問題(ti)

6. 更新軟件和補丁也至關重(zhong)要，及時關注官(guan)方更新，可以有效減少存在漏洞被利用的風險

    (1) 寶塔面板更新

    (2) 寶塔軟件商店(dian)里所安裝的(de)軟件都可能存在漏洞，及時(shi)更(geng)新

    (3) 服務器操作系(xi)統（以(yi)阿里云為例）

        ① 登錄阿里云，進入【安(an)全與合規】模塊：

        根據儀表盤提示進(jin)行一些漏洞修(xiu)復，并做好(hao)安全檢測修(xiu)補。

    ② 進入云(yun)安(an)全中心，查看(kan)漏洞管理，并根據阿里云(yun)提(ti)供的方(fang)案處理

7. 檢查所有網(wang)站(zhan)根目(mu)錄(lu)并刪掉源碼(ma)壓縮包，每份(fen)源碼(ma)的加密串不同，黑(hei)客會利(li)用服務(wu)器權限(xian)漏洞(dong)進行掃描目(mu)錄(lu)，下載(zai)壓縮包分析漏洞(dong)進行攻擊(ji)。

8. 定期(qi)備份數(shu)據是(shi)關鍵。無論是(shi)網(wang)站數(shu)據，還是(shi)ECS服務器快照，都應定期(qi)進(jin)行備份，并存儲在安全(quan)的位置(zhi)。一(yi)旦遭(zao)遇攻擊或(huo)數(shu)據丟失，可以迅速恢復。