視頻教程--->在線觀看

寶塔環境(jing)作為(wei)服務器(qi)管理和運(yun)維的(de)重要(yao)工具(ju)，其安(an)全防護(hu)至關重要(yao)。以下是(shi)一些(xie)關鍵的(de)安(an)全防護(hu)措施：

1. 面板設置(zhi)

    (1) 面(mian)板賬號、密碼都使(shi)用復雜(za)組合的(de)長字(zi)符串，避免使(shi)用純(chun)數字(zi)、純(chun)字(zi)母(mu)等易破(po)解

    (2) 安全設置（按下圖開啟對應功能），有條(tiao)件(jian)還可以進一步加強(qiang)安全，比如啟用(yong)：動態口令認證(zheng)(zheng)、訪問設備驗證(zheng)(zheng)、密(mi)碼復雜度驗證(zheng)(zheng)、綁(bang)定域名(ming)。

         注意：要(yao)更改面(mian)板端口時，請(qing)先在寶塔(ta)（安全(quan)->防火墻）添加新端口號(hao)，以及(ji)阿里云(yun)\騰訊云(yun)等服務器(qi)也(ye)要(yao)放開(kai)該(gai)端口號(hao)

    在設置地(di)區登錄限制時，一(yi)般(ban)選中地(di)區放行(xing)即可，如圖：

2. 強密碼(ma)策(ce)略，使(shi)用(yong)復雜且不易猜測的(de)密碼(ma)，并定期更換(huan)密碼(ma)，以減少被暴力破解的(de)風險。

    (1) 寶(bao)塔面板登錄、BasicAuth認證密(mi)碼

    (2) 數據庫賬號、密(mi)碼

    (3) FTP賬號、密碼(ma)

    (4) 所有網站后臺管(guan)理(li)賬(zhang)號、密碼

3. 防火墻配置

結合操作系統防火墻，對不必(bi)要(yao)的端口進行關閉，僅開放必(bi)要(yao)的服(fu)務端口，以限制潛在的攻擊(ji)面。一(yi)般情況(kuang)下，網站默認使用上圖(tu)這些(xie)端口，如寶塔默認會存在一(yi)些(xie)額(e)外端口，若無需(xu)要(yao)建議(yi)刪掉：

    ;(1) 20、21（FTP端口，不嫌麻(ma)煩改用寶塔管理(li)，如果一定(ding)要(yao)用FTP，強(qiang)烈改用SFTP進行(xing)SSH遠程(cheng)服務，下節課會講到）

    (2) 22（SFTP端口，也是FTP的另一(yi)種方式，不(bu)需要(yao)FTP可(ke)以(yi)刪掉端口）

    (3) 3306（一般(ban)情(qing)況可(ke)以(yi)刪(shan)掉(diao)端口，如果要使用Navicat for MySQL工具管理，可(ke)以(yi)放行(xing)端口并指定只允許你(ni)的網絡IP）

    (4) 6379（Redis緩存專用，如(ru)果沒(mei)有(you)安裝(zhuang)Redis插件(jian)或服(fu)務，可(ke)以刪掉端(duan)口）

    (5) 888（phpMyAdmin默認端口，建(jian)議(yi)刪掉(diao)，通過(guo)登錄寶(bao)塔面(mian)板訪問較為安全）

   (6) 其他端(duan)口號不一一列舉(ju)，用不上可以刪掉，誤刪導致訪問不了，再增(zeng)加端(duan)口號回來(lai)。

同時(shi)阿里云(yun)/騰訊云(yun)/華為云(yun)等運營商對應服務器實例，也要對安(an)全組規(gui)則做增加、刪減端口處理。

(6) 如果(guo)網站業務(wu)地(di)區(qu)明確(que)，可(ke)以增加地(di)區(qu)規則，屏蔽(bi)掉一些國家，阻止(zhi)入(ru)侵(qin)。

4. SSH遠(yuan)程服務（采用22端(duan)口(kou)服務，更安全的一種FTP傳輸，簡稱(cheng)：SFTP）

    (1) 下載(zai)FTP工具 FileZilla（免費開源）

    (2) 通過SSH遠程(cheng)連(lian)接(jie)服務器

    (3) 推薦在寶塔里修改網站文(wen)件，盡量少用這些外部(bu)工具連接，開(kai)放越多越不安全，比如：不用工具后(hou)可以關(guan)閉SSH

    (4) 如(ru)果非(fei)要建FTP普通(tong)賬號給客戶(hu)，強烈要求賬號密碼(ma)設置(zhi)較復雜一(yi)些，防被爆破影響整臺服務(wu)器入侵(qin)中(zhong)毒。

5. 加(jia)強寶塔里網站的安全(quan)防護

    (1) 配(pei)置網(wang)(wang)站HTTPS協議(yi)，為網(wang)(wang)站提供加密通信，防止數(shu)據(ju)在傳輸過程中被截獲或篡改。

    (2) 配置(zhi)網站目錄權限，啟用防跨站攻擊(ji)、訪問(wen)日志，防止黑客通過其他(ta)網站目錄進行(xing)入侵攻擊(ji)，并記錄入侵日志。

    (3) ;啟用HTTPS防竄站，解決HTTPS竄站的問(wen)題

6. 更新(xin)軟件和(he)補丁也至(zhi)關(guan)重要，及時關(guan)注(zhu)官方更新(xin)，可以有效(xiao)減少存在漏洞被利用的風險(xian)

    (1) 寶塔面板(ban)更新

    (2) 寶(bao)塔(ta)軟(ruan)(ruan)件商店里所安裝的軟(ruan)(ruan)件都(dou)可能存在漏洞(dong)，及時更(geng)新

    (3) 服務器操作系統(tong)（以阿里云為例）

        ① 登錄阿里(li)云(yun)，進入【安(an)全與合規】模塊：

        根據儀表(biao)盤提示進(jin)行一些漏洞修復，并做好安全檢(jian)測修補。

    ② 進入云安全中(zhong)心，查(cha)看(kan)漏洞管理(li)，并根據阿里云提供的方案處理(li)

7. 檢查所有網站根(gen)目錄并刪掉源(yuan)碼(ma)壓縮包，每份源(yuan)碼(ma)的(de)加密串不同(tong)，黑客會利用服務器權(quan)限漏(lou)洞進(jin)行掃描目錄，下載壓縮包分析漏(lou)洞進(jin)行攻擊。

8. 定(ding)期備份數據是(shi)(shi)關鍵(jian)。無(wu)論(lun)是(shi)(shi)網(wang)站數據，還是(shi)(shi)ECS服務(wu)器快照，都應定(ding)期進(jin)行備份，并存儲在(zai)安全的位置(zhi)。一(yi)旦(dan)遭遇攻擊(ji)或數據丟失，可以(yi)迅速(su)恢復。