宝塔面板确实方便,登录上去,点几下鼠标就能搭网站、装软件。也正因为方便,很多人装完就拿来直接用,默认配置一直没动过。
问题就在这里。默认的端口、默认的路径、默认的账号,攻击者也门清。你图省事没改的东西,扫站工具一秒钟就能找到。
今天聊7个宝塔面板里必须改的设置。花10分钟改完,安全等级能提升一大截。
先看一个数据
某安全团队对公网宝塔面板做过一次扫描,发现有超过30%的面板还开在默认的8888端口,有超过15%的面板没有开启BasicAuth二次验证,还有超过10%的面板phpMyAdmin直接暴露在外。这些面板被入侵的概率,比做好加固的高出数倍。
攻击者不针对你,但他们会扫所有人。你的面板在他们眼里,只是默认配置好欺负的目标之一。
第一项:修改面板端口
宝塔默认端口是8888。这个端口早就被所有扫描器加进了字典。改成其他端口,能过滤掉九成以上的批量扫描。
路径是:面板左侧“面板设置” → “端口”,输入一个你记得住的端口,比如38888、6789这种没被占用的。
注意避开常见端口(22、80、443、3306、6379等)。设完之后面板会重启,用新端口登录。
第二项:绑定域名并开启SSL
默认通过IP访问面板,既不方便也不安全。给面板绑定一个域名,并开启SSL访问。
路径:“面板设置” → “域名”,填入bt.yourdomain.com这样的二级域名,再去“SSL”里申请Let’s Encrypt证书。
绑定后,只有通过这个域名再加上正确的端口才能打开面板。攻击者想找到你的面板入口,难度就增加了很多。
第三项:开启BasicAuth双重认证
宝塔本身的登录密码是一道锁。如果你的密码不够强,或者被撞库攻破,攻击者就能直接进面板。加上BasicAuth,等于在宝塔密码前面再加一层HTTP基础认证,需要额外输一组用户名和密码。
路径:“面板设置” → “BasicAuth”,开启后设置一个跟宝塔登录密码不同的用户名和密码。
登录面板时,浏览器会先弹窗要求输BasicAuth的用户名和密码,输完才看到宝塔的登录页。两道锁总比一道锁难撬。
第四项:修改默认安全入口
宝塔安装完成后,会生成一个随机的安全入口(一串字符),默认是/tencentcloud这类前缀。如果你从来没改过,它就是个已知路径。
路径:“面板设置” → “安全入口”,修改成一串自己设置但别人猜不出的字符,比如/bt-abc123xyz。
反常识点:很多人觉得路径越复杂越安全,其实黑客扫的是字典,一般不会扫超长路径。但前提是你别改成/admin这种常见词。
第五项:关闭phpMyAdmin外网访问
phpMyAdmin是数据库管理工具,被攻击者盯上的重灾区。它默认通过/phpmyadmin路径访问,没有任何验证,知道你的宝塔地址就能试。
建议把它关掉,或者至少限制来源IP。
路径:“软件商店” → “phpMyAdmin” → “设置” → “关闭外网访问”。
需要用数据库的时候,通过宝塔面板的“数据库”页面直接管理,或者用DBeaver等工具通过SSH隧道连接。
如果你实在需要phpMyAdmin,加一道BasicAuth,或者只允许你公司的IP访问。
第六项:开启面板操作日志告警
宝塔默认记录操作日志,但不会主动通知你。
路径:“面板设置” → “告警通知”,配置邮箱或钉钉机器人。
有人登录面板、修改网站配置、添加数据库,你都能收到通知。如果半夜收到告警,不是你自己操作的,就知道出事了。
第七项:定期更新面板和插件
宝塔会不定期发布安全更新,修复已知漏洞。很多人觉得“当前版本稳定就不升”,但有漏洞利用出来时,不升级就等于把门开着。
路径:“首页”右上角检查更新。不用追求最新版,但安全更新建议一周内升级。
同时检查一下不常用的插件,卸载掉。PHP版本用EOL(停止维护)的版本也该升级了。
一个真实案例
一个朋友的服务器装了宝塔,默认端口8888,phpMyAdmin也开着,用了快两年没出过事。
直到有一天,他发现服务器上多了几个不认识的PHP文件,网站被挂了博彩广告。查了一圈,攻击者是从phpMyAdmin进来的。扫描器扫到8888端口,顺带试了/phpmyadmin,用宝塔默认的数据库密码进去了,然后提权、挂马。
后来他按上面7项改了:改端口、关phpMyAdmin外网、开BasicAuth。再也没被扫到过。
他说:“以前觉得这些设置麻烦,现在觉得是保命。”
最后一句
宝塔面板是好工具,但它不是保险箱。默认配置是为方便,不是为安全。花10分钟把上面7项改完,你的面板就能从“容易被扫到”变成“攻击者不想碰”。
安全这件事,从来不靠运气,靠配置。今天去检查一下你的宝塔面板,看看这7项你改了几项。