使用宝塔面板搭建网站,方便快捷,但默认配置往往存在安全隐患。尤其是公网服务器,如果不做基础加固,很容易被暴力破解、端口扫描、恶意入侵,轻则网站被挂马,重则服务器沦为挖矿肉鸡。
本文以2026年最新环境为例,整理一套完整的宝塔面板安全加固方案,包含端口修改、禁用危险函数、权限加固、登录限制等实操步骤,适合个人站长、中小企业服务器直接套用。
一、修改默认宝塔端口(最重要一步)
宝塔默认端口为8888,是全网扫描最频繁的端口之一,必须第一时间修改。
1. 登录宝塔面板 → 面板设置
2. 找到「面板端口」,修改为 10000–65535 之间的随机端口
3. 同时在云服务器安全组中放行该端口,并关闭 8888 端口
4. 建议开启「面板访问IP白名单」,只允许自己的IP访问
修改后,其他人即使扫描到端口,也无法轻易访问面板入口,安全性大幅提升。
二、关闭不必要的端口,只开放业务端口
公网服务器遵循**最小开放原则**,只保留网站必需端口即可。
建议开放列表:
80 / 443:网站 HTTP/HTTPS
22:SSH(可修改为高位端口)
数据库端口:如非必要,不要对外开放 3306
建议关闭:
21 / 22 / 3306 / 6379 等非必需外网端口
安全组中拒绝所有来源的 ICMP,防止被轻易 ping 扫描
三、PHP 危险函数禁用,防止木马提权
很多网站被入侵,都是因为 PHP 可执行系统命令。在宝塔中直接禁用即可。
操作路径:
软件商店 → PHP 版本(如 7.4 / 8.1)→ 设置 → 禁用函数
建议禁用列表:
```
exec,system,passthru,shell_exec,proc_open,pcntl_exec,
popen,ini_alter,ini_set,dl,parse_ini_file,show_source
```
禁用后,即使网站存在文件上传漏洞,木马也难以执行系统命令,大幅降低入侵风险。
四、开启宝塔防火墙,限制 SSH 登录
1. 进入「安全」→「防火墙」
2. 开启 SSH 登录防护,设置错误次数限制
3. 开启 CC 防护,设置合理阈值
4. 开启面板防爆破,设置锁定策略
五、关闭不必要的 PHP 函数与 PHP 信息泄露
1. 在 PHP 设置中关闭 `display_errors`
2. 关闭 `allow_url_fopen`、`allow_url_include`
3. 隐藏 PHP 版本头信息,避免暴露版本号被针对性攻击
六、定期自动备份,防止数据丢失
安全加固的最后一环是备份。
设置:
网站文件每日备份
数据库每 12 小时备份
备份保留 3–7 天,自动清理旧备份
重要数据建议异地备份(如阿里云 OSS / 腾讯云 COS)
七、总结与后续建议
宝塔面板本身并不危险,危险的是默认配置和弱口令。按照以上步骤操作后,服务器基础安全基本到位,能抵御绝大多数自动化扫描工具。
后续可继续强化:
定期更新面板与软件版本
定期查看登录日志与网站日志
定期修改面板密码与数据库密码
对网站目录设置严格权限,避免跨站攻击
