前言

很多新手开发者都有一个思维误区，认为服务器被黑一定是遭遇了高深莫测的系统零日漏洞。但残酷的现实是：超过 80% 的服务器入侵，本质上都源于宝塔面板的基础安全策略“裸奔”。

运维界有一句名言：“安全不是一劳永逸，而是细节的堆叠。”以下总结的这 10 个安全设置，每一个都曾是无数站长的“翻车现场”。它们的操作成本极低，却能瞬间将你的服务器防御等级提升数倍。如果你还没配置，那么你的服务器正处于随时可能失控的边缘。

一、修改宝塔默认端口（非常重要）

为什么要改？

默认端口 8888 是扫描器的重点目标。

只要你服务器公网 IP 暴露在外，
IP:8888 会被 自动化脚本反复尝试登录。

• 面板设置 → 面板端口

• 改成一个不常见端口（如 23456）

这是第一道防线！当然了现在Linux 新版的宝塔面板系统并不存在这个问题，在我们安装完成时系统将自动生成一个随机的端口号。

二、开启“动态口令的登录”（推荐开启）

这是最容易被忽略、但性价比最高的安全功能。

推荐设置

• 登录时需进行二次验证

作用只有一个：
相当于直接废掉爆破脚本

三、开启面板安全入口（不要关闭）

很多新手为了“方便”，会把安全入口关掉，这是非常危险的行为。

正确状态

• 后台地址格式：

  http://IP:端口/随机字符串


这个“乱码路径”便是你服务器的命门。

四、限制宝塔后台登录 IP（强烈推荐）

如果你是固定办公 / 固定家庭 IP：

一定要做

• 面板设置 → 授权 IP

• 只允许自己的 IP 访问

效果非常直接：

即使别人知道你账号密码，也打不开后台

五、关闭不用的端口（很多人完全没做）

宝塔装完后，服务器通常会开放：

• 21（FTP）

• 22（SSH）

• 3306（MySQL）

• 80 / 443 （http / https）

安全原则

不用的端口 = 立即关闭

在【左侧菜单栏 → 安全】中操作即可。

六、不要使用 root 账号登录 FTP / 数据库

这是新手最常犯的错误之一。

错误示例

• FTP 使用 root

• 数据库使用 root

一旦泄露，服务器直接沦陷。

正确做法

• FTP：单独账号 + 指定目录

• 数据库：单库账号 + 最小权限

七、关闭 FTP，改用 SFTP（能关就关）

FTP 是明文传输，非常不安全。

推荐方案

• 使用 SFTP（22 端口）

• 或直接用宝塔文件管理

• 或 SSH + SCP

如果你不用 FTP，请直接禁用（建议直接使用宝塔面板进行文件管理）

八、定期查看登录日志（90% 的人不看）

你以为服务器很安全，其实后台可能每天都在被扫。

重点关注

• 宝塔登录日志

• SSH 登录记录

• 非你 IP 的登录尝试

只要你看过一次，就知道外网有多危险。

九、开启面板警告

在您关闭的时候您将对您的服务器一无所知。

配置接收方式

• 微信公众号

• 邮箱

• 钉钉

只要后台有异常情况，您将第一时间收到通知。

十、不要把宝塔后台暴露在公网搜索引擎

很多服务器被入侵，是因为：

后台地址被搜索引擎收录了

建议操作

• 宝塔后台禁止搜索引擎访问

• 或仅内网 / 固定 IP 可访问

你永远不该在 Google 搜索到自己的宝塔后台。

做到这些，可以防住 95% 的自动化攻击。

服务器被黑，不是因为你倒霉，而是因为你给了别人机会。

宝塔面板本身并不不安全？
不安全的是默认设置 + 忽视细节。
宝塔面板是否安全，不在于装了多少防护插件，而在于你有没有把基础设置做好。