缙哥哥的博客
与你分享我的点点滴滴生活

关于宝塔12.28发布的安全漏洞的官方声明及安全使用方案

宝塔官方在宝塔论坛发布的《【置顶】关于宝塔安全漏洞的声明》,经过仔细阅读,缙哥哥这里建议针对性处理一下。

关于宝塔12.28发布的安全漏洞的官方声明及安全使用方案

缙哥哥观点

首先,从上次数据库漏洞以来,宝塔强制要求绑定手机号。然而这次并没有大范围短信通知,可见该漏洞影响不大;通过官方公告仅 Nginx 1.8 版本用户收到影响,而该版本为很早以前,甚至 Nginx 官方都停更的版本,受众范围极小。

关于宝塔12.28发布的安全漏洞的官方声明及安全使用方案

一个及时披露且修补漏洞(提供解决方案)的公司缙哥哥还是比较相信的,参见 WordPress 版本漏洞改进更新、微软漏洞补丁更新。用的人越多,发现漏洞越快,纠正就越快。而本次 Nginx 1.8 漏洞问题,即便你不用宝塔面板,仍旧也是有漏洞的。

所以,担心有问题的小伙伴可参加下方内容,加强安全使用宝塔控制面板!

宝塔安全使用方案

服务器安全使用的好习惯是每个人应该做的,下面就来讲几个宝塔安全使用方案,或者说是习惯。下面就懒得截图了,就在宝塔设置里面:

  1. 修改宝塔面板别名,尽量避免宝塔服务器等容易被检索的关键词,防止被搜索到,用于隐藏面板;
  2. 修改默认 8888 宝塔面板端口,这个不修改面板也会强制无法关闭的提醒你;
  3. 宝塔安全入口,默认自带的挺安全,很多人记不住会给它取消掉,记得加回去;
  4. 添加 BasicAuth 认证,在原有面板登录验证基础上再加一层用户密码验证,防止面板被扫描发现;
  5. [慎用]宝塔授权 IP,该功能虽然安全,但是很多小伙伴没有固定 IP,一旦重启光猫或者路由,将会改变当前 IP,导致无法进入,需要 ssh 解除。可以考虑绑定多个授权IP,其中建议包含其他服务器 IP,可以远程通过 Windows 服务器来进行控制面板;
  6. 停止使用 Nginx 1.8 版本,升级到 1.18.1 稳定版跟 1.19.6 开发版;
  7. 如果你还是非常担心和害怕,等所有环境调试好后,通过 SSH 输入bt执行2选项(输入2回车即可)停止宝塔面板服务(不影响网站运行)。等需要用的时候再输入bt执行3选项(输入3回车即可)启动宝塔面板服务。

关于宝塔12.28发布的安全漏洞的官方声明及安全使用方案

赞(3) 打赏
转载请注明来源及链接:缙哥哥 » 关于宝塔12.28发布的安全漏洞的官方声明及安全使用方案
如需 WordPress 优化加速、二次开发、托管等服务,可联系我购买付费服务:点此联系我 | 近期站内热门福利:

评论 抢沙发

评论前必须登录!

 

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏