关于宝塔12.28发布的安全漏洞的官方声明及安全使用方案

宝塔官方在宝塔论坛发布的《【置顶】关于宝塔安全漏洞的声明》，经过仔细阅读，缙哥哥这里建议针对性处理一下。

• 宝塔官方公告原文链接 https://www.bt.cn/bbs/thread-61706-1-1.html

缙哥哥观点

首先，从上次数据库漏洞以来，宝塔强制要求绑定手机号。然而这次并没有大范围短信通知，可见该漏洞影响不大；通过官方公告仅 Nginx 1.8 版本用户收到影响，而该版本为很早以前，甚至 Nginx 官方都停更的版本，受众范围极小。

一个及时披露且修补漏洞（提供解决方案）的公司缙哥哥还是比较相信的，参见 WordPress 版本漏洞改进更新、微软漏洞补丁更新。用的人越多，发现漏洞越快，纠正就越快。而本次 Nginx 1.8 漏洞问题，即便你不用宝塔面板，仍旧也是有漏洞的。

所以，担心有问题的小伙伴可参加下方内容，加强安全使用宝塔控制面板！

宝塔安全使用方案

服务器安全使用的好习惯是每个人应该做的，下面就来讲几个宝塔安全使用方案，或者说是习惯。下面就懒得截图了，就在宝塔设置里面：

1. 修改宝塔面板别名，尽量避免宝塔、服务器等容易被检索的关键词，防止被搜索到，用于隐藏面板；
2. 修改默认 8888 宝塔面板端口，这个不修改面板也会强制无法关闭的提醒你；
3. 宝塔安全入口，默认自带的挺安全，很多人记不住会给它取消掉，记得加回去；
4. 添加 BasicAuth 认证，在原有面板登录验证基础上再加一层用户密码验证，防止面板被扫描发现；
5. [慎用]宝塔授权 IP，该功能虽然安全，但是很多小伙伴没有固定 IP，一旦重启光猫或者路由，将会改变当前 IP，导致无法进入，需要 ssh 解除。可以考虑绑定多个授权IP，其中建议包含其他服务器 IP，可以远程通过 Windows 服务器来进行控制面板；
6. 停止使用 Nginx 1.8 版本，升级到 1.18.1 稳定版跟 1.19.6 开发版；
7. 如果你还是非常担心和害怕，等所有环境调试好后，通过 SSH 输入bt执行2选项（输入2回车即可）停止宝塔面板服务（不影响网站运行）。等需要用的时候再输入bt执行3选项（输入3回车即可）启动宝塔面板服务。