必须修改8888端口为1024–65535间冷门端口(如45678),同步配置防火墙及云平台安全组,并建议结合nginx反代、启用waf、合理配置防篡改插件、强制ssl与双因素认证,同时注意路径权限与日志轮转。
改掉 8888 端口不是可选项,是必须做的第一件事
所有扫描器都在扫这个端口,不改等于把面板地址明文贴在公网。哪怕你密码再长、再复杂,只要端口开着,暴力破解请求就会源源不断打进来。
- 操作路径:
面板设置 → 基本设置 → 面板端口,填一个 1024–65535 之间的冷门数字,比如45678或35478 - 改完立刻去
安全 → 防火墙添加新端口放行规则 - 云服务器(阿里云/腾讯云等)的安全组也必须同步放行该端口,漏掉任一环节都会导致自己被锁在外面
- 更稳妥的做法是配合 Nginx 反向代理:用
panel.yourdomain.com走443端口,内部 proxy_pass 到127.0.0.1:45678,对外彻底隐藏管理端口
启用 WAF 就是打开 luawaf.conf 这一行注释
宝塔自带的网站防火墙默认是关闭状态,它不靠插件,而是通过 Nginx 的 Lua 模块实现,轻量且生效快。
- 路径:
软件管理 → Nginx → 设置 → 配置修改,找到第 13 行左右的#include luawaf.conf;,删掉开头的# - 保存后必须点击
重载配置或重启 Nginx,否则不生效 - 拦截日志默认存在
/www/wwwlogs/waf/,按天切割,可直接tail -f实时观察 - 如需微调,编辑
/www/server/nginx/waf/config.lua:比如开启 CC 防御要设CCDeny="on",并确认CCrate="300/60"符合你站点实际流量节奏
防篡改不能只装插件,得选对模式再启动服务
宝塔有两个防篡改插件:“网站防篡改”适合单站轻量防护,“企业级防篡改”支持目录级保护和进程白名单,但后者资源占用略高,开错会拖慢 PHP 请求响应。
- 装完插件后,先进设置页点
服务状态 → 启动,否则所有开关都是摆设 - “网站防篡改”里要手动勾选具体站点,并把开关切到“开启”,不是安装完就自动生效
- “企业级防篡改”的
保护列表 → 添加保护支持填绝对路径,比如/www/wwwroot/your-site/wp-content/,但别填错成/www/wwwroot/your-site/整站,否则后台更新主题插件会被拦 - 测试是否生效,用插件页的
模拟攻击功能比手动改文件更可靠——它会尝试写入恶意文件并触发告警
SSL + 双因素认证 是登录链路上最不该省的两环
只开 HTTPS 不开 2FA,等于门锁换了,但钥匙还挂在门把手上;只开 2FA 不开 HTTPS,则动态码可能被中间人截获。
- 绑定域名 + Let's Encrypt 免费证书:在
面板设置 → SSL里一键申请,证书路径会自动填入 Nginx 配置 - 双因素认证在
面板设置 → 安全设置 → 动态口令认证开启,推荐用宝塔官方 APP 或 Google Authenticator 扫码绑定 - 注意:开启后首次登录需同时输密码 + 当前 6 位验证码,输错 5 次账号会被临时锁定
- 如果用了反向代理(比如前面提到的 panel 域名),务必检查 Nginx 配置里
proxy_set_header X-Forwarded-Proto $scheme;是否存在,否则面板可能误判为非 HTTPS 环境而拒绝启用 2FA
/www/wwwlogs/waf/ 目录如果被 chmod 777 过,某些规则会静默失效;企业级防篡改的日志默认不压缩,跑满磁盘后服务会自动停摆。这些细节不会报错,但会让防护形同虚设。 
