# 安全规范
>[danger] 请大家在使用btHost和宝塔面板时,按照以下安全规范能有效避免网站被攻击风险
如果网站被攻击,请保留站点、宝塔面板、Php、Nginx、Apche等日志,逐步分析就可以大致了解网站被攻击的方式,从而加以防范。
1. 防跨站攻击(open_basedir)
防跨站攻击是宝塔面板中绝对重要的安全线,当你在宝塔面板创建和使用站点时一定要打开防跨站功能,至少能减少一半的安全风险
>[danger] **已确认子目录功能存在跨站安全风险,请及时禁用**,请查看《[子目录防跨站问题反馈-防跨站权限](https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=65232)》进行修复
防跨站攻击并非绝对安全,请禁用下文提到的所有php危险函数
>[info] 给所有PHP安装`bt_safe`组件
> ![](https://img.kancloud.cn/ab/4f/ab4f85310d54f60f107c35dcd94137fd_638x172.png)
2. 网站防篡改程序
网站防篡改程序是宝塔面板中的专业版插件,因按照各个网站不同的运行方式进行设置不同的防篡改规则,保护某些核心文件不被篡改
3. 防火墙
无论是Cdn、硬件、软件、宝塔防火墙,都是防御网站不被攻破的有效手段,希望大家重视。
4. PHP危险函数
所有的php版本建议都禁止以下函数(由阿良提供)
```
passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv,pfsockopen,fsockopen
```
2020年10月25日 18:30:12
- 补充`pfsockopen` `fsockopen`
5. 文件权限及所有者
网站运行时非特殊要求,权限建议 ≤755 或着 644
所有者不应出现root或其他特殊组,建议为www
6. 软件版本
宝塔面板:请及时响应官方发布的更新,更新中可能会修复很多安全问题
PHP:php5.2或5.3中存在许多公开的漏洞,如果非必要的情况下,我们尽可能不安装或提供php5.6以下给客户使用
phpMyAdmin:请及时响应官方发布的更新,过旧的版本中也会存在意想不到的安全漏洞
Redis:有被恶意攻击的风险
7. Redis安全
请查看宝塔官方发布的《[Redis安全指南](https://mp.weixin.qq.com/s/7MyQw3Ep5KtIpE3iEYkqkw)》
8. 定期扫描文件
可以定期扫描网站目录中是否存在危险文件,防止一些未知漏洞造成的渗透危害。
9. 系统加固
如非特殊环境使用,请安装宝塔专业版插件中的 “宝塔系统加固” 插件进行系统加固。
10. 宝塔面板访问地址加密
安全起见,建议修改宝塔面板安全入口、端口等。
11. 常见服务端口修改
如FTP、Redis、Sql、SSH服务默认端口建议自定义,防止爆破。
### 补充
更多待补充……