🔥码云GVP开源项目 12k star Uniapp+ElementUI 功能强大 支持多语言、二开方便! 广告
# 安全规范 >[danger] 请大家在使用btHost和宝塔面板时,按照以下安全规范能有效避免网站被攻击风险 如果网站被攻击,请保留站点、宝塔面板、Php、Nginx、Apche等日志,逐步分析就可以大致了解网站被攻击的方式,从而加以防范。 1. 防跨站攻击(open_basedir) 防跨站攻击是宝塔面板中绝对重要的安全线,当你在宝塔面板创建和使用站点时一定要打开防跨站功能,至少能减少一半的安全风险 >[danger] **已确认子目录功能存在跨站安全风险,请及时禁用**,请查看《[子目录防跨站问题反馈-防跨站权限](https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=65232)》进行修复 防跨站攻击并非绝对安全,请禁用下文提到的所有php危险函数 >[info] 给所有PHP安装`bt_safe`组件 > ![](https://img.kancloud.cn/ab/4f/ab4f85310d54f60f107c35dcd94137fd_638x172.png) 2. 网站防篡改程序 网站防篡改程序是宝塔面板中的专业版插件,因按照各个网站不同的运行方式进行设置不同的防篡改规则,保护某些核心文件不被篡改 3. 防火墙 无论是Cdn、硬件、软件、宝塔防火墙,都是防御网站不被攻破的有效手段,希望大家重视。 4. PHP危险函数 所有的php版本建议都禁止以下函数(由阿良提供) ``` passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv,pfsockopen,fsockopen ``` 2020年10月25日 18:30:12 - 补充`pfsockopen` `fsockopen` 5. 文件权限及所有者 网站运行时非特殊要求,权限建议 ≤755 或着 644 所有者不应出现root或其他特殊组,建议为www 6. 软件版本 宝塔面板:请及时响应官方发布的更新,更新中可能会修复很多安全问题 PHP:php5.2或5.3中存在许多公开的漏洞,如果非必要的情况下,我们尽可能不安装或提供php5.6以下给客户使用 phpMyAdmin:请及时响应官方发布的更新,过旧的版本中也会存在意想不到的安全漏洞 Redis:有被恶意攻击的风险 7. Redis安全 请查看宝塔官方发布的《[Redis安全指南](https://mp.weixin.qq.com/s/7MyQw3Ep5KtIpE3iEYkqkw)》 8. 定期扫描文件 可以定期扫描网站目录中是否存在危险文件,防止一些未知漏洞造成的渗透危害。 9. 系统加固 如非特殊环境使用,请安装宝塔专业版插件中的 “宝塔系统加固” 插件进行系统加固。 10. 宝塔面板访问地址加密 安全起见,建议修改宝塔面板安全入口、端口等。 11. 常见服务端口修改 如FTP、Redis、Sql、SSH服务默认端口建议自定义,防止爆破。 ### 补充 更多待补充……