京东云服务器使用宝塔面板搭建网站需要注意哪些安全设置？-PHPWP博客

在京东云服务器上使用宝塔面板搭建网站时，安全设置至关重要。以下是一些关键的安全建议和最佳实践，帮助你提升服务器安全性，防止被攻击或数据泄露：

更新系统与软件
- 定期执行 yum update（CentOS）或 apt update && apt upgrade（Ubuntu），确保操作系统和已安装软件为最新版本，修复已知漏洞。
修改默认SSH端口
- 将SSH默认端口（22）更改为其他端口，减少暴力破解风险。
- 修改 /etc/ssh/sshd_config 文件中的 Port 参数，并重启SSH服务。
- 同时在京东云控制台的安全组规则中放行新端口。
禁用root远程登录
- 编辑 /etc/ssh/sshd_config：
```
PermitRootLogin no
```
- 创建普通用户并配置sudo权限，通过该用户登录后切换到root。
使用密钥认证代替密码登录
- 生成SSH密钥对，将公钥上传至服务器，禁用密码登录，提高安全性。
- 在 sshd_config 中设置：
```
PasswordAuthentication no
PubkeyAuthentication yes
```
启用防火墙（系统级）
- 使用 firewalld（CentOS）或 ufw（Ubuntu）限制不必要的端口访问。
- 只开放必要的端口：如HTTP(80)、HTTPS(443)、自定义SSH端口等。

最小化开放端口
- 在京东云控制台的“安全组”中，仅允许以下端口入站：
  - TCP 80（HTTP）
  - TCP 443（HTTPS）
  - 自定义SSH端口（非22）
  - 如需使用宝塔面板，可临时开放8888（建议后续改端口并限制IP）
- 禁止开放：3306（MySQL）、6379（Redis）、27017（MongoDB）等数据库端口给公网。
限制IP访问（尤其宝塔面板）
- 将宝塔面板端口（默认8888）设置为仅允许特定IP访问（如你的办公网络IP）。
- 或使用反向X_X+域名+HTTPS+账号密码双重保护。

修改默认面板端口
- 登录宝塔后进入「面板设置」→「修改面板端口」，将8888改为非常见端口（如12345）。
- 修改后记得在安全组中放行新端口。
开启面板登录保护
- 设置强密码（大小写+数字+特殊字符，12位以上）。
- 启用「登录保护」功能（宝塔专业版支持）：绑定微信扫码登录、限制登录IP、登录失败锁定。
绑定域名访问面板（推荐）
- 设置一个二级域名（如 bt.yourdomain.com）指向服务器IP。
- 在宝塔中绑定此域名，之后只能通过域名访问面板。
- 配置SSL证书加密传输。
定期备份面板数据
- 备份网站文件、数据库、面板配置，防止勒索病毒或误删。
关闭“自动更新”和“推荐安装”插件
- 第三方插件可能存在安全风险，只安装必要且可信的插件。

使用HTTPS
- 为网站申请并部署SSL证书（宝塔支持免费Let’s Encrypt）。
- 强制HTTP跳转HTTPS。
设置目录权限
- 网站根目录权限设为 755，文件为 644。
- 敏感目录（如 config、upload）禁止脚本执行（在宝塔站点设置中配置）。
数据库安全
- 修改MySQL默认端口（3306 → 其他端口）或绑定127.0.0.1（仅本地访问）。
- 不使用root账户连接网站，创建独立数据库用户并限制权限。
- 定期备份数据库。
防跨站攻击（XSS/CSRF）
- 对用户输入进行过滤和转义。
- 使用WAF防火墙（宝塔有免费版或付费版）。

✅ 最后提醒：安全是一个持续过程，建议定期审计服务器状态，关注宝塔和系统更新公告，及时修补漏洞。

如需更高安全级别，可考虑使用京东云主机安全服务（如云防火墙、入侵检测等）。