安全性建议
通过以下安全措施,几乎可以杜绝一切被黑/挂马问题。
网站方面
根据以往经验大多数被黑挂马都是程序漏洞造成的,与面板等环境无关,为了网站安全,你应该做到:
- 不要使用盗版程序、软件,特别是在你无法确定有没有被人加过料的情况下。
- 定期更新网站程序和软件环境,不要怕麻烦使用过时的软件程序,它们的安全性无法保证。
- 网站后台禁止使用弱密码,密码强烈建议使用随机生成器生成大于 20 位的混合密码并保存在安全位置,有条件建议开启程序的多因素身份验证(2FA)。
- 设置定时备份全站数据,不要裸奔。
- PHP 默认禁用了部分高危函数,非必要请勿删除。
系统方面
现代系统出现严重安全漏洞的概率是很低的,但是你仍应该做到:
- 定期更新系统软件。(使用
yum update
或apt upgrade
)。 - SSH 禁止使用弱密码和默认 22 端口,密码强烈建议使用随机生成器生成大于 20 位的混合密码并保存在安全位置,如果可以建议安装 Fail2ban 针对性保护。
- 不要随意给 777 权限和 www 用户的执行权限,可能造成极大安全隐患。
- 如果运营商提供 VNC 管理服务器,也可以考虑关闭 SSH,从源头上解决问题。
面板方面
面板拥有和 root 一样的权限,管理不当亦会造成严重安全问题,你应该做到:
- 定期更新面板及面板安装的应用。同时推荐关注我们的频道或者群,以第一时间接收各类更新消息。
- 面板禁止使用弱密码和默认 8888 端口,密码强烈建议使用随机生成器生成大于 20 位的混合密码并保存在安全位置。
- 建议修改添加面板入口和开启面板 HTTPS,防止被扫描器扫描和中间人攻击。
- 防火墙无必要请不要放行内部服务的端口(Redis 6379、MySQL 3306、PostgreSQL 5432等),可能造成严重安全隐患。(网站本地连接不需要放行,连不上是程序的问题)。
- 对安全性要求较高的情况下,可以考虑日常停止面板的运行,按需启动(面板停止运行不会影响网站、计划任务等的运行)。