网站搭好了、能访问了,但别急着发朋友圈。先做下面10件事,能避免很多后续问题。
- 修改宝塔面板默认端口
· 默认端口是 8888,每天被扫
· 操作:宝塔面板 → 面板设置 → 端口 → 改成 18888 或 54926 这种五位数
· 改完后用新端口登录,记住端口号(可以记在备忘录里)
- 修改宝塔安全入口
· 面板设置 → 安全设置 → 改一个复杂的安全入口字符串
- 关闭没有用到的端口
· 安全 → 防火墙 → 只保留 22(SSH)、80(HTTP)、443(HTTPS)、你改过的宝塔端口、phpMyAdmin 端口
· 其他端口一律删掉
- 修改管理员用户名
· 默认用户名尽量不要用 admin、administrator、root 这种
· 如果已经用了:新建一个管理员账号 → 用新账号登录 → 删除原 admin 账号
- 设置强密码
· 至少 12 位:大小写字母+数字+符号组合
· 推荐用密码管理器(Bitwarden、1Password 等)生成和保存
- 开启操作日志记录(宝塔专业版/企业版)
· 方便回头查“谁在什么时候做了什么”
- 配置自动备份(非常重要)
· 宝塔计划任务 → 添加任务
· 类型:备份网站 + 备份数据库
· 执行周期:每天或每周
· 备份到哪里:推荐存到本地 + 云存储(阿里云OSS、腾讯云COS)
- 关闭目录列表
· 网站 → 设置 → 配置文件 → 搜索 autoindex 相关项,确保状态是 off
· 否则别人访问 /wp-content/uploads/ 能看到你所有文件
- 修改 WordPress 数据表前缀
· 安装时没改,可以装好后改
· 推荐:原来是 wp_,改成 wp3e9_ 或 app1_ 这种
· 操作:用插件(如 WP Prefix Changer)或在 phpMyAdmin 手动批量改
- 关闭无用的系统服务
· 如果不用邮件功能,关闭邮件服务
· 不用 FTP,关闭 FTP 服务
· 原则:用不到的,就关掉
结尾
做完这10件事,你的网站才有基本的安全底线。别怕麻烦,这些事做一次能管很久。建议做成清单,每次新网站上线前过一遍。