关于28号凌晨宝塔官方安全通知及解决办法？

关于28号凌晨宝塔官方安全通知及解决办法？

宝塔官方在宝塔论坛发布的《【置顶】关于宝塔安全漏洞的声明》，经过仔细阅读，给出一点处理方法。

从上次数据库漏洞以来，宝塔强制要求绑定手机号。然而这次并没有大范围短信通知，可见该漏洞影响不大；通过官方公告仅 Nginx 1.8 版本用户收到影响，而该版本为很早以前，甚至 Nginx 官方都停更的版本，受众范围极小。

关于本次 Nginx 1.8 漏洞问题，即便你不用宝塔面板，仍然可能存在漏洞的。

宝塔安全使用方案

服务器安全使用的好习惯是每个人应该做的，下面就来讲几个宝塔安全使用方案，或者说是习惯。下面就懒得截图了，就在宝塔设置里面：

很多时候看一个站点有没有使用宝塔面板只需要域名+8888访问就能知道，所以安装好面板第一步最好就是修改默认端口，隐藏面板

修改默认 8888 宝塔面板端口，这个不修改面板也会强制无法关闭的提醒你；

即使给面板修改了端口 但只要有有心人，那么随便扫扫依旧是能扫到面板的端口的
这时候就需要给面板设置一个安全入口了，在不知道入口的情况下直接输入端口访问面板将被禁止访问
是非常简单有效的一个安全措施，强烈建议设置开启此功能
根据提示开启（图中以www_bt_cn为例，实际使用请使用其他路径）

添加 BasicAuth 认证，在原有面板登录验证基础上再加一层用户密码验证，防止面板被扫描发现；

[慎用]宝塔授权 IP，该功能虽然安全，但是很多站长朋友没有固定 IP，一旦重启光猫或者路由，将会改变当前 IP，导致无法进入，需要 ssh 解除。可以考虑绑定多个授权IP，其中建议包含其他服务器 IP，可以远程通过 Windows 服务器来进行控制面板；

停止使用 Nginx 1.8 版本，升级到 1.18.1 稳定版跟 1.19.6 开发版；

如果你还是非常担心出问题，可以通过 SSH 输入bt执行2选项（输入2回车即可）停止宝塔面板服务（不会影响网站的正常运行）。等需要用的时候再输入bt执行3选项（输入3回车即可）启动宝塔面板服务。