⚠️宝塔安全建议

宝塔站长群 https://TG.HostCLi.COM

禁止通过IP访问网站

1、宝塔面板可以设置服务器禁ping，ping不到，就不会有后续的暴力破解登录ssh等安全隐患

教程：宝塔面板左边栏 -> 安全 -> 禁ping

2.1、通过宝塔面板新建一个网站，将本机所有IP当作域名填写进去，一行一个IP；

2.2、添加完成后，在 站点->伪静态 中收入以下几个方案：

Nginx方案：（CentOS / Debian / Ubuntu）

方案一：访问IP时返回444状态码，直接关闭响应（更像不存在）

复制

location / {
	 return       444;
}

⚠️ 444 是 Nginx 特有的状态码，表示 直接断开连接，不返回任何内容。

大多数扫描器看到的是“连接被重置/无响应”，会认为这个 IP 没有网站。

方案二：返回空响应（最干净）

复制

location / {
	 return       204;
}

⚠️ 204 表示 No Content，客户端会认为请求成功，但啥也没有。

对普通人/扫描器来说，看起来像是“空站点”。

方案三：返回一个错误码（让人误判）

复制

location / {
	 return       495;
}

⚠️ 204 表示 No Content，客户端会认为请求成功，但啥也没有。

对普通人/扫描器来说，看起来像是“空站点”。

Apache (httpd)

方案一：mod_security 丢弃请求

• 这样 Apache 收到请求后直接 丢弃，不返回 HTTP。

• 但是 status:444 只是写在日志里，客户端感受到的是 连接被断开。

• 等效于 Nginx 的 444。

方案二：防火墙层面阻断（推荐）

直接在 iptables 或 firewalld 里对裸 IP 访问丢包：

只允许带 Host 域名的请求，IP 直连丢弃

Apache 本身没有“挂起/断开”能力，只能借助安全模块或防火墙。

Windows IIS

方案一：IIS 动态筛选请求 + 直接终止连接

• 安装 IIS Request Filtering 或 URL Rewrite 模块；

• 配置规则：如果 Host 不是指定域名 → Abort Request（直接终止 TCP）。

例如在 web.config 里加：

IIS 可以配置成直接关闭连接（浏览器看到的就是连接失败）。

方案二：Windows 防火墙过滤

直接在 iptables 或 firewalld 里对裸 IP 访问丢包：

直接用防火墙丢掉所有 IP 直连请求，只允许 Host 为域名的流量通过。

修改宝塔默认配置：

修改默认SSH端口：修改方法请自行google搜索；

登陆宝塔面板->安全 启用SSH 关闭；以免ssh root密码被暴力破解，禁止ssh登陆，只能宝塔登陆；

登陆宝塔面板->面板设置->面板端口 修改默认端口；以免被批量扫描到宝塔端口、定向爆破；

登陆宝塔面板->面板设置->安全入口 修改宝塔路径；

登陆宝塔面板->面板设置->修改面板用户 和 面板密码;

善用计划任务+自动备份：

如：应用商店中搜索【谷歌云网盘】或其他网盘并安装、配置

然后通过计划任务，分别创建两条定时备份：备份网站程序/目录、备份数据库 到谷歌网盘；

删除登录日志：

部分用户可能有这个需要；也可以配合跳板机登录服务器+跳板机的计划任务，更加安全；

CentOS7 系统清空删除系统日志的方法>> 将代码放到跳板机、宝塔计划任务内即可。

以上为Centos清理ssh登录日志，其他系统请自行搜索命令；

其他建议：

禁止数据库等端口的外网访问；

尽量不要使用非官方提供、第三方破解的建站程序，大多数服务器被黑主要是因为程序有后门，跟宝塔没有直接、间接的关系；

宝塔站长群 https://TG.HostCLi.COM

End.