前言

关于宝塔安全漏洞的声明：https://www.bt.cn/bbs/thread-61706-1-1.html

宝塔再现通杀漏洞：https://www.hostloc.com/thread-789572-1-1.html

简要

部分专业人士表示可以通关插件漏洞直接进入宝塔面板

“有大佬现场演示(某ctf竞赛)

windows新旧版本通吃

Linux需要安装任一插件

在plugin下   不细说了

即便你删除了这个文件夹

temp目录下仍然可以

双重打击……”

建议采取以下措施

多重备份

可以使用定时任务+网盘插件

修改SSH端口和BT端口

不用使用默认的22SSH和8888BT端口

增加宝塔面板IP白名单限制

也可以使用没有解析的域名（用host）或者NGINX白名单

防火墙端口白名单模式/NGINX白名单模式

如果你有稳定的IP，可以直接对该IP使用端口全开，把22这种端口直接关掉（用白名单IP连就行）

 

宝塔面板加固插件

关闭宝塔面板

停止面板：bt stop

启动面板：bt start

服务器快照备份

大部分中大厂都有提供免费/便宜的快照

定期备份到本地

博客类一般备份数据库即可，其他打包一下也不难，毕竟用的图床

使用莉塔面板

一定程度上抵抗官方漏洞，后门，控制