程序授权

本程序为授权使用，一个授权资格只能应用一台搭建宝塔面板的服务器，请确保服务器具备公网访问能力
授权地址：https://auths.yum6.cn
活动通知：btHost预览版可长期免费授权，解释权归属作者！
授权模式：静默授权，授权域名处填写 服务器公网IP，不要填写域名！！！
离线授权码：授权站用户中心 => 授权列表 => 点击显示 => 复制授权码

授权更换IP、续费授权码都会变动，删除/application/extra/auth.php文件，或修改code参数为空，重新请求即可在线授权获取离线授权码

如服务器无固定公网IP，且公网IP频繁变动请等待后续优化

安装包获取

程序授权后，授权列表右侧按钮进行下载

环境要求

PHP >= 7.1 且 < 7.3 (推荐PHP7.2版本，禁opcache插件)
Mysql >= 5.5.0 (需支持innodb引擎)
Apache 或 Nginx 或 IIS
PDO PHP Extension
MBstring PHP Extension
CURL PHP Extension
禁用防篡改

程序部署

本程序仅支持部署到运行宝塔面板的服务器中，不支持外部web空间安装和使用

常规部署

1. 上传源代码包到网站根目录中（必须安装在宝塔面板服务器中）
2. 解压到网站根目录
3. 设置运行目录为public
   

请打开防跨站开关

4. 设置伪静态为thinkphp
   
5. 设置PHP版本 PHP >= 7.1 且 < 7.3

一键部署

1. 找到宝塔面板中的软件管理
2. 点击一键部署
3. 搜索项目名称bthost
4. 点击一键部署
5. 填写域名、选择PHP版本号等信息后提交

程序安装

在线安装

程序安装地址：/install.php

1. 填写数据库信息
2. 填写宝塔API密钥、宝塔面板端口、面板Url协议

宝塔API密钥获取地址：宝塔面板 – 面板设置 – API接口 – 接口密钥
将127.0.0.1和服务器公网IP加入IP白名单中保存并开启API接口

1.3.0版本请注意：如已添加127.0.0.1还是提示该错误，请删除/runtime目录重试即可

如遇授权检查失败，请多次尝试授权即可，也可以在授权中获取离线授权码进行授权

3. 填写管理员信息
4. 填写网站信息

手动安装

• 手动导入数据库文件，位于application\admin\command\Install\bthost.sql（使用phpMyAdmin可能还是会超时502，建议使用第三方数据库管理工具进行导入，如/adminer.php，Navicat，SQL_Front等等
• 手动写入数据库连接配置，位于application\database.php
  
• 手动写入安装锁文件，位于application\admin\command\Install创建一个空文件install.lock
• 手动配置离线授权码，位于application\extra\auth.php，填写授权站获取的离线授权码
  以上操作可完成程序安装，安装后进入后台/admin.php，初始帐号密码如下
  帐号：admin
  密码：admin000
  进入后台后，请尽快按照 初始化 流程进行服务器配置（要不然会提示连读20次验证失败封禁一小时），即可正常使用！

常见问题

1. 如果提示当前权限不足，无法写入配置文件application/database.php，请检查database.php是否可读，还有可能是当前安装程序无法访问父目录，请检查PHP的open_basedir配置，请检查是否已禁用防篡改
2. 如果提示找不到bthost.bth_admin表或表不存在，请检查你的MySQL是否开启了支持innodb
3. 更多问题请移步 常见问题

环境

支持Linux、Windows版宝塔面板（最新）使用，支持全平台环境NginxApacheIIS使用

插件

btHost实现对接的有效插件如下，更多插件及功能制作中……

宝塔插件

• 宝塔一键部署源码
• 新版一键部署
• 堡塔网站加速

专业版插件

• Nginx防火墙
• Apache防火墙
• 网站监控报表
• 网站防篡改程序

企业版插件

• 网站防篡改程序
• Nginx防火墙
• Apache防火墙
• 网站监控报表

第三方应用

• Nginx免费防火墙
• Vsftpd管理器

推荐使用环境及安装插件

1. Nginx、Apache（二选一，必装）
2. MySQL（提供数据库，必装）
3. php5.5-7.4（必装）
4. Pure-Ftpd（提供ftp，必装）
5. phpMyAdmin（提供在线sql管理，必装）
6. Nginx防火墙、Apache防火墙、Nginx免费防火墙（提供防火墙，非必装）
7. 网站监控报表（提供网站流量控制及网站报表服务，非必装）
8. 网站防篡改程序（提供主机安全控制，非必装）
9. 堡塔网站加速（提供主机缓存加速，非必装）

程序安装使用

服务器密钥获取及配置

宝塔面板接口密钥：宝塔面板 – 面板设置 – API接口 – 接口密钥
填写到btHost后台 – 系统配置 – 宝塔面板接口密钥

数据库管理地址

如需提供在线Mysql数据库管理功能，请补充后台系统配置 – 服务器配置 – 数据库管理地址

1. phpMyAdmin （支持一键获取phpMyAdmin数据库管理地址
2. btHost内置adminer.php数据库管理工具，地址/adminer.php
   

暂不支持SQLServer类型数据库在线管理

FTP服务器配置

FTP服务器默认为127.0.0.1，如需外网访问，请填写公网IP地址
如不使用FTP及FTP在线文件管理，可以忽略

请勿携带ftp://协议，会被防火墙拦截

计划任务部署

本程序很大程度上需要依托计划任务执行
你可以选择手动监控指定地址，也可以选择一键添加到宝塔面板的计划任务中自动执行

如修改监控密钥后，请到宝塔面板中的计划任务删除名称《btHost计划任务》的任务后重新使用新的密钥接口添加计划任务监控
更多信息查看计划任务

备案引导模块

bthost后台控制台页面即可初始化
用途：用于域名绑定备案检测拦截提示页面，如不使用域名备案检测、拦截，可以不执行初始化

基础配置

CDN地址

用于系统静态资源加速加载

修改后请执行右上角一键清除缓存

禁止IP

一行一个IP，可禁止IP访问站点，包括前台和后台

如误操作把自己拦截在外，无法进入后台的情况下，可修改文件application\extra\site.php中forbiddenip内容清除拦截IP

方糖SCKEY

内置 方糖 通知。用于以下服务

• 主机开通通知
• 主机到期通知
• 主机回收通知
• 主机资源异常通知
• 主机过期删除通知
• 域名绑定待审核通知
• 域名备案待审核通知
• 程序发布升级通知

站长邮箱

站长邮箱同方糖通知的功能一致
也会应用到控制面板，以便用户在使用主机时需要联系站长

需要完成邮件配置才能正常收发邮件

调试模式

调试模式可用于网站出现意外错误时，展示错误问题，方便站长、用户进行反馈

开启调试模式后静态资源将动态加载，正常情况下请勿打开，会影响网站加载速度

网站维护

开启网站维护后，控制面板将停止访问，后台可正常访问

到期动作

预置两种动作

• 放入回收站
• 删除并清除
  回收后主机依然存在，状态为停止
  删除并清除后将清除系统和云端中站点及站点绑定的FTP、数据库

回收站清理

达到指定天数之后，系统将自动执行删除清除，将清除系统和云端中站点及站点绑定的FTP、数据库

超量停用面板

超量是否允许用户登录控制台，进行删减文件

通信配置

API通信密钥

可参考《API开发文档》篇进行API调用和使用

IP允许名单

填写之后将只允许填写的IP进行调用和请求API，如不填写将允许所有人调用和请求

添加IP白名单将影响财务系统一键登录面板功能，非特殊情况，建议不使用该功能，如您不使用财务系统进行控制，则可以正常使用该功能

监控密钥

计划任务接口使用到的监控密钥
如修改该密钥后，请到宝塔面板中的计划任务删除名称《btHost计划任务》的任务后重新使用新的密钥接口添加计划任务监控

签名有效期

该值决定API签名有效期，防止签名被盗用导致安全问题。默认10秒，非特殊情况请勿修改。

个性化配置

控制面板标签缓存

用户在使用在线控制面板时，标签卡是否缓存
缓存：页面刷新后将保留之前打开的标签卡
不缓存：页面刷新后将只打开控制台标签卡，刷新之前打开的标签卡将关闭

自定义样式

填写如下面的样式代码，即可个性化控制台样式

<style>
body{font-size: xx-small;}
</style>

自定义页眉

支持html代码，可以自己引入一下css或js等内容

自定义页脚

支持html代码，可以自己引入一下css或js等内容
一般用于防止站长统计代码

公告

支持html代码，公告代码示例

<div class="alert alert-warning alert-dismissible" role="alert">
    <button type="button" class="close" data-dismiss="alert" aria-label="Close"><span aria-hidden="true">×</span></button>
    <i class="fa fa-bullhorn"></i><a href="https://btai.cc" target="_blank">官网</a>这是公告内容
</div>

上传参数配置

文件路径application/extra/upload.php

maxsize修改最大可上传文件大小
mimetype修改可上传文件类型

Ps：最终可上传文件大小，还是需要看php配置中配置的可上传大小

资源套餐

资源套餐是主机开通时初始的建站信息，其中有很多可以自定义的内容。
主机开通后，编辑资源套餐将不再能进行变更主机配置，只能从主机编辑中进行单个站点的配置修改

数据库

内置宝塔面板两款数据库模块

• MySql
• SQLServer

选择前请在宝塔面板中提前安装好对应数据库插件

FTP

可选择性开通FTP账号，如不开通FTP账号，将无法使用控制台中在线文件管理(FTP)，用户只能通过在线文件管理器查看和管理网站文件

站点端口

站点开通时域名默认绑定端口，默认为80

域名绑定数

限制用户可绑定域名数量，超出后将不能绑定更多域名
0=不限制

站点备份数

限制用户可存在的站点备份数量
0=不限制

数据库备份数

同上

域名池

由于宝塔面板特性，创建站点必须填写一个域名，所以请务必完善和绑定域名池域名信息

IP池

可自定义绑定不同IP池

IP赠送数量

随机从绑定的IP池中抽选对应IP绑定到用户主机中
0=无独立IP

预装程序

调用模块为宝塔面板中新版的一键部署模块和程序列表，可手动添加程序到一键部署中，主机创建时为用户快速安装部署该程序

php版本

推荐安装5.6 – 7.4，用户可自由切换

并发限制

仅支持Nginx环境，可限制单个站点的并发上限
0=不限制

站点、数据库、流量大小

单位M，0=不限制
流量每月会重置

Vsftpd

这是一款三方开发的付费插件，功能就是强制限制某个站点目录的大小
优点：从系统层面限制了主机可使用资源大小及FTP上下行速率
缺点：一旦创建资源，将创建同等大小文件，对服务器数据盘和服务器读写IO有一定要求，且后期不能修改站点大小
详情查看https://www.iw3c.top/index/index.php/archives/bt-vsftpd.html

Session隔离

开启后将会把session文件存放到独立文件夹独立文件夹，不与其他站点公用存储位置
若您在PHP配置中将session保存到memcache/redis等缓存器时，请不要开启此选项

建站目录

网站搭建目录，为空则系统默认，不懂用途切勿填写
Linux默认/www/wwwroot
WIndows默认C:/wwwroot
Windows和Linux的建站目录请勿混用

域名绑定审核

如需要审核绑定域名，可开启此选项，用户绑定域名时需要站长后台审核后才能绑定到服务器中访问

子目录绑定

是否允许绑定域名到子目录。

警告：该功能存在高危漏洞，请在非信任环境下全局关闭子目录绑定功能，如已有域名绑定请及时删除

1.6.1+20210731 新增 全局开关，该配置已转移到全局配置中
信任环境下如需使用该功能，请修改路径文件application/extra/vhost.php 中 sub_bind = 1即可开启全局开关，之后再使用资源组、修改单个站点的子目录绑定开关等方式启用站点子目录绑定功能

配置

btHost后台 – 域名管理 – Dnspod配置
填写dnspod官网拿到的id和token，并将服务器公网IP加入IP白名单后方可正常使用

智能解析教程

1. 域名管理中添加上Dnspod智能解析为启用的域名
2. 完成系统配置=>域名解析=>智能解析方式 | 智能解析地址 的配置

备注：

• 如果要智能解析到服务器IP，智能解析方式请选择A，智能解析地址请填写服务器IP
• 如果要智能解析到固定域名地址（用于加速或防御什么的），智能解析方式请选择CNAME，智能解析地址请填写要解析的域名地址，如xxxx.xxx.com

面板显示域名绑定地址配置

• 如果要显示服务器IP或自定义域名，系统配置=>域名解析=>域名绑定解析地址选择解析地址并填写智能解析地址为服务器IP或自定义域名
• 如果要显示赠送域名，系统配置=>域名解析=>域名绑定解析地址选择自身域名即可
• 也可以填写域名绑定页额外信息编写额外的域名绑定提示信息，支持html语法

主机管理

同步

同步操作将执行以下内容更新，常用主机迁移或主机信息与宝塔面板中站点信息不匹配时使用

• 主机到期时间以本地为准，同步到面板中
• 主机ID以云端为准，同步到程序数据库中
• 主机状态以本地为准，同步到面板中
  

稽核

稽核操作将获取该主机在云端使用的主机大小、数据库大小、流量信息（月）并同步到程序数据库中

新建主机

选择站点分类、所属用户、资源套餐（也可选择自定义配置）、到期时间后提交即可创建一个新的主机

添加主机

该功能将宝塔面板中已经存在的站点拉取到btHost程序中实现在线管理功能
站点为必选项，FTP、数据库如果有也可以勾选，其他内容与新建一致

注意：FTP账号具有浏览主机的权限，请勿选择错误，否则容易造成站点权限混乱

回收站

由于宝塔主机特性，btHost回收站具有以下特征

主机

• 主机正常删除后会丢进回收站，此时主机状态为停用
• 如选择还原回收站，主机站点状态依然为停用，需要手动进行启用站点
• 回收站销毁后主机将删除包含站点、数据库、FTP

数据库

• 数据库正常删除后将丢进回收站，但此时数据库依然可以被连接和使用，但是控制台中数据库信息将被隐藏
• 回收站销毁后数据库将被删除

FTP

• FTP正常删除后将丢进回收站，此时FTP状态为停用，将不能使用控制台中在线文件管理（FTP）也不能使用第三方软件进行连接FTP
• 如选择还原回收站，FTP账号状态依然为停用，不能被连接，需要手动进行开启FTP
• 回收站销毁后FTP将被删除

域名

• 后台删除域名后，将丢进回收站，用户主机中依然绑定该域名，且可以正常访问和使用
• 需要将回收站中的域名进行销毁后才能完全删除主机绑定的域名，让其不能正常访问和使用

文件/目录

网站根目录
|-application
    |-extra        程序配置目录
        |-site.php    程序配置文件
        |-auth.php    授权码配置文件
        |-upload.php    上传配置文件(可在此修改 最大可上传大小|可上传的文件类型)
    |-index        主机控制台模块
        |-lang        主机控制台语言包
        |-view        主机控制台前端模版文件
    |-database.php    数据库配置文件
    |-config.php        框架配置文件(可在此手动打开调试模式)
|-Data                数据库备份目录(程序升级时会自动备份)
|-logs                在线文件管理文件临时文件目录(可定期清理)
|-runtime                程序运行缓存/日志目录(可定期清理)
|-update.log                程序升级日志文件

计划任务

本程序很大程度上需要依托计划任务执行
你可以选择手动监控指定地址，也可以使用一键添加到宝塔面板的计划任务中自动执行

修改监控密钥后，需重新添加监控

任务调配

可调配单个任务执行间隔时间、权重、一次性任务量、通知等

默认间隔时间43200秒 = 12小时

可手动开启/关闭执行结果是否推送站长（推送需要配置相应服务配置

方糖通知预览：

域名管理

非智能解析泛域名如何填写？

用于创建宝塔网站使用，如果你有多余域名，直接 A 解析 * 到你服务器IP地址即可，如果你穷，直接随便打一个域名即可（不好意思，忘记了，你们都不穷）
如果你填写 baidu.com 那么用户开通主机时会得到 xxxx.baidu.com
如果你填写的是 www.baidu.com 那么用户开通主机时将会得到 xxxx.www.baidu.com

一键迁移

一键迁移可以使用宝塔的一键迁移插件进行迁移，迁移后需要在bthost中进行的操作

1. 修改服务器密钥为新服务器的宝塔面板API接口密钥
2. 添加API接口IP白名单，老规矩127.0.0.1
3. 访问bthost后台，找到主机管理，勾选所有主机，执行批量同步

管理员密码重置

后台密码忘记后可通过以下操作进行重置密码

数据库重置默认密码

• 进入btHost的站点数据库
• 使用sql执行sql语句

UPDATE `bth_admin` SET `password`='b64399441f7476f9b9f524d3bb72ecd2',`salt`='ab70e8' WHERE id = 1

• 使用密码admin000进行登录即可

管理员密码重置工具

• 下载压缩包 bthostTools-1.0.zip
• 上传网站根目录并解压
• 访问域名/bthosttools.php
• 输入两次新的管理员密码，提交
• 密码重置后卸载工具（卸载失败也要手动删除相关文件application\toolspublic\bthosttools.php）

该工具存在安全隐患，请使用后及时卸载删除相关文件，如出现数据泄露，后果自付

常见问题

IP效验失败，您的访问IP为[127.0.0.1]

如安装或使用中出现该提示，请将提示IP加入宝塔面板API接口IP白名单中

1.3.0版本请注意：如已添加127.0.0.1还是提示该错误，请删除/runtime目录重试即可

服务器连接失败

存在诸多因素，请自行判断

1. 服务器内部禁止127.0.0.1访问
   解除该防火墙即可
2. 宝塔面板绑定域名
   目前宝塔机制如此，等待后续优化，可取消宝塔面板域名绑定，改为IP访问面板
3. 宝塔面板IP白名单未添加
   宝塔面板API接口需要添加127.0.0.1到IP白名单中
4. 授权站通讯失败
   ping auths.yum6.cn
curl https://auths.yum6.cn
   测试两个命令看看服务器对授权站通讯是否异常，如有异常请自行处理
5. 面板通讯协议错误
   默认使用http://协议进行通信，如果你的宝塔面板开启了面板ssl，请尝试选择使用https协议进行通讯
   bthost后台 常规管理 => 服务器配置 => 宝塔面板url协议 进行切换

Token验证错误！

为保证系统框架运行安全，采用一次访问一次token的机制
当你打开A页面后，操作或打开B页面，A页面的token将会失效，故提示《Token验证错误！》
解决方案：触发后重新请求即可重置token

Windows Defender

由于系统中存在部分加密代码，被Windows Defender识别为病毒文件自动删除，需要手动将这些文件加入白名单或关闭该防火墙，才能在Windows系统中正常安装和使用

xxxx授权信息不正确/授权信息错误

授权站已更换IP或续费授权后，提示授权过期或不正确等

删除路径文件夹/runtime/cache后重试

1.3.0版本后更新授权码的方式如下三种

• 后台执行一键清除缓存（右上角）
• 授权站手动获取离线授权码，填写到文件/application/extra/auth.php的code参数中
• 删除/application/extra/auth.php文件，或修改code参数为空，重新请求即可在线授权获取离线授权码

后台地址

找到文件路径/public下的xxxxxxx.php（随机文件名）就是你的后台地址，也可以修改任意文件名.php重新设置个性后台地址

SEO搜索引擎抓取

本系统特性为系统管理功能使用，已禁止所有搜索引擎抓取内容，常规下不会被搜索引擎所收录
如需允许搜索引擎抓取和收录，请删除网站目录文件/public/robots.txt

您所浏览的页面暂时无法访问

一般是由于程序运行或配置出错导致的程序异常，打开调试模式查看具体报错显示

如何正确DEBUG(调试模式)？

如果在程序使用中出现一些意外的报错或者不符合正常使用情况的可参考以下方式打开调试模式

1. 修改路径application/config.php 中 'app_debug' => Env::get('app.debug', false),为'app_debug' => Env::get('app.debug', true),
2. 打开网站后台中基础配置，打开调试模式

开启调试模式后静态资源将动态加载，正常运行情况下请勿打开，会影响网站加载速度

升级出现问题

升级日志：/update.log
数据库备份：/Data/
如有必要请使用备份文件进行数据库恢复

临时目录logs‘

此目录用于宝塔面板通讯缓存及控制台站点上传文件临时中转，可定期清理该目录文件，防止占用存储空间

连续20次验证失败,禁止1小时

这是由宝塔面板API验证发起的风险控制拦截，非btHost程序提示，可能出现以下原因
1、未将验证IP加入IP白名单
2、宝塔面板API接口密钥错误或重置过
完成以上检查等待一个小时后再次访问程序就能正常使用了

你所浏览的页面暂时无法访问

一般该提示说明你访问的页面或正在执行的操作存在报错，请阅读上面的如何正确DEBUG(调试模式)？
打开debug后再次访问查看具体报错内容，反馈或提交到社区中

系统更新后配置未更新/未生效

由于系统框架局限，所以程序更新个别配置项未生效/未更新
请手动保存一次即可更新配置

xxxxx控制器模块不存在

存在以下问题：
1、浏览器对thinkphp框架不友好导致（更换浏览器访问）
2、由于系统部分代码加密，所以被杀毒软件误报后自动清除某些文件（关闭杀毒软件运行或将文件或路径加入白名单运行）

非白名单IP不允许请求

系统配置->通信配置->IP允许名单
修改或清空文本框中的IP

签名错误

为了保证API接口通信安全性，签名有效期为10秒，所以需要保证服务器A与服务器B的时间及时区一致，尽可能保证小的误差

1. 将系统时间同步为硬件时间clock && date hwclock --hctosys
2. 先同步服务器网络时间为系统时间，再将系统时间同步为硬件时间yum -y install ntp ntpdate ntpdate cn.pool.ntp.org hwclock --systohc

以上两种方法是同步服务器时间的方法，也可以使用宝塔面板中的Linux工具箱进行时区同步（但不保证服务器时间能精确同步

域名编号不正确

请按照 域名智能解析 配置完成

1. 如果你要使用dnspod智能解析，请删除域名管理中原域名重新添加，添加时一定要将Dnspod智能解析选择为启用
2. 如果你不使用dnspod智能解析，请修改域名管理中域名Dnspod智能解析为禁用

该插件没有扩展方法

• 开通时出现，请在资源套餐中找到vsftpd插件选择不开启
• 控制面板中出现，请在宝塔面板中安装对应模块插件

FTP不能登录

FTP存在主动与被动连接模式，两者使用的端口都是不同的
服务器安全组/宝塔安全端口中都应该加入如下端口的规则
主动：20端口
被动：39000-40000


所以我们应该在服务器中打开20/39000-40000端口，才能正常使用FTP服务
连接FTP时建议选择被动模式连接

也可以尝试使用这个插件
https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=23952

btHost迁移

由于本程序仅支持运行在宝塔面板中，所有数据都是该服务器独有，所以迁移意义不大，且容易造成数据紊乱，不建议迁移。
如特殊情况需要迁移，请按照以下流程进行操作

1. 删除文件application/extra/auth.php并重新进行程序授权
2. 修改btHost后台系统配置=>服务器配置=>宝塔面板接口密钥为当前面板的API接口密钥（请确保API接口IP已白名单加入127.0.0.1
3. btHost后台主机列表全部都需要执行同步操作才能正常使用
4. 更换FTP、数据库管理地址为当前服务器的
5. 计划任务重新执行一键监控

面板中没有文件但占用很大

如清除缓存后依然如此，请阅读下文
本程序因安全问题隐藏了所有非www用户组的文件，可能站点中存在许多非www权限组的文件，如上传的临时文件、远程下载的文件等
可用以下方式进行处理：

1. 管理员进行手动处理
2. 使用在线文件管理（FTP）进行处理
3. 使用站点重置功能进行一键重置

安装时出现502 Bad Gateway

初步排查是由于安装时写入数据库超时引起（服务器硬盘读写瓶颈），可参考程序安装中的手动安装流程操作

PHP版本列表

问题描述：已经在宝塔面板中安装了很多PHP版本，但在控制面板中不显示
问题处理：基本是由程序缓存逻辑导致，执行以下选其一操作即可
1、后台右上角一键清除缓存
2、前台控制面板右上角清除缓存
3、删除cache目录清除缓存

Ps：还有更多场景需要执行清除缓存操作，如：切换运行环境（Nginx/Apche），切换防火墙插件，切换防篡改插件、主机同步等

后台登录地址跳转404

在确认访问后台地址无误的情况下，访问后跳转404，可通过修改站点php版本解决，PHP运行环境范围（PHP >= 7.1 且 < 7.3）

安全规范

请大家在使用btHost和宝塔面板时，按照以下安全规范能有效避免网站被攻击风险
如果网站被攻击，请保留站点、宝塔面板、Php、Nginx、Apche等日志，逐步分析就可以大致了解网站被攻击的方式，从而加以防范。

1. 防跨站攻击(open_basedir)
   防跨站攻击是宝塔面板中绝对重要的安全线，当你在宝塔面板创建和使用站点时一定要打开防跨站功能，至少能减少一半的安全风险

已确认子目录功能存在跨站安全风险，请及时禁用，请查看《子目录防跨站问题反馈-防跨站权限》进行修复

防跨站攻击并非绝对安全，请禁用下文提到的所有php危险函数

给所有PHP安装bt_safe组件

2. 网站防篡改程序
   网站防篡改程序是宝塔面板中的专业版插件，因按照各个网站不同的运行方式进行设置不同的防篡改规则，保护某些核心文件不被篡改
3. 防火墙
   无论是Cdn、硬件、软件、宝塔防火墙，都是防御网站不被攻破的有效手段，希望大家重视。
4. PHP危险函数
   所有的php版本建议都禁止以下函数（由阿良提供）

passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv,pfsockopen,fsockopen

2020年10月25日 18:30:12

• 补充pfsockopenfsockopen

5. 文件权限及所有者
   网站运行时非特殊要求，权限建议 ≤755 或着 644
   所有者不应出现root或其他特殊组，建议为www
6. 软件版本
   宝塔面板：请及时响应官方发布的更新，更新中可能会修复很多安全问题
   PHP：php5.2或5.3中存在许多公开的漏洞，如果非必要的情况下，我们尽可能不安装或提供php5.6以下给客户使用
   phpMyAdmin：请及时响应官方发布的更新，过旧的版本中也会存在意想不到的安全漏洞
   Redis：有被恶意攻击的风险
7. Redis安全
   请查看宝塔官方发布的《Redis安全指南》
8. 定期扫描文件
   可以定期扫描网站目录中是否存在危险文件，防止一些未知漏洞造成的渗透危害。
9. 系统加固
   如非特殊环境使用，请安装宝塔专业版插件中的 “宝塔系统加固” 插件进行系统加固。
10. 宝塔面板访问地址加密
    安全起见，建议修改宝塔面板安全入口、端口等。
11. 常见服务端口修改
    如FTP、Redis、Sql、SSH服务默认端口建议自定义，防止爆破。