acepanel.github.io/en/advanced/safe.md

# 安全性建议

通过以下安全措施，几乎可以杜绝一切被黑/挂马问题。

### 网站方面

根据以往经验大多数被黑挂马都是程序漏洞造成的，与面板等环境无关，为了网站安全，你应该做到：

1. 不要使用盗版程序、软件，特别是在你无法确定有没有被人加过料的情况下。
2. 定期更新网站程序和软件环境，不要怕麻烦使用过时的软件程序，它们的安全性无法保证。
3. 网站后台禁止使用弱密码，密码强烈建议使用随机生成器生成大于 20 位的混合密码并保存在安全位置，有条件建议开启程序的多因素身份验证（2FA）。
4. 设置定时备份全站数据，不要裸奔。
5. PHP 默认禁用了部分高危函数，非必要请勿删除。

### 系统方面

现代系统出现严重安全漏洞的概率是很低的，但是你仍应该做到：

1. 定期更新系统软件。（使用 `yum update` 或 `apt upgrade`）。
2. SSH 禁止使用弱密码和默认 22 端口，密码强烈建议使用随机生成器生成大于 20 位的混合密码并保存在安全位置，如果可以建议安装 Fail2ban 针对性保护。
3. 不要随意给 777 权限和 www 用户的执行权限，可能造成极大安全隐患。
4. 如果运营商提供 VNC 管理服务器，也可以考虑关闭 SSH，从源头上解决问题。

### 面板方面

面板拥有和 root 一样的权限，管理不当亦会造成严重安全问题，你应该做到：

1. 定期更新面板及面板安装的应用。同时推荐关注我们的频道或者群，以第一时间接收各类更新消息。
2. 面板禁止使用弱密码和默认 8888 端口，密码强烈建议使用随机生成器生成大于 20 位的混合密码并保存在安全位置。
3. 建议修改添加面板入口和开启面板 HTTPS，防止被扫描器扫描和中间人攻击。
4. 防火墙无必要请不要放行内部服务的端口（Redis 6379、MySQL 3306、PostgreSQL 5432等），可能造成严重安全隐患。（网站本地连接不需要放行，连不上是程序的问题）。
5. 对安全性要求较高的情况下，可以考虑日常停止面板的运行，按需启动（面板停止运行不会影响网站、计划任务等的运行）。