**Charles Chin** @[email protected] · Oct 11, 2025, 17:20

**Charles Chin** @[email protected] · Oct 11, 2025, 17:20

Charles Chin @[email protected]

宝塔出了那么多严重的安全事故，为什么还有人要在生产环境使用？

（还有 Allinssl 也他妈的不要去用。

**恐咖兵糖** @[email protected] · Oct 12, 2025, 01:52

**恐咖兵糖** @[email protected] · Oct 12, 2025, 01:52

恐咖兵糖 @[email protected]

@eallion 宝塔用着还是挺方便的，一键安装网站套件，换 PHP 等版本，防简单CC，防注入，改端口防扫，统计，可视化文件操作，网页终端等。
最主要的是有商业公司运营支持，并一些基础功能免费。

图方便，没钱养 DBA 网安运维，还不想外包这方面工作，还是可以用用的。出问题就去找宝塔。

不过我用的动态网站的时候一般遇到的都是朝着我 SSH 和 PHP 使劲，宝塔倒是没出啥问题。研究过一段时间 PHP 漏洞 SQL 注入啥的，感觉不太容易搞明白，就把一些总被扫的网站转静态了。

**Charles Chin** @[email protected] · Oct 12, 2025, 04:47

**Charles Chin** @[email protected] · Oct 12, 2025, 04:47

Charles Chin @[email protected]

@kkbt 宝塔一旦出事就是大事。

**恐咖兵糖** @[email protected] · 2025-10-12T10:58:54Z

恐咖兵糖 @[email protected]

@eallion 其实还好吧。
正常服务器对外就开 443 80 等几个端口，其余各种数据库端口，各种管理页面，包括宝塔管理面板端口只有内网或特定 ip 段可访问。
出事估计也是那几个对外端口应用先出事，比如说 Log4j2 漏洞获取的 shell 权限，PHP 漏洞之类的。

**Charles Chin** @[email protected] · Oct 12, 2025, 11:58

**Charles Chin** @[email protected] · Oct 12, 2025, 11:58

Charles Chin @[email protected]

@kkbt 不，是宝塔本身的漏洞。有好几次非常严重的漏洞。

**恐咖兵糖** @[email protected] · Oct 12, 2025, 14:03 *

**恐咖兵糖** @[email protected] · Oct 12, 2025, 14:03 *

恐咖兵糖 @[email protected]

@eallion 我上面的意思是，宝塔面板即使有漏洞，因为管理面板端口一般不对外暴露所以一般也不会被发现利用。比如说之前出现过的鉴权漏洞。所以说没啥事。

就比如我内网 WebDAV 就是简单鉴权，简单密码。没啥大事。

然后就是一些需要对外提供服务，网站和后端，必须对公网暴露端口的应用风险更高。

**恐咖兵糖** @[email protected] · Oct 12, 2025, 14:08 *

**恐咖兵糖** @[email protected] · Oct 12, 2025, 14:08 *

恐咖兵糖 @[email protected]

@eallion 然后图片这种，装上就被破 SSH，倒像是插件，依赖，或安装包有毒？听起来都没干啥，安装上宝塔，它就能远控。