宝塔重大漏洞：无需密码黑进你网站

宝塔面板被爆出严重的安全事件：数据库未受权访问漏洞，公网无需鉴权直接 root 权限进入 phpmyadmin，IP或域名地址：888/pma 能够直接进入 phpMyAdmin，致使不少网站数据库被篡改或者直接清理了数据库，可谓损失惨重！php

下图为使用宝塔面板服务器软件后爆出的数据库未受权访问漏洞html

我是昨天收到阿里云通知消息提醒的，后面才收到宝塔短信通知的，收到宝塔安全漏洞的通知仍是比较意外的，运维群炸了，一直在讨论数据库的丢失以及转移问题。宝塔面板数据库未受权访问漏洞，公网无需鉴权直接 root 权限进入 phpmyadmin，IP或域名地址：888/pma 能够直接进入 phpMyAdmin，致使不少网站数据库被篡改或者直接清理了数据库，可谓损失惨重！linux

目前宝塔官方已经给用户发送短信提醒升级，影响范围包括宝塔linux面板 7.4.2以及宝塔windows面板 6.8。宝塔官方发布紧急安全更新短信通知称，Linux面板7.4. 2 版本/Windows面板6. 8 版本存在安全隐患，官方已发布紧急更新，请全部使用此版本的用户务必升级到最新版。Linux版本7.4.2版本和测试版本7.5.14的用户更新到如下版本：宝塔linux 测试版本7.5.15 （安全版本）；宝塔linux 正式版 7.4.3 （安全版本）；还没更新赶忙去更新，详细操做能够参考（官方通告）。 建议你们在放行端口方面，只须要放行所须要的端口如80,443不开放其余端口，能够很大程度地提高网站的安全，建议封堵888端口。数据库

我一直也是宝塔的用户，毕竟做为运维面板名气仍是比较大的，我去用了才发现宝塔免费版本都是网页单机管理形式，没有批量运维的能力，我购买服务器都是起码几台，这时候我须要同时兼顾几台服务器的管理运维，一个个复制粘贴登录地址感受仍是很麻烦的。windows

后面也是在论坛上看到别人推荐另一款目前免费的面板云帮手（官网），云帮手是一款服务器管理软件，支持windows和linux系统，可以批量集群管理多个云服务器，不限云服务厂商、站点数量和主机数量，同时还兼容Windows、CentOS、Ubuntu、Debian、OpenSUSE、Fedora等云服务器操做系统。安全

并且云帮手安全防御功能能够提供端口白名单、IP 黑白名单、网络链接管控等网络安全管理功能，安全巡检功能能够及时发现系统存在的安全风险、系统漏洞，能够一键修复系统漏洞、加固系统，提升系统安全性。 目前有Windows电脑端、 Mac电脑端、 Android移动端、 Ios移动端，我用了一段时间感受整体的功能还行吧，缺点就是软件应用的支持度还不够，WEB端还未上线，但愿快点更新吧，没有用过的能够考虑去体验一下。服务器