- 注册
- 2026/01/08
- 消息
- 22
本文适用于 XenForo 2.2 / 2.3 + 宝塔面板,目标是:
降低被扫、被撞库、被入侵的风险,同时不明显影响性能。
在开始之前,请记住这 3 条:
系统层安全 > 插件安全
后台安全是第一优先级
够用即可,别过度防护
后台 → 设置 → 基本选项 → 设置站点 URL 为 https://
默认:
改为例如:
修改方法:
能挡掉 80% 扫描器
宝塔 → 安全 → 防火墙
建议:
不要:
后台 → 用户 → 用户组选项
宝塔 → 网站 → 设置 → 防火墙
特别适合:
推荐权限:
避免长期使用 777
确保以下目录 不可被 Web 直接访问:
后台 → 设置 → 安全选项:
建议至少做 2 项:
垃圾账号 ≠ 安全问题,但会拖垮站点。
只安装:
不要:
每月至少检查一次。
宝塔 → 计划任务 → 数据库备份
装一堆“安全插件”
后台暴露公网 + 弱密码
插件长期不更新
777 权限常驻
不看日志
✔ HTTPS 已启用
✔ 后台入口已改名
✔ 管理员启用 2FA
✔ 防火墙配置完成
✔ 插件来源可信
✔ 自动备份正常
把上面这份清单做到位,
90% 的自动化攻击都会与你无关。
降低被扫、被撞库、被入侵的风险,同时不明显影响性能。
一、安全加固的核心原则(先看)
在开始之前,请记住这 3 条:
系统层安全 > 插件安全 后台安全是第一优先级 够用即可,别过度防护二、基础必做项(不做=裸奔)
使用 HTTPS(必须)
- 强制全站 HTTPS
- 禁止 HTTP 访问后台
后台 → 设置 → 基本选项 → 设置站点 URL 为 https://
修改后台入口文件名(非常重要)
默认:
代码:
admin.php改为例如:
代码:
cnxf-admin.php- 重命名根目录下 admin.php
- 访问新后台地址测试是否正常
能挡掉 80% 扫描器 开启宝塔防火墙(基础防护)
宝塔 → 安全 → 防火墙
- 放行:80 / 443
- 关闭不必要端口
- 后台端口只允许固定 IP(如可行)
三、后台与账号安全(重点)
管理员账号规范
建议:
- 管理员账号 ≤ 2 个
- 管理员不参与日常发帖
- 管理员账号使用 强密码 + 独立邮箱
不要:- admin / root / test 作为用户名
启用双重验证(2FA,强烈推荐)
后台 → 用户 → 用户组选项
- 管理员必须启用两步验证
- 推荐 Google Authenticator
限制后台访问 IP(可选但很有效)
宝塔 → 网站 → 设置 → 防火墙
- 只允许固定 IP 访问后台路径
- 其他 IP 拒绝
特别适合:- 个人站
- 小团队站点
四、文件与权限安全(经常被忽略)
正确设置目录权限
推荐权限:
代码:
文件:644
目录:755
data / internal_data:755(或 775)
保护关键目录
确保以下目录 不可被 Web 直接访问:
- /src/
- /cmd.php
- /internal_data/
代码:
location ~ ^/(src|internal_data|cmd\.php) {
deny all;
}五、XenForo 程序级安全设置
开启 XenForo 内置安全功能
后台 → 设置 → 安全选项:
- 启用 CSRF 防护
- 启用 XSS 防护
- 启用 Cookie 安全标志(HTTPS)
防垃圾注册与发帖(长期必做)
建议至少做 2 项:
- 邮箱验证
- 验证码(reCAPTCHA / hCaptcha)
- 限制新用户发帖频率
垃圾账号 ≠ 安全问题,但会拖垮站点。六、插件与主题安全(高风险点)
插件来源控制
只安装:
- 官方插件
- CNXF论坛插件
- 活跃维护插件
不要:- 破解插件
- 来路不明插件
插件权限最小化
- 插件默认权限不要全开
- 下载 / 管理权限分用户组
七、日志与备份(救命用)
开启并定期查看日志
- XenForo 错误日志
- 宝塔 / Nginx / PHP 日志
每月至少检查一次。 自动备份(必须)
- 数据库:每天
- 程序文件:每周
宝塔 → 计划任务 → 数据库备份
八、常见安全误区(一定要避开)
装一堆“安全插件” 后台暴露公网 + 弱密码 插件长期不更新 777 权限常驻 不看日志九、站长级安全检查清单(速查版)
✔ HTTPS 已启用
✔ 后台入口已改名
✔ 管理员启用 2FA
✔ 防火墙配置完成
✔ 插件来源可信
✔ 自动备份正常
结语(经验总结)
把上面这份清单做到位,
90% 的自动化攻击都会与你无关。