宝塔面板网站防篡改设置:宝塔面板防篡改设置新手教程
网站文件被篡改是站长常遇到的噩梦,轻则页面被挂马,重则数据丢失。
宝塔面板自带的防篡改功能可以帮你锁定关键目录,阻止非授权修改。
这篇教程我会把准备条件、操作步骤、容易踩的坑和验证方法一次讲清楚,零基础也能直接照做。
开始前你需要确认的两件事
在动手设置前,先检查这两个地方:
- 宝塔面板版本:最好升级到 7.9 以上(老版本可能没有“防篡改”插件)。在面板首页右上角可以手动检查更新。
- 网站运行环境:防篡改插件对 Apache 和 Nginx 都支持,但如果你用了某些第三方防火墙,可能需要先关闭冲突规则。
另外,建议先在测试站或非核心站点上试一遍,确认无误后再应用到生产环境,免得误锁导致业务异常。
第一步:安装并开启防篡改插件
登录宝塔面板,左侧菜单找到“软件商店”,在搜索框输入“防篡改”并回车。
你会看到 “防篡改插件”(由宝塔官方出品)。
点击“安装”,进度条走完即可。
安装完成后,回到面板首页,左侧菜单会出现“防篡改”的入口。
点击进入后,先切换到你想要保护的网站(右上角下拉选择站点)。
默认状态下,所有开关都是关闭的。
第二步:按需配置防护目录与排除规则
进入防篡改页面后,你会看到三个核心设置项:
- 防篡改开关:打开后,所有被勾选的目录都会被保护,禁止写入、修改和删除。
- 防护目录:默认会勾选
wwwroot也就是网站根目录。通常我们可以保留这个,但如果你有上传目录或缓存目录,需要手动排除。 - 白名单(排除目录):点击“添加排除目录”,把你需要保持可写的路径加进去,比如
/uploads、/runtime、/cache等。如果不加,上传功能、在线编辑器、部分 CMS 更新会报错。
特别注意:排除目录一定要加上,我见过很多新手一开防篡改,网站后台图片传不上,就是因为没排除上传目录。
如果站点有生成静态页面的功能,也要排除对应的缓存文件夹。
第三步:提交规则并检查生效状态
配置完成后,点击页面底部的“保存”或“应用”。
等待几秒钟,系统会提示“规则已生效”。
现在你可以做两个验证:
- 手动尝试修改文件:通过文件管理器或 FTP 任意修改一个受保护目录下的文件(比如 index.php),会提示“权限不足”或直接报错。
- 查看防护日志:在防篡改页面最下方有“防护记录”,每次拦截都会生成一条日志,包括被修改的文件路径和来源 IP。如果这里能看到记录,说明防护正常在工作。
常见问题与避坑提醒
Q:开启防篡改后网站无法访问怎么办?
A:先把开关关闭,然后检查是否错误地锁定了某些必要目录(比如 public 或 runtime)。确认后重新配置排除目录再启用。
Q:防篡改和宝塔 Nginx 防火墙冲突吗?
A:大部分情况不冲突,但如果防火墙也有文件防护规则,建议先关闭其中一个测试,避免双重拦截导致异常。
Q:为什么我改了排除目录后依然报错?
A:检查排除目录路径是否正确,比如上传目录在 public/uploads,你只写 /uploads 可能没生效。用绝对路径(从站点根目录开始)最稳妥。
最后再提醒一句:防篡改不是一劳永逸,还需要配合定期备份和服务器系统更新。
如果你正在配置宝塔面板网站防篡改设置,建议先按本文步骤完整执行,再根据自己的CMS做微调;
遇到异常时优先回看避坑和高频问题部分。
