宝塔面板后台被暴力破解？教你锁死端口

很多新手站长在服务器上安装宝塔面板后，发现后台登录日志里全是陌生的IP和失败的登录尝试，这就是典型的暴力破解攻击。
攻击者通过不断尝试端口和密码，试图撬开你的后台大门。
其实只需要简单几个操作，就能让这些破解请求全部撞墙。

第一步：修改宝塔面板的默认端口

宝塔面板的默认端口是8888，所有攻击者都知道。
改成不常用的端口，立即屏蔽掉90%的扫描流量。

登录宝塔面板后台 → 侧边栏点击 面板设置 → 找到 面板端口 输入框 → 填入一个5位数端口（比如54321，避开常用服务端口如80、443、3306等） → 点击 保存。
保存后面板会自动刷新，下次访问就需要用新的端口号了（比如 http://你的服务器IP:54321）。

如果无法访问新端口，可能是系统防火墙没有放行，先继续看下一步。

第二步：在服务器防火墙中放行并限制端口

不论你用哪种云服务器（阿里云、腾讯云、华为云等），都需要在服务器安全组（云防火墙） 和 宝塔系统防火墙 中放行新端口，同时最好只允许你自己的IP访问。

云服务器安全组设置

登录云服务器控制台 → 找到你的实例 → 点击 安全组 → 添加入方向规则：

• 端口范围：54321（你刚才设置的端口）
• 授权对象：你家里的公网IP/32（比如 1.2.3.4/32，只允许你一个人访问）
• 协议：TCP

如果你没有固定公网IP，可以先用 0.0.0.0/0 暂时放通所有IP，然后尽快配置宝塔系统防火墙的IP限制。

宝塔系统防火墙设置

宝塔面板侧边栏 → 安全 → 系统防火墙 → 添加端口规则：

• 端口：54321
• 协议：TCP
• 来源IP：你的公网IP（只填你自己的IP，不要填0.0.0.0/0）
• 动作： 允许

添加完成后，在 SSH端口 和 其他常用端口（如80、443）上也建议做IP白名单限制，或者至少设置源IP为“所有IP”时只允许常用协议，避免攻击者从其他入口入侵。

第三步：关闭面板的SSH端口和远程端口修改

很多暴力破解还针对SSH端口（默认22）。
建议在宝塔安全页面中将SSH端口也改成不常用端口，并启用 SSH密钥登录（设置 > SSH管理 > 密钥），废弃密码登录。

操作路径：宝塔面板 → 安全 → SSH管理 → 勾选 禁用密码登录 → 点击 保存。
如果你还没配置密钥，先通过面板的 添加密钥 功能生成并下载到本地。

常见问题与避坑

问：改了端口之后宝塔面板打不开了怎么办？
大多数情况是云安全组或系统防火墙没有放行新端口。先通过云控制台的VNC或者服务器控制台登录服务器，检查防火墙状态。如果是iptables：iptables -L -n 看看是否有DROP规则。或者直接重新执行 firewall-cmd --add-port=54321/tcp --permanent 并 firewall-cmd --reload（CentOS 7/8）。

问：我家里没有固定IP，怎么设置白名单？
可以用手机热点获取临时公网IP，或者每次远程前先查询自己当前IP（访问 ip.sb），再修改安全组。如果经常变动，建议使用 端口敲门 功能或购买固定IP。

问：设置完IP白名单后，自己也无法访问怎么办？
说明你填写的IP不对。确认公网IP（不是内网IP），可以用手机浏览器访问宝塔面板，因为手机通常使用流量，IP是公网。如果还不行，先用云控制台连接服务器，删除或放宽防火墙规则。

效果验证

完成以上设置后，尝试用其他IP（比如手机蜂窝网络）访问你的宝塔面板新端口，应该被拒绝连接。
再用你的授权IP访问，可以正常看到登录页面。
你可以在宝塔安全页面查看攻击拦截日志，会发现来自陌生IP的请求全部被挡在门外。

如果你正在处理宝塔面板后台被暴力破解的困扰，建议先按本文步骤完整执行，再根据自己的环境微调端口和IP白名单。
遇到异常时优先回看避坑和高频问题部分。
安全无小事，锁死端口只是第一步，后续还可以加上双因素认证和登录失败锁定策略，但今天这几个操作已经能让绝大多数攻击者知难而退。