从宝塔毕业后,我更推荐原生方案
建站面板怎么选:我更推荐原生方案
很多人第一次接触云服务器,都是从宝塔开始的。
这很正常。新手刚拿到一台 VPS,不熟悉 ssh,不会看 htop,对 vim 头疼,也不知道 Nginx、PHP、MySQL、证书、计划任务和防火墙该怎么串起来。这个时候,一个能看 CPU、内存、磁盘、网络流量,能一键装 LNMP,还能点几下创建网站和数据库的面板,确实像新手向导。
但面板不是免费的午餐。它省下来的命令行学习成本,最后可能会变成隐私成本、安全成本、资源占用、插件依赖和迁移成本。
我的结论先放前面:
- 能力强、正式站、重视隐私和长期维护:优先原生方案。
- 喜欢开源和 Docker 自托管:可以选 1Panel。
- 只想快速搭 PHP/WordPress:宝塔能用,但我不会优先推荐给隐私敏感用户。
- 想避开宝塔国内版账号体系:可以看 aaPanel,但它的 Pro 和插件价格不算低。
- 本地开发、临时练手:小皮面板可以用,生产环境不优先推荐。
先看粗略对比
| 方案 | 推荐程度 | 适合谁 | 主要问题 |
|---|---|---|---|
| 原生方案 | 强烈推荐给有能力的人 | 长期正式站、重隐私、重安全、想少依赖第三方 | 学习成本高,备份、监控、证书、日志都要自己管 |
| 1Panel | 推荐 | Docker 自托管、个人服务器、开源偏好用户 | Docker 化更吃资源,部分高级功能收费 |
| 宝塔 | 谨慎推荐 | 传统 PHP 站、WordPress、临时快速交付 | 安全黑历史、国内版绑定账号/手机号、商业化组件多 |
| aaPanel | 可选 | 想要宝塔类似体验但不想用国内版的人 | 免费核心可用,但 Pro/插件价格更高 |
| 小皮面板 | 只推荐练手或测试 | 本地开发、新手起环境、临时项目 | 产品比较古老,bug 和细节问题相对多 |
宝塔:曾经很好用,但信任已经变贵了
宝塔的优点不用否认。传统建站要的东西它基本都有:网站、数据库、FTP、SSL、计划任务、文件管理、PHP 多版本、反向代理、伪静态、备份、软件商店。对刚入门的人来说,它确实能把一堆 Linux 操作压缩成几个按钮。
但我现在不会把宝塔放在第一推荐,原因主要有几个。
1. 隐私和信任问题
宝塔国内版的账号体系、手机号绑定,以及一些用户对后台通讯行为的抓包讨论,都会让重视隐私的人不舒服。
2020 年 11 月那次直播中断事件在网上有很多传言,但传言不是事实,我不把它当作判断依据。真正的问题是:当一个服务器面板绑定了国内账号体系,并且它本身又拥有很高的机器权限,用户天然会开始在意它到底收集了什么、上传了什么、谁能看到。
普通个人站长不做灰黑产,通常不会因此立刻遇到问题。但服务器是自己的生产环境,背后多一层不可控关系,心里总归会别扭。
2. 界面越来越重,商业化存在感越来越强
早期宝塔的吸引力是简单:看状态、装环境、建站、管数据库。
后面它的功能越来越多,安全、Docker、监控、企业版广告、人工服务、付费插件这些东西在界面里的存在感也越来越强。问题不是它收费,软件当然可以收费;问题是当你明明不需要某些组件,它仍然长期占据界面和工作流时,体验就会变差。
对老用户来说,这种变化很明显:面板不再只是一个轻量工具,而是逐渐变成一个商业生态入口。
3. 更新带来的稳定性焦虑
面板要经常更新,这本来是好事,尤其是安全问题必须修。但宝塔这类高权限面板一旦更新出问题,影响会很直接。
一些老用户反馈过页面样式丢失、SSL 续签异常、计划任务界面损坏、文件操作被误判阻止等问题。哪怕这些不是每个人都会遇到,只要发生在生产环境里,就足够让人烦躁。
你本来用面板是为了省心,结果更新后还要排查面板本身的问题,这就有点本末倒置了。
4. LNMP 环境不一定轻,也不一定适合所有程序
宝塔的一键 LNMP 很方便,但默认配置不一定适合低配机器。1C1G、1C2G 的小服务器,如果 MySQL、PHP-FPM、Nginx、面板和站点一起跑,内存很容易紧张。
另外,宝塔对 PHP 函数禁用、插件预装、系统库路径和环境配置都有自己的处理方式。有些程序安装时会遇到奇怪兼容问题,比如 Flarum、早期 Cloudreve 这类对环境比较挑的项目,排查起来不一定比原生环境省事。
5. 安全问题是最硬的减分项
宝塔和 aaPanel 都是高权限服务器面板。它们管理网站、数据库、文件、证书、计划任务、服务进程,有时还会接触 root 权限。一旦面板本身或插件出严重漏洞,风险不是“某个网页坏了”,而可能是整台机器失守。
几个典型事件:
| 时间 | 事件 | 影响 |
|---|---|---|
| 2020-08 | 宝塔 phpMyAdmin 数据库未授权访问 | 360CERT 将漏洞等级评为严重,远程访问特定路径可能直接进入 phpMyAdmin |
| 2020-06 | aaPanel through 6.6.6 远程命令执行 | CVE-2020-14421,认证用户可通过计划任务脚本内容执行命令 |
| 2020-06 | aaPanel through 6.6.6 命令注入 | CVE-2020-14950,影响软件商店服务管理请求 |
| 2022-03 | aaPanel 6.8.21 目录穿越 | CVE-2022-26252,NVD 描述中提到可能获取 root 用户私钥 |
| 2022-12 | Nginx 备份文件挂马争议 | 社区有讨论,官方有否认,这类未定性事件只能作为风险提醒 |
漏洞本身不是某一家独有的问题,任何流行软件都可能被挖漏洞。真正让我介意的是:面板权限太高,漏洞爆发时影响面太大。对正式站点来说,少暴露一个高权限 Web 面板,本身就是很有效的安全策略。
aaPanel:宝塔海外版思路,但价格不一定香
aaPanel 可以理解成宝塔海外体系的代表。它的思路还是传统 Web Hosting Control Panel:网站、数据库、FTP、文件管理、SSL、Docker、WordPress 工具、WAF、文件保护等。
如果你喜欢宝塔的操作方式,但不想用国内版账号体系,可以考虑 aaPanel。
但它不是“免费平替宝塔”。aaPanel 免费版能用,官网也写了 Basic 免费;但 Professional、WAF、文件保护、网站统计、多账户等能力都可能进入付费范围。官网价格里,Professional 年付标价是美元计价,终身版也不便宜。
所以 aaPanel 的定位更像:
- 想要宝塔式操作体验。
- 服务器主要在海外。
- 能接受美元价格和插件收费。
- 不想用国内版宝塔账号体系。
如果只是个人小站,aaPanel 免费版够不够用,要看你是否需要 WAF、文件保护、多用户、网站统计和高级 WordPress 工具。
1Panel:开源、现代,但 Docker 不是白送的
1Panel 是我现在更愿意推荐给新手的面板。它主打开源、现代化界面、Docker 应用商店、网站管理、数据库管理、文件管理、服务器监控、备份恢复和容器管理。对今天常见的自托管玩法来说,它比传统 PHP 面板更顺手。
它适合部署这些东西:
- Halo、WordPress、Typecho
- Uptime Kuma、哪吒监控、RustDesk
- MySQL、PostgreSQL、Redis
- Alist、Umami、Vaultwarden
- 各种 Docker 自托管应用
但 1Panel 的优点也是它的缺点:它大量围绕 Docker 工作。
Docker 的好处是应用隔离、部署方便、迁移清晰;缺点是低配机器上资源占用更明显。1C1G 的机器再跑多个容器,很容易开始交换内存。对只想跑一个静态站或一个小 WordPress 的人来说,原生 Nginx/Caddy 反而更轻。
另外,1Panel 社区版确实开源免费,但不是所有能力都免费。官方版本对比里,专业版会包含多机管理、移动端、WAF、防篡改、网站监控报表、告警等能力。个人用户只用基础功能问题不大,如果想要完整安全和运维能力,就要接受付费。
我的评价是:1Panel 适合个人自托管和现代应用部署,但低配机器不要无脑堆容器。
小皮面板:适合练手,不适合长期依赖
小皮面板,也就是 XP.cn/phpStudy 这一系,很多人最早是从本地 PHP 环境认识它的。它的优点是门槛低,点几下就能把 PHP、MySQL、Redis、网站、文件管理这些东西跑起来。
但小皮的问题也比较明显:产品气质偏老,面板细节和 bug 相对更多,生产环境里遇到问题时,排查体验通常不如原生方案清晰,也不如宝塔那样有大量教程覆盖。
我的建议很简单:
- 本地开发可以用。
- 新手练手可以用。
- 临时环境可以用。
- 长期生产站点不优先用。
原生方案:能力强就选它
原生方案不是“什么工具都不用”,而是不把整台服务器交给一个高权限 Web 面板。你自己组合清楚的组件,每个组件只做自己的事。
我更推荐的组合是:
| 需求 | 推荐 |
|---|---|
| 系统 | Debian / Ubuntu LTS |
| Web 服务 | Caddy、Nginx、OpenResty |
| 应用部署 | Docker Compose、systemd、PM2 |
| HTTPS | Caddy 自动证书,或 acme.sh / Certbot |
| 数据库 | MySQL、PostgreSQL、Redis |
| 备份 | restic、rclone、mysqldump、定时任务 |
| 监控 | Uptime Kuma、Netdata、云厂商监控 |
| 安全 | UFW、fail2ban、SSH Key、最小权限 |
原生方案的优点很直接:
- 不需要暴露一个高权限 Web 面板。
- 不需要绑定手机号或依赖面板账号体系。
- 迁移更清楚,配置文件、Compose 文件、数据库备份都能带走。
- 出问题更容易定位,不会被面板隐藏太多细节。
- 安全边界更可控,用不到的东西根本不安装。
- 低配机器上可以更轻,不需要额外跑一套面板服务。
缺点也真实:你要懂日志、权限、端口、防火墙、证书续期、备份恢复。它不适合完全不想学习 Linux 的人。
但如果你已经能看懂 docker compose logs、systemctl status、nginx -t、journalctl -u,那我会把原生方案放在第一推荐。
最后的选择建议
| 场景 | 我会选 |
|---|---|
| 正式站点,长期维护,重视隐私 | 原生方案 |
| 低配 VPS,只跑一个小站 | 原生 Caddy/Nginx,少装面板 |
| 想玩自托管 Docker 应用 | 1Panel 或原生 Docker Compose |
| 新手想快速看到网站跑起来 | 1Panel |
| 传统 PHP/WordPress 交付型网站 | 宝塔,但要锁好入口和备份 |
| 不想用宝塔国内版 | aaPanel |
| 本地开发或临时测试 | 小皮面板 |
面板安全清单
如果最后还是要用面板,至少做这些事:
- 面板入口不要裸奔公网,尽量限制 IP 或放到内网/VPN 后面。
- 不要用默认端口、默认用户名和弱密码。
- 能开双因素认证就开。
- 插件少装,用不到就卸载。
- 备份要离机保存,不要只放在同一台服务器。
- 先演练恢复流程,再相信自己的备份。
- 面板更新、系统更新、数据库更新都不要长期拖。
- 重要站点不要把面板当作唯一运维手段,至少要知道如何 SSH 进去救场。
参考
- Dana. (2022, December 10). 浅谈为什么放弃宝塔. Tempest. https://www.tempest.zone/archives/635
- 1Panel:https://1panel.cn/
- 1Panel 版本对比:https://1panel.cn/versions.html
- 宝塔面板文档:https://docs.bt.cn/
- aaPanel Pricing:https://www.aapanel.com/new/pricing.html
- 小皮面板:https://www.xp.cn/
- 360CERT 宝塔面板数据库管理未授权访问漏洞通告:https://cert.360.cn/warning/detail?id=896274887c1ffc751c876eb5cf3db3ad
- CVE-2020-14421:https://www.cvedetails.com/cve/CVE-2020-14421/
- CVE-2020-14950:https://www.cisa.gov/news-events/bulletins/sb20-181
- CVE-2022-26252:https://nvd.nist.gov/vuln/detail/CVE-2022-26252