【已解答】windows的宝塔面板的安全性讨论

用了很久的windows宝塔面板，去年一个网站被入侵，发现windows面板的所有网站都被跨站，再后来换了服务器，清理木马还是时不时被一锅端。
年后一台服务器还是如此，程序肯定不完美，一个网站被入侵，所有的都被跨站不太能理解。

后来我发现windows宝塔面板为每个网站建立了独立的用户，网站赋予了新用户的网站根目录权限，同时还赋予了iis的进程权限，按道理说这样的安全是没有问题的。
可为什么还是被跨站呢？

宝塔用户_ihtklr · 发表于 2026-3-14 08:43:32

我继续排查发现，应用程序池虽然每个网站都是独立的应用程序池，但是每个应用池都使用的ApplicationPoolIdentity账号，都是一个默认账号，这才是跨站的根源吧？

应用程序池使用同一内置账号，系统的文件隔离是不是就不彻底？

宝塔为什么不调用appcmd直接设置相关账号信息，为每个应用程序池指定文件夹的同一账号，这样能实现彻底的文件隔离。

大炮运维V587 · 发表于 6 天前

您好，感谢您的反馈，当前不准备做其他修改，建议您查下当前的网站漏洞，进行漏洞修复来解决当前跨站的问题。

【菠萝云】16G内存99¥免费装宝塔	A2招租，联系qq394030111	A3招租，联系qq394030111	✅易探云·香港/美国vps仅9元	【UStat】免费易用的网站分析平台
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	A8招租，联系qq394030111	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
A11招租，联系qq394030111	A12招租，联系qq394030111	OV/EV SSL证书，可当日签发	A14招租，联系qq394030111	【UStat】免费易用的网站分析平台