因为每次修改都要开vpn好麻烦，直接放开公网了。 
当前做了如下安全措施： 

使用nginx反代，且配置fail2ban
禁止纯ip访问
证书使用范域名证书
https开放在高位端口
增加自定义path，防止被猜路径
出现404错误路径时直接断开连接，而不是返回404页面，减少服务被扫描
关闭admin功能