PageAdmin CMS预防用户密码被暴力破解的解决办法

简介: 最近这几年,网站安全越来越严格,之前用dedecms做的学校网站被网监通报并要求过二级等保才能上线,国内能过二级的cms很少,下载了好几个cms对比,最终确定用pageadmin cms改版,但是在做二级等保时候检测机构提示网站有暴力破解漏洞被驳回,后来看了论坛帮助后解决了这个问题,并且成功通过了公安部二级等保。

最近这几年,网站安全越来越严格,之前用dedecms做的学校网站被网监通报并要求过二级等保才能上线,国内能过二级的cms很少,下载了好几个cms对比,最终确定用pageadmin cms改版,但是在做二级等保时候检测机构提示网站有暴力破解漏洞被驳回,后来看了论坛帮助后解决了这个问题,并且成功通过了公安部二级等保。

pageadmin的免费版本下载的时候,默认安全设置都是没有开启的,但是其实后台提供了三种方式来保护用户登录密码的安全性,我们可以根据自己需要来组合使用,一般开启登录锁定后,过等保就没有问题了。

方法一

开启用户登录验证码,用户>>用户系统设置,如下图:
1.png

这个有一点点会影响用户体验,毕竟需要用户多输入信息,我个人是没有开启的。

方法二

设置密码复杂程度,系统>系统设置,设置界面如下图:
2.png

对于安全要求比较高的网站,可以采用这个方式。

下面提供一些常用的正则。

1、密码可以由6~12位英文字母、数字和下划线构成

[0-9a-zA-z_]{6,12}

2、密码必须包含6~12数字、英文字母、特殊字符构成

(?=.[0-9])(?=.[a-zA-Z])(?=([x21-x7e]+)1).{6,12}

3、密码必须包含6~12数字、英文字母、特殊字符构成,而且必须包含大写和小写字母

(?=.[0-9])(?=.[a-z])(?=.*[A-Z])(?=([x21-x7e]+)1).{6,12}

但是我个人觉得这种方式有点影响用户体验,很多学生不喜欢用太复杂的密码,基本都简单的字母和数字组合,所以我也没有采用,避免之前用户登录不上。

方法三

增加登录出错次数锁定,系统>系统设置,和密码复杂程度同一个界面,设置如下图。

3.jpg

新网站现在采用的这个方式后,开启了等保那边直接通过检测了,出错数上限和锁定时间根据安全级别自行设置即可,尤其出错数上线不能设置太小了,要不很多人偶尔输错一两次就把人家给锁定了有点过分,我建议设置为5次,锁定30分钟就可以了。


  1. a-zA-Z0-9
相关文章
|
10月前
|
安全 Android开发 iOS开发
深入探讨Android与iOS操作系统的差异性
本文旨在通过对比分析Android和iOS两大主流移动操作系统,揭示它们在设计理念、用户体验、安全性、应用生态及系统更新等方面的根本差异。不同于传统的功能列表式摘要,本摘要强调了两大系统背后的哲学思想及其对用户日常使用的实际影响,为读者提供了一个宏观且深入的视角来理解这两种操作系统的独特之处。
|
Ubuntu 应用服务中间件 Linux
nginx 配置代理ip访问https的域名配置
nginx 配置代理ip访问https的域名配置
2575 2
|
云安全 安全 Oracle
安全基线核查
安全基线核查
2865 0
安全基线核查
|
算法 定位技术 云计算
《阿里技术参考图册——研发篇》电子版地址
《阿里技术详解图册》,分为研发篇、算法篇两册,将为你清晰呈现阿里业务生 态的全貌:文化娱乐(优酷、土豆等)、核心电商业务(天猫、淘宝、村淘等)、 本地生活(高德地图、盒马等)、支付 & 金融服务(蚂蚁金服)、智慧物流(菜 鸟)、市场营销(阿里妈妈)、云计算(阿里云)等。
78 0
《阿里技术参考图册——研发篇》电子版地址
|
人工智能 自然语言处理 机器人
Siri太笨,根本打不过ChatGPT!苹果加急测试语言生成AI
Siri太笨,根本打不过ChatGPT!苹果加急测试语言生成AI
231 0
|
前端开发
CSS学习笔记(十二) 显示方式
CSS学习笔记(十二) 显示方式
127 0
|
存储 测试技术 开发工具
|
关系型数据库 MySQL 数据库
MySQL基础操作(中)
数据库的增删改查
123 0
环状序列
环状序列
114 0