PageAdmin CMS预防用户密码被暴力破解的解决办法

简介: 最近这几年,网站安全越来越严格,之前用dedecms做的学校网站被网监通报并要求过二级等保才能上线,国内能过二级的cms很少,下载了好几个cms对比,最终确定用pageadmin cms改版,但是在做二级等保时候检测机构提示网站有暴力破解漏洞被驳回,后来看了论坛帮助后解决了这个问题,并且成功通过了公安部二级等保。

最近这几年,网站安全越来越严格,之前用dedecms做的学校网站被网监通报并要求过二级等保才能上线,国内能过二级的cms很少,下载了好几个cms对比,最终确定用pageadmin cms改版,但是在做二级等保时候检测机构提示网站有暴力破解漏洞被驳回,后来看了论坛帮助后解决了这个问题,并且成功通过了公安部二级等保。

pageadmin的免费版本下载的时候,默认安全设置都是没有开启的,但是其实后台提供了三种方式来保护用户登录密码的安全性,我们可以根据自己需要来组合使用,一般开启登录锁定后,过等保就没有问题了。

方法一

开启用户登录验证码,用户>>用户系统设置,如下图:
1.png

这个有一点点会影响用户体验,毕竟需要用户多输入信息,我个人是没有开启的。

方法二

设置密码复杂程度,系统>系统设置,设置界面如下图:
2.png

对于安全要求比较高的网站,可以采用这个方式。

下面提供一些常用的正则。

1、密码可以由6~12位英文字母、数字和下划线构成

[0-9a-zA-z_]{6,12}

2、密码必须包含6~12数字、英文字母、特殊字符构成

(?=.[0-9])(?=.[a-zA-Z])(?=([x21-x7e]+)1).{6,12}

3、密码必须包含6~12数字、英文字母、特殊字符构成,而且必须包含大写和小写字母

(?=.[0-9])(?=.[a-z])(?=.*[A-Z])(?=([x21-x7e]+)1).{6,12}

但是我个人觉得这种方式有点影响用户体验,很多学生不喜欢用太复杂的密码,基本都简单的字母和数字组合,所以我也没有采用,避免之前用户登录不上。

方法三

增加登录出错次数锁定,系统>系统设置,和密码复杂程度同一个界面,设置如下图。

3.jpg

新网站现在采用的这个方式后,开启了等保那边直接通过检测了,出错数上限和锁定时间根据安全级别自行设置即可,尤其出错数上线不能设置太小了,要不很多人偶尔输错一两次就把人家给锁定了有点过分,我建议设置为5次,锁定30分钟就可以了。


  1. a-zA-Z0-9
相关文章
|
3月前
|
安全 Java 应用服务中间件
Tomcat弱口令+后端getshell漏洞
Tomcat弱口令+后端getshell漏洞
82 6
|
XML 开发框架 安全
记一次后门爆破到提权实战案例
记一次后门爆破到提权实战案例
89 0
|
安全 关系型数据库 MySQL
PHPInfo()信息泄漏——综合利用提权
PHPInfo()信息泄漏——综合利用提权
1307 0
PHPInfo()信息泄漏——综合利用提权
|
安全 数据安全/隐私保护
锁群管理系统v2.0存在弱口令漏洞
锁群管理系统v2.0存在弱口令漏洞
锁群管理系统v2.0存在弱口令漏洞
|
JavaScript 中间件 数据安全/隐私保护
【每日渗透笔记】后台弱口令+未授权尝试
【每日渗透笔记】后台弱口令+未授权尝试
226 0
【每日渗透笔记】后台弱口令+未授权尝试
|
安全 前端开发 关系型数据库
网站漏洞扫描 某CMS代码的越权与install.php重置漏洞
客户网站前端时间被攻击,网站被劫持到了赌博网站上去,通过朋友介绍找到我们SINESAFE做网站的安全防护,我们随即对客户网站进行了全面的渗透测试,包括了网站的漏洞检测与代码安全测试,针对于发现的漏洞进行了修复,包括网站安全部署等等方面,下面我们将这一次的安全应急处理过程分享给有需要的客户。
200 0
网站漏洞扫描 某CMS代码的越权与install.php重置漏洞
|
安全 程序员 测试技术
网站安全检测之用户密码找回网站漏洞的安全分析与利用
我们SINE安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上,也会存在绕过安全问题回答,或者绕过手机号码,直接修改用户的账户密码。
178 0
网站安全检测之用户密码找回网站漏洞的安全分析与利用
|
SQL 缓存 安全
phpcms2008网站漏洞修复 远程代码写入缓存漏洞利用
SINE安全公司在对phpcms2008网站代码进行安全检测与审计的时候发现该phpcms存在远程代码写入缓存文件的一个SQL注入漏洞,该phpcms漏洞危害较大,可以导致网站被黑,以及服务器遭受黑客的攻击,关于这次发现的phpcms漏洞细节以及如何利用提权我们来详细剖析。
153 0
phpcms2008网站漏洞修复 远程代码写入缓存漏洞利用
|
SQL 安全 数据可视化
齐博cms最新SQL注入网站漏洞 可远程执行代码提权
齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢。开发架构使用的是php语言以及mysql数据库,强大的网站并发能力。于近日,我们SINE安全公司发现齐博cms又爆出高危的sql注入漏洞,关于该网站漏洞的详情,我们来详细的分析漏洞的产生以及如何利用。
655 0
齐博cms最新SQL注入网站漏洞 可远程执行代码提权
|
SQL 弹性计算 安全
修复网站漏洞对phpmyadmin防止被入侵提权的解决办法
phpmyadmin是很多网站用来管理数据库的一个系统,尤其是mysql数据库管理的较多一些,最近phpmysql爆出漏洞,尤其是弱口令,sql注入漏洞,都会导致mysql的数据账号密码被泄露,那么如何通过phpmyadmin来上传提权webshell呢
257 0
修复网站漏洞对phpmyadmin防止被入侵提权的解决办法