PageAdmin CMS预防用户密码被暴力破解的解决办法

2020-11-27 10:55:27 浏览数 (1)

最近这几年,网站安全越来越严格,之前用dedecms做的学校网站被网监通报并要求过二级等保才能上线,国内能过二级的cms很少,下载了好几个cms对比,最终确定用pageadmin cms改版,但是在做二级等保时候检测机构提示网站有暴力破解漏洞被驳回,后来看了论坛帮助后解决了这个问题,并且成功通过了公安部二级等保。

pageadmin的免费版本下载的时候,默认安全设置都是没有开启的,但是其实后台提供了三种方式来保护用户登录密码的安全性,我们可以根据自己需要来组合使用,一般开启登录锁定后,过等保就没有问题了。

方法一

开启用户登录验证码,用户>>用户系统设置,如下图:

这个有一点点会影响用户体验,毕竟需要用户多输入信息,我个人是没有开启的。

方法二

设置密码复杂程度,系统>系统设置,设置界面如下图:

对于安全要求比较高的网站,可以采用这个方式。

下面提供一些常用的正则。

1、密码可以由6~12位英文字母、数字和下划线构成

代码语言:javascript复制
[0-9a-zA-z_]{6,12}

2、密码必须包含6~12数字、英文字母、特殊字符构成

代码语言:javascript复制
(?=.*[0-9])(?=.*[a-zA-Z])(?=([x21-x7e] )[^a-zA-Z0-9]).{6,12}

3、密码必须包含6~12数字、英文字母、特殊字符构成,而且必须包含大写和小写字母

代码语言:javascript复制
(?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=([x21-x7e] )[^a-zA-Z0-9]).{6,12}

但是我个人觉得这种方式有点影响用户体验,很多学生不喜欢用太复杂的密码,基本都简单的字母和数字组合,所以我也没有采用,避免之前用户登录不上。

方法三

增加登录出错次数锁定,系统>系统设置,和密码复杂程度同一个界面,设置如下图。

新网站现在采用的这个方式后,开启了等保那边直接通过检测了,出错数上限和锁定时间根据安全级别自行设置即可,尤其出错数上线不能设置太小了,要不很多人偶尔输错一两次就把人家给锁定了有点过分,我建议设置为5次,锁定30分钟就可以了。

0 人点赞