最近這幾年,網站安全越來越嚴格,之前用dedecms做的學校網站被網監通報并要求過二級等保才能上線,國内能過二級的cms很少,下載下傳了好幾個cms對比,最終确定用pageadmin cms改版,但是在做二級等保時候檢測機構提示網站有暴力破解漏洞被駁回,後來看了論壇幫助後解決了這個問題,并且成功通過了公安部二級等保。
pageadmin的免費版本下載下傳的時候,預設安全設定都是沒有開啟的,但是其實背景提供了三種方式來保護使用者登入密碼的安全性,我們可以根據自己需要來組合使用,一般開啟登入鎖定後,過等保就沒有問題了。
方法一
開啟使用者登入驗證碼,使用者>>使用者系統設定,如下圖:
這個有一點點會影響使用者體驗,畢竟需要使用者多輸入資訊,我個人是沒有開啟的。
方法二
設定密碼複雜程度,系統>系統設定,設定界面如下圖:
對于安全要求比較高的網站,可以采用這個方式。
下面提供一些常用的正則。
1、密碼可以由6~12位英文字母、數字和下劃線構成
[0-9a-zA-z_]{6,12}
2、密碼必須包含6~12數字、英文字母、特殊字元構成
(?=.[0-9])(?=.[a-zA-Z])(?=([x21-x7e]+)
1).{6,12}
3、密碼必須包含6~12數字、英文字母、特殊字元構成,而且必須包含大寫和小寫字母
(?=.[0-9])(?=.[a-z])(?=.*[A-Z])(?=([x21-x7e]+)
但是我個人覺得這種方式有點影響使用者體驗,很多學生不喜歡用太複雜的密碼,基本都簡單的字母和數字組合,是以我也沒有采用,避免之前使用者登入不上。
方法三
增加登入出錯次數鎖定,系統>系統設定,和密碼複雜程度同一個界面,設定如下圖。
新網站現在采用的這個方式後,開啟了等保那邊直接通過檢測了,出錯數上限和鎖定時間根據安全級别自行設定即可,尤其出錯數上線不能設定太小了,要不很多人偶爾輸錯一兩次就把人家給鎖定了有點過分,我建議設定為5次,鎖定30分鐘就可以了。
- a-zA-Z0-9 ↩