最近这几年,网站安全越来越严格,之前用dedecms做的学校网站被网监通报并要求过二级等保才能上线,国内能过二级的cms很少,下载了好几个cms对比,最终确定用pageadmin cms改版,但是在做二级等保时候检测机构提示网站有暴力破解漏洞被驳回,后来看了论坛帮助后解决了这个问题,并且成功通过了公安部二级等保。
pageadmin的免费版本下载的时候,默认安全设置都是没有开启的,但是其实后台提供了三种方式来保护用户登录密码的安全性,我们可以根据自己需要来组合使用,一般开启登录锁定后,过等保就没有问题了。
方法一
开启用户登录验证码,用户>>用户系统设置,如下图:
这个有一点点会影响用户体验,毕竟需要用户多输入信息,我个人是没有开启的。
方法二
设置密码复杂程度,系统>系统设置,设置界面如下图:
对于安全要求比较高的网站,可以采用这个方式。
下面提供一些常用的正则。
1、密码可以由6~12位英文字母、数字和下划线构成
[0-9a-zA-z_]{6,12}2、密码必须包含6~12数字、英文字母、特殊字符构成
(?=.*[0-9])(?=.*[a-zA-Z])(?=([\x21-\x7e]+)[^a-zA-Z0-9]).{6,12}3、密码必须包含6~12数字、英文字母、特殊字符构成,而且必须包含大写和小写字母
(?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=([\x21-\x7e]+)[^a-zA-Z0-9]).{6,12}但是我个人觉得这种方式有点影响用户体验,很多学生不喜欢用太复杂的密码,基本都简单的字母和数字组合,所以我也没有采用,避免之前用户登录不上。
方法三
增加登录出错次数锁定,系统>系统设置,和密码复杂程度同一个界面,设置如下图。
新网站现在采用的这个方式后,开启了等保那边直接通过检测了,出错数上限和锁定时间根据安全级别自行设置即可,尤其出错数上线不能设置太小了,要不很多人偶尔输错一两次就把人家给锁定了有点过分,我建议设置为5次,锁定30分钟就可以了。