PageAdmin CMS预防用户密码被暴力破解的解决办法

最近这几年，网站安全越来越严格，之前用dedecms做的学校网站被网监通报并要求过二级等保才能上线，国内能过二级的cms很少，下载了好几个cms对比，最终确定用pageadmin cms改版，但是在做二级等保时候检测机构提示网站有暴力破解漏洞被驳回，后来看了论坛帮助后解决了这个问题，并且成功通过了公安部二级等保。

pageadmin的免费版本下载的时候，默认安全设置都是没有开启的，但是其实后台提供了三种方式来保护用户登录密码的安全性，我们可以根据自己需要来组合使用，一般开启登录锁定后，过等保就没有问题了。

方法一

开启用户登录验证码，用户>>用户系统设置，如下图：

PageAdmin CMS预防用户密码被暴力破解的解决办法

这个有一点点会影响用户体验，毕竟需要用户多输入信息，我个人是没有开启的。

方法二

设置密码复杂程度，系统>系统设置，设置界面如下图：

PageAdmin CMS预防用户密码被暴力破解的解决办法

对于安全要求比较高的网站，可以采用这个方式。

下面提供一些常用的正则。

1、密码可以由6~12位英文字母、数字和下划线构成

[0-9a-zA-z_]{6,12}

2、密码必须包含6~12数字、英文字母、特殊字符构成

(?=.*[0-9])(?=.*[a-zA-Z])(?=([\x21-\x7e]+)[^a-zA-Z0-9]).{6,12}

3、密码必须包含6~12数字、英文字母、特殊字符构成，而且必须包含大写和小写字母

(?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=([\x21-\x7e]+)[^a-zA-Z0-9]).{6,12}

但是我个人觉得这种方式有点影响用户体验，很多学生不喜欢用太复杂的密码，基本都简单的字母和数字组合，所以我也没有采用，避免之前用户登录不上。

方法三

增加登录出错次数锁定，系统>系统设置，和密码复杂程度同一个界面，设置如下图。

PageAdmin CMS预防用户密码被暴力破解的解决办法

新网站现在采用的这个方式后，开启了等保那边直接通过检测了，出错数上限和锁定时间根据安全级别自行设置即可，尤其出错数上线不能设置太小了，要不很多人偶尔输错一两次就把人家给锁定了有点过分，我建议设置为5次，锁定30分钟就可以了。