Documentation ComusThumbz
HTML Markdown Imprimer/PDF Texte Brut
Connexion Admin

Menu de Documentation


Accès Administrateur

Début

Aperçu général

La page de connexion Admin est le point d'entrée sécurisé du panneau d'administration ComusThumbz. Il fournit une authentification basée sur un mot de passe avec des fonctionnalités de sécurité avancées, y compris la limitation de vitesse, la protection de la force brute, et des mises à niveau de hachage automatique de mot de passe. Ceci est la première page d'administrateurs voir lors de l'accès au moteur.

[Screenshot: ctlogin-plein-page]

Aller à cette page

Accédez directement à la page de connexion via votre navigateur :

  • Motif URL & #160;: https://yourdomain.com/ct/admin/ctlogin.php
  • Suppléant : https://yourdomain.com/ct/admin/ (redirige à ctlogin.php si ce n'est pas authentifié)
Remarque:
Si vous êtes déjà connecté, accéder à cette page vous redirige automatiquement vers le tableau de bord principal.

Exigences du système

Configuration requise :
Cette page exige que les dépendances système suivantes fonctionnent correctement.

Exigences PHP

BesoinsMinimumRecommandationAnnexe
Version PHP8.38,4+Requis pour le mot de passehash() avec algorithmes modernes
limite de mémoire32 millions64 millionsExigences minimales de mémoire
maxexécutionheure3060Délai standard suffisant

Extensions PHP obligatoires

ProlongationRequisObjet
MysqliOuiConnectivité des bases de données
de la sessionOuiGestion des sessions pour l'état de connexion
OuvertureRecommandationAlgorithmes de hachage sécurisés du mot de passe

Fonctions PHP obligatoires

FonctionRequis pourAnnexe
de la sessiondébut()Gestion des séancesNe doit pas être désactivé
Mots de passehash()Stockage sécurisé des mots de passePHP 5.5+ intégré
mot de passevérifier()Validation du mot de passePHP 5.5+ intégré
besoin de mots de passe()Haches anciennes auto-upgradesPHP 5.5+ intégré
setcookie()Cookies de session héritésNe doit pas être désactivé
sommeil()Délai de la force bruteUtilisé pour 1 seconde de retard sur la connexion échouée

Autorisations de dossier

Chemin du dossierAutorisationPropriétaireObjet
/ct/logs/775www-donnéesErreur et enregistrement de sécurité

Exigences du serveur

ComposanteBesoins
Serveur WebApache 2.4+ avec modréécriture OU Nginx
Base de donnéesMySQL 5.7+ / MariaDB 10.3+
HTTPSFortement recommandé pour la transmission sécurisée des mots de passe

Exigences d'installation

Cette section documente tout ce dont le script d'installation a besoin pour configurer cette page correctement.

Dossiers requis

Chemin du dossierAutorisationCréé parAnnexe
ct/logs/775Installer le scriptErreur et enregistrement de sécurité
ct/includes/security/755Installer le scriptFichiers des classes de sécurité

Mise en page

[Screenshot: ctlogin-annotated-layout]

Éléments de page

ÉlémentDésignation des marchandises
1Zone du logoMarque ComusThumbz avec icônes et tagline
2Connexion ConteneurCarte blanche contenant le formulaire de connexion
3En-tête IcôneVerrouillage de l'icône indiquant une connexion sécurisée
4Titre de la pageIntitulé "Admin Login"
5Nom du siteAffiche le nom du site configuré depuis la base de données
6Message d'erreurBoîte d'alerte rouge (montre seulement sur la connexion ratée)
7Champ de mot de passeEntrée du mot de passe avec icône clé
8Ouvrir une session Boutonbouton dégradé vert pour soumettre la connexion
9Info versionAffiche la version actuelle du logiciel
10Pied de pageCopyright et lien vers le site de ComusThumbz

Caractéristiques et fonctions

Authentification du mot de passe

Le système de connexion prend en charge à la fois les mots de passe hashed modernes et les anciens mots de passe en texte simple pour la compatibilité arrière.

Flux d'authentification :

  1. L'utilisateur entre le mot de passe et soumet le formulaire
  2. Contrôle du système si IP est limité par le taux (bloquant)
  3. Si non bloqué, récupère le mot de passe admin de tblSettings
  4. Vérifier si le mot de passe stocké est un hash ou un texte simple:

- Oui. C'est bon. Utilisations passwordverify() pour une comparaison sécurisée - Texte simple: Comparaison directe des chaînes (mode légataire)

  1. Sur le succès:

- Mettre à jour automatiquement les mots de passe en texte clair pour sécuriser les hachages - Définit les variables de session pour l'authentification - Définit les cookies existants pour la compatibilité arrière - Réinitialise le limiteur de taux pour l'IP - Logs successful login - Redirige vers main.php

  1. En cas de défaillance:

- Tentative d'enregistrement dans le limiteur de vitesse - Tentative d'échec de logs - Affiche le message d'erreur avec les tentatives restantes - Ajoute un délai de 1 seconde pour ralentir les attaques de force brute

Conseil :
Le système met automatiquement à niveau les mots de passe en texte clair pour sécuriser les hachages bcrypt sur une connexion réussie. Vous n'avez pas besoin de mettre à jour manuellement les anciens mots de passe.

Limite de vitesse / Protection contre la force brute

La page de connexion inclut une protection complète contre les attaques de force brute:

RéglageValeurDésignation des marchandises
Tentatives Max5Échec des tentatives avant le lock-out
Durée du verrouillage15 minutesTemps jusqu'à réinitialisation des tentatives
Fenêtre coulissante15 minutesFenêtre temporelle pour le comptage des tentatives

Comment ça marche :

  1. Chaque tentative de connexion échouée est enregistrée avec l'adresse IP
  2. Après 5 tentatives ratées en 15 minutes, IP est bloqué
  3. Les IP bloqués voient un message de compte à rebours
  4. La connexion réussie réinitialise le compteur pour cette IP
  5. Les anciens dossiers sont automatiquement nettoyés (1 % de probabilité par demande)

Utilisation étape par étape

Exploitation forestière

  1. Naviguez vers https://yourdomain.com/ct/admin/ctlogin.php
  2. Saisissez votre mot de passe admin dans le champ mot de passe
  3. Cliquez sur Connexion bouton
  4. Si vous réussissez, vous serez redirigé vers le tableau de bord

[Capture d'écran : entrée ctlogin-password]

Manipulation des connexions échouées

Si vous entrez le mauvais mot de passe :

  1. Un message d'erreur apparaît montrant les tentatives restantes
  2. Après 5 tentatives ratées, vous serez enfermé pendant 15 minutes.
  3. Attendez que le lock-out expire, ou:

[Screenshot: ctlogin-error-message]

Récupération de Lockout

Si vous êtes bloqué en raison de trop de tentatives ratées:

Attendez.

  • Le lock-out expire automatiquement après 15 minutes
  • Le compte à rebours est affiché dans le message d'erreur

Dépannage

Erreurs courantes

Message d'erreurCauseSolution
"Mot de passe invalide. Vous avez encore X tentatives."Mot de passe incorrect entréVérifiez votre mot de passe; vérifiez dans la base de données si oublié
"Trop de tentatives de connexion échouées. Veuillez réessayer en X minutes."Taux limite déclenchéAttendez que le lock-out expire ou efface tblCMSRateLimits
"La connexion de la base de données a échoué"Impossible de se connecter à MySQLVérifier les identifiants config.inc.php; vérifier le service MySQL
"Erreur: Impossible de récupérer les paramètres de la base de données"tblParamètres manquants ou videsExécuter l'installation SQL pour créer la ligne de paramètres

Connexion Ne fonctionne pas

Problème: Le mot de passe correct ne fonctionne pas.

Solutions :

  1. Vérifier le mot de passe dans la base de données :
SELECT adminpassword FROM tblSettings WHERE id = 1;
  1. Si c'est un hash, essayez de réinitialiser temporairement le texte.
  2. Vérifiez si la limitation de vitesse vous bloque (regardez dans tblCMSRateLimits)
  3. Vérifier si la session fonctionne (vérifier les paramètres de la session php.ini)

Séance non permanente

Problème: Login réussit mais vous êtes immédiatement déconnecté.

Solutions :

  1. Vérifiez la configuration de la session PHP & #160;:
   phpinfo(); // Look for session settings
  1. Vérifier que le chemin de sauvegarde de session est enregistrable
  2. Vérifiez les problèmes de domaine des cookies (localhost vs domaine)
  3. Effacer les cookies du navigateur et essayer à nouveau

Récupération de verrouillage

Problème: Verrouillé et ne peut pas se rappeler combien de temps attendre.

Solution:

-- Check when you'll be unblocked
SELECT identifier, blockeduntil,
       TIMESTAMPDIFF(MINUTE, NOW(), blockeduntil) as minutesremaining
FROM tblCMSRateLimits
WHERE action = 'adminlogin'
AND blockeduntil > NOW();

Meilleures pratiques en matière de sécurité

Avertissement :
CRITIQUES: Utilisez toujours HTTPS pour la page de connexion d'administration pour empêcher l'interception de mot de passe.
  1. Utiliser des mots de passe forts

- Minimum 12 caractères
- Mélange de majuscules, minuscules, chiffres, symboles
- Évitez les mots de dictionnaire

  1. Surveiller les journaux de connexion

- Vérifier régulièrement les journaux pour les tentatives ratées
- Surveillez les modèles indiquant des attaques
- Envisager de mettre en place une liste blanche IP si nécessaire

  1. Conserver le logiciel mis à jour

- Les algorithmes de hachage de mot de passe sont régulièrement améliorés
- Les mises à jour peuvent inclure des corrections de sécurité

  1. Renommer ou protéger la voie administrative

- Envisager d'utiliser .htaccess pour ajouter une couche d'authentification supplémentaire
- Utiliser la liste blanche IP pour l'accès admin si possible

Changer de journal

DateVersionChangements
2026-01-011,0Guide initial créé
2025-10-27- Oui.Système de limitation des taux ajouté

Related Pages