ComusThumbz ドキュメント
HTML Markdown Print/PDF Plain Text
管理者ログイン

ドキュメントメニュー


Admin Access

スタートアップ

プロフィール

管理者ログインページは、ComusThumbz管理パネルの安全なエントリポイントです。 レート制限、ブルートフォース保護、自動パスワードハッシュアップグレードなどの高度なセキュリティ機能を備えたパスワードベースの認証を提供します。 これは、バックエンドにアクセスするときの最初のページ管理者です。

[スクリーンショット: ctlogin-full-page]

サイトマップ

ブラウザから直接ログインページにアクセス:

  • URL パターン: https://yourdomain.com/ct/admin/ctlogin.php
  • 代替: https://yourdomain.com/ct/admin/ (認証されていない場合は ctlogin.php へのリダイレクト)
注意:
既にログインしている場合は、このページにアクセスすると、メインダッシュボードに自動的にリダイレクトされます。

システム要件

構成 必須:
このページでは、以下のシステム依存性を適切に機能させる必要があります。

PHP の要件

必須条件最小限おすすめ商品インフォメーション
PHP バージョン8.3マイル8.4+のパスワード必須現代アルゴリズムのハッシュ()
メモリリミット32Mの64Mの最小限の記憶条件
マックスログインタイムタイム30日電話番号:標準的なタイムアウトの十分

必須のPHP拡張子

エクステンションお問い合わせミッション
ログインお問い合わせデータベース接続
セッションお問い合わせログイン状態のセッション管理
ログインおすすめ商品安全なパスワードハッシュアルゴリズム

必須のPHP関数

関数必須項目インフォメーション
セッションスタート()セッション管理禁止事項
パスワードハッシュ()安全なパスワード保存PHP 5.5 + 組み込み
パスワード認証()パスワードの検証PHP 5.5 + 組み込み
パスワードリハース()自動アップグレード 古いハッシュPHP 5.5 + 組み込み
セットクッキー()レガシーセッションクッキー禁止事項
睡眠()ブルートフォース遅延失敗したログインの1秒遅れのために使用される

フォルダの権限

フォルダパスパーミッションプロフィールミッション
/ct/ログ/775のサイトマップエラーとセキュリティロギング

サーバーの要件

コンポーネント必須条件
ウェブサーバーmodrewrite OR Nginx を使用した Apache 2.4 以降
データベースMySQL 5.7 + / MariaDB 10.3 +
エスプレッソ安全なパスワード送信のために強くお勧め

インストール要件

このセクションでは、インストールスクリプトがこのページを正しく設定する必要があります。

必要なフォルダ

フォルダパスパーミッションによって作成されたインフォメーション
ct/logs/775のスクリプトをインストールするエラーとセキュリティロギング
ct/includes/security/755のスクリプトをインストールするセキュリティクラスファイル

ページレイアウト

[スクリーンショット: ctlogin-annotated-layout]

ページ要素

ツイートエレメントコンテンツ
1ロゴエリアComusThumbz アイコンとタグラインでブランディング
2ログインコンテナログインフォームを含むホワイトカード
3ヘッダーのアイコン安全なログインを示すロックアイコン
3ページタイトル「管理者ログイン」見出し
5月5日サイトマップデータベースから構成されたサイト名を表示
6月6日エラーメッセージ赤いアラートボックス(失敗したログインのみ)
7月7日パスワードフィールドキー アイコンが付いているパスワード入力
8月8日ボタンで署名して下さいログインを送信するためのグリーングラデーションボタン
9月9日バージョン情報現在のソフトウェアバージョンを表示
10月10日フッターComusThumbzのウェブサイトへのリンク

特徴及び機能

パスワード認証

ログインシステムは、後方互換性のための最新のハッシュされたパスワードとレガシーのプレーンテキストパスワードの両方をサポートしています。

認証フロー:

  1. パスワードを入力してフォームを送信
  2. IP がレート制限されている場合のシステムチェック (ブロック)
  3. ブロックされていない場合は、管理者パスワードから取得します tblSettings
  4. 保存されたパスワードがハッシュまたはプレーンテキストであるかどうかを確認します。

小屋: 使用方法 passwordverify() 安全な比較のために - プレーンテキスト: 直接文字列比較(レガシーモード)

  1. 成功について:

- 正規のテキストパスワードをアップグレードして、ハッシュを自動的に保護します - 認証のためのセッション変数を設定 - バックワードの互換性のためのレガシークッキーを設定 - IP - ログの成功したログイン - main.php へのリダイレクト

  1. 故障時:

- レートリミッターでのレコードの試行 - ログが失敗した試み - 残りの試みでエラーメッセージを表示 - 1秒の遅延を追加してバイトの攻撃を遅くする

ヒント:
システムは、正常にログイン時にハッシュを暗号化するために、プレーンテキストパスワードを自動的にアップグレードします。 古いパスワードを手動で更新する必要はありません。

レート制限/ブルートフォース保護

ログインページには、ブルートフォース攻撃に対する包括的な保護が含まれています。

セットアップバリューコンテンツ
最高の試み5月5日ロックアウト前の失敗した試み
閉鎖期間15分試行がリセットされるまで時間
スライド窓15分試みをカウントするためのタイムウィンドウ

使い方:

  1. 各失敗したログインの試みはIPアドレスと記録されます
  2. 5分以内に失敗した試みの後、IPはブロックされます
  3. ブロックされたIPはカウントダウンメッセージが表示されます
  4. 成功したログインは、そのIPのカウンターをリセットします
  5. 古いレコードは自動的にクリーンアップされます(リクエストごとに1%の確率)

ステップバイステップの使用

ログイン

  1. ナビゲートへ https://yourdomain.com/ct/admin/ctlogin.php
  2. パスワード欄に管理者パスワードを入力してください
  3. クリックします。 サインイン ボタン
  4. 成功すると、ダッシュボードにリダイレクトされます

[スクリーンショット: ctlogin-password-entry]

失敗したログインの処理

間違ったパスワードを入力する場合:

  1. 残りの試みを示すエラーメッセージが表示されます
  2. 5回失敗した試みの後、15分間ロックアウトします
  3. ロックアウトが期限切れになるまで待ちます。

[スクリーンショット: ctlogin-error-message]

ロックアウトから回復

あまりにも多くの失敗した試みのためにロックアウトしている場合:

ウエディング

  • ロックアウトは15分後に自動的に期限が切れます
  • エラーメッセージにカウントダウンが表示されます

トラブルシューティング

一般的なエラー

エラーメッセージ原因ソリューション
「無効なパスワード」 X の試みは残ります。パスワードが間違っているパスワードのダブルチェック、忘れた場合はデータベースで確認
「あまりにも多くの失敗したログインの試み。 X分にもう一度お試しください。率制限トリガーロックアウトが期限切れまたは明確なtblCMSRateLimitを待ちます
「データベース接続が失敗しました」MySQL に接続できないconfig.inc.php の資格情報を確認します。 MySQL サービスをチェック
「エラー:データベースから設定を取得できない」tblSettings 行方不明または空インストールSQLを実行して設定行を作成

ログイン 動作しない

問題: 正しいパスワードは動作しません。

ソリューション:

  1. データベースのパスワードを確認します。
SELECT adminpassword FROM tblSettings WHERE id = 1;
  1. ハッシュの場合、一時的にテキストを平らにリセットしてみてください。
  2. レート制限がブロックされているかどうかチェック (tblCMSRateLimits 参照)
  3. セッションを検証する (php.ini セッション設定をチェック)

セッション 主張しない

問題: ログインは成功しますが、すぐにログアウトされます。

ソリューション:

  1. PHP セッションの設定を確認してください。
   phpinfo(); // Look for session settings
  1. セッション保存パスを書き込み可能
  2. Cookieドメインの問題の確認(ローカルホスト対ドメイン)
  3. ブラウザのクッキーをクリアし、もう一度お試しください

ロックアウトの回復

問題: ロックアウトして、待ち時間を覚えることができません。

ソリューション:

-- Check when you'll be unblocked
SELECT identifier, blockeduntil,
       TIMESTAMPDIFF(MINUTE, NOW(), blockeduntil) as minutesremaining
FROM tblCMSRateLimits
WHERE action = 'adminlogin'
AND blockeduntil > NOW();

セキュリティベストプラクティス

警告:
臨床: 常にHTTPSを使用して、管理者ログインページでパスワードの傍受を防ぐことができます。
  1. 強力なパスワードを使用する

- 最小12文字
- 大文字、小文字、数字、記号のミックス
- 辞書の単語を避ける

  1. ログインログを監視

- 失敗した試みのログを定期的にチェック
- 攻撃を示すパターンを見る
- 必要に応じてIPホワイトリストの実装を検討する

  1. ソフトウェアの更新を維持する

- パスワードハッシュアルゴリズムは定期的に改善されます
- アップデートにはセキュリティの修正が含まれる場合があります

  1. 管理者パスの名前または保護

- .htaccess を使用して、追加の認証レイヤーを追加します。
- 管理者アクセスのためにIPホワイトリストを使用する

変更履歴

日程安排バージョン変更点
2018年12月1日1.0 の初期ガイド作成
2025年10月27日レート制限システム追加

Related Pages