ComusThumbz Documentation
HTML Markdown Print/PDF Plain Text
Admin Login

Documentation Menu


Admin Access

Początek

Przegląd

Strona Admin Login jest bezpiecznym punktem wejścia do panelu administracyjnego ComusThumbz. Zapewnia uwierzytelnianie oparte na haseł z zaawansowanymi funkcjami zabezpieczeń, w tym ograniczenie prędkości, ochrona przed brutalną siłą oraz automatyczne uaktualnianie haseł. Jest to pierwsza strona administratorów zobaczyć podczas dostępu do tła.

[Screenshot: ctlogin - full- page]

Dostanie się do tej strony

Dostęp do strony logowania bezpośrednio poprzez przeglądarkę:

  • Wzór URL: https://yourdomain.com/ct/admin/ctlogin.php
  • Zastępca: https://yourdomain.com/ct/admin/ (przekierowuje na ctlogin.php, jeśli nie jest uwierzytelniony)
Uwaga:
Jeśli jesteś już zalogowany, dostęp do tej strony automatycznie przekierowuje Cię do głównej tablicy rozdzielczej.

Wymagania dotyczące układu

Konfiguracja wymagana:
Ta strona wymaga prawidłowego działania następujących zależności systemowych.

Wymagania PHP

WymógMinimalnaZalecaneUwagi
Wersja PHP8, 38, 4 +Wymagane hasłohash () z nowoczesnymi algorytmami
limit pamięci32M64MMinimalne wymagania dotyczące pamięci
maxwykonanieczas3060Standardowy czas wystarczający

Wymagane rozszerzenia PHP

RozszerzenieWymaganeCel
mysqliTak.Łączność w bazie danych
sesjaTak.Zarządzanie sesją dla stanu logowania
opensslZalecaneBezpieczne algorytmy hakowania haseł

Wymagane funkcje PHP

FunkcjaWymagane dlaUwagi
sesjastart ()Zarządzanie sesjamiNie mogą być wyłączone
passwordhash ()Bezpieczne przechowywanie hasłaPHP 5.5 + built- in
hasłoweryfikacja ()Walidacja hasłaPHP 5.5 + built- in
potrzeby słownerehash ()Automodernizacja starych hashPHP 5.5 + built- in
setcookie ()Pliki cookie sesji legacyNie mogą być wyłączone
sen ()Opóźnienie siły brutalnejUżywany do 1-sekundowego opóźnienia przy nieudanym logowaniu

Uprawnienia do folderów

Ścieżka folderuZezwolenieWłaścicielCel
/ ct / logs /775www.e- dataLogowanie błędów i zabezpieczeń

Wymagania dotyczące serwera

SkładnikWymóg
Web ServerApache 2.4 + z modrewrite OR Nginx
Baza danychMySQL 5,7 + / MariaDB 10,3 +
HTTPSZdecydowanie zalecane dla bezpiecznej transmisji hasła

Wymagania dotyczące instalacji

Ta sekcja dokumentuje wszystko, czego potrzebuje skrypt, aby poprawnie skonfigurować tę stronę.

Wymagane foldery

Ścieżka folderuZezwolenieStworzony przezUwagi
ct/logs/775Zainstaluj skryptLogowanie błędów i zabezpieczeń
ct/includes/security/755Zainstaluj skryptPliki klasy bezpieczeństwa

Układ strony

[Screenshot: ctlogin-anotioned-layout]

Elementy strony

#ElementOpis
1Obszar logoZnakowanie ComusThumbz ikonami i tagline
2Kontener logowaniaBiała karta zawierająca formularz logowania
3Ikona nagłówkaZablokuj ikonę wskazującą bezpieczne logowanie
4Tytuł stronyNagłówek "Admin Login"
5Nazwa stronyWyświetla skonfigurowaną nazwę strony z bazy danych
6Komunikat o błędzieCzerwone pole alarmowe (wyświetla się tylko przy nieudanym logowaniu)
7Pole hasłaWejście hasła z ikoną klucza
8Wpisz przyciskZielony przycisk gradientu do składania logowania
9Informacje o wersjiPokazuje bieżącą wersję oprogramowania
10FooterPrawa autorskie i link do strony internetowej ComusThumbz

Funkcje i funkcje

Uwierzytelnianie hasła

System logowania obsługuje zarówno nowoczesne hashed haseł, jak i dotychczasowe hasła tekstowe dla kompatybilności wstecznej.

Flow uwierzytelniania:

  1. Użytkownik wprowadza hasło i przekazuje formularz
  2. Kontrole systemu, jeżeli IP jest ograniczone (zablokowane)
  3. Jeśli nie jest zablokowany, pobiera hasło administratora z tblSettings
  4. Sprawdza, czy zapisane hasło jest haszem lub prostym tekstem:

- Hashed: Wykorzystanie passwordverify() dla bezpiecznego porównania - Prosty tekst: Bezpośrednie porównanie strun (tryb spuścizny)

  1. Na sukces:

- Aktualizacje prostych haseł tekstowych w celu automatycznego zabezpieczenia hasków - Ustawia zmienne sesji do uwierzytelniania - Ustawia dotychczasowe pliki cookie dla kompatybilności wstecznej - Resetuje limit kursu dla IP - Loguje się z powodzeniem - Przełącza do main.php

  1. W przypadku awarii:

- Zapis próby ograniczenia prędkości - Nieudana próba logowania - Pokazuje komunikat błędu z pozostałymi próbami - Dodaje 1-sekundowe opóźnienie do powolnego brutalnego ataku siły

Wskazówka:
System automatycznie uaktualnia hasła tekstowe w celu zabezpieczenia hashów bcrypt podczas udanego logowania. Nie musisz ręcznie aktualizować starych haseł.

Ograniczenie stawki / ochrona przed brutalną siłą

Strona logowania zawiera kompleksową ochronę przed brutalnymi atakami siły:

UstawienieWartośćOpis
Max próbuje5Próby nie powiodły się przed zablokowaniem
Czas trwania zamknięcia15 minutCzas do resetowania prób
Przesuwane okno15 minutOkno czasowe dla prób liczenia

Jak to działa:

  1. Każda nieudana próba logowania jest rejestrowana z adresem IP
  2. Po 5 nieudanych próbach w ciągu 15 minut, IP jest zablokowany
  3. Zablokowane IP widzą wiadomość odliczającą
  4. Udane logowanie resetuje licznik dla tego IP
  5. Stare rekordy są automatycznie czyszczone (1% prawdopodobieństwa na żądanie)

Step-by- Step Usage

Logowanie

  1. Przejdź do https://yourdomain.com/ct/admin/ctlogin.php
  2. Wpisz hasło administratora w polu hasła
  3. Kliknij Wpisz przycisk
  4. Jeśli się powiedzie, zostaniesz przekierowany na deskę rozdzielczą.

[Screenshot: ctlogin-password- entry]

Postępowanie z nieudanymi logami

Jeśli wprowadzisz niewłaściwe hasło:

  1. Pojawia się komunikat błędu pokazujący pozostałe próby
  2. Po pięciu nieudanych próbach, będziesz zamknięty na 15 minut.
  3. Poczekać, aż blokada wygaśnie, lub:

[Screenshot: ctlogin-error-message]

Odzyskanie z Lockout

Jeśli jesteś zablokowany z powodu zbyt wielu nieudanych prób:

Czekaj.

  • Blokada wygasa automatycznie po 15 minutach
  • Odliczanie jest wyświetlane w komunikacie błędu

Rozwiązywanie problemów

Częste błędy

Komunikat o błędziePrzyczynaRoztwór
"Nieprawidłowe hasło. Pozostały ci próby X".Wprowadzone niewłaściwe hasłoDouble- sprawdzić swoje hasło; sprawdzić w bazie danych, jeśli zapomniane
"Zbyt wiele nieudanych prób logowania. Proszę spróbować ponownie w ciągu X minut".Wyłączony limit stóp procentowychOczekiwanie na wygaśnięcie blokady lub oczyszczenie tblCMSrateLimits
"Połączenie z bazą danych nie powiodło się"Nie można połączyć się z MySQLWeryfikacja uwierzytelniania config.inc.php; sprawdzenie usługi MySQL
"Błąd: Nie można pobrać ustawień z bazy danych"tblUstawienia brak lub pusteUruchom instalację SQL, aby utworzyć wiersz ustawień

Logowanie nie działa

Problem: Prawidłowe hasło nie działa.

Rozwiązania:

  1. Weryfikacja hasła w bazie danych:
SELECT adminpassword FROM tblSettings WHERE id = 1;
  1. Jeśli to hasz, spróbuj zmienić tekst.
  2. Sprawdź, czy ograniczenie stawki jest blokowanie (patrz w tblCMSrateLimits)
  3. Sprawdzanie sesji działa (sprawdź ustawienia sesji php.ini)

Sesja nie trwa

Problem: Login się powiedzie, ale natychmiast się wylogujesz.

Rozwiązania:

  1. Zaznacz konfigurację sesji PHP:
   phpinfo(); // Look for session settings
  1. Weryfikacja ścieżki zapisu sesji jest możliwa
  2. Sprawdź problemy domen plików cookie (localhost vs domain)
  3. Wyczyść pliki cookie przeglądarki i spróbuj ponownie

Odzysk zamknięcia

Problem: Zamknięte i nie pamiętam jak długo czekać.

Roztwór:

-- Check when you'll be unblocked
SELECT identifier, blockeduntil,
       TIMESTAMPDIFF(MINUTE, NOW(), blockeduntil) as minutesremaining
FROM tblCMSRateLimits
WHERE action = 'adminlogin'
AND blockeduntil > NOW();

Najlepsze praktyki w zakresie bezpieczeństwa

Ostrzeżenie:
KRYTYCZNE: Zawsze używać HTTPS dla strony logowania admin, aby zapobiec przechwytywaniu hasła.
  1. Użyj silnych haseł

- Minimum 12 znaków
- Mieszanka górnej, dolnej skrzyni, liczb, symboli
- Unikaj słowników

  1. Monitor logowania

- Regularne sprawdzanie dzienników nieudanych prób
- Uważaj na wzory wskazujące ataki
- W razie potrzeby rozważ wdrożenie wybielania IP

  1. Keep Software Aktualizacja

- Algorytmy haszowania haseł są regularnie ulepszane
- Aktualizacje mogą zawierać poprawki bezpieczeństwa

  1. Zmień nazwę lub chroń ścieżkę administracyjną

- Rozważyć użycie dostępu do dodatkowych warstw uwierzytelniających
- Użyj wybielania IP dla dostępu admin, jeśli to możliwe

Changelog

DataWersjaZmiany
2026- 01- 011, 0Utworzony przewodnik wstępny
2025- 10- 27-Dodany system ograniczenia stawki

Related Pages