Начинать с начала

Обзор

Страница входа администратора является безопасной точкой входа в панель управления ComusThumbz. Он обеспечивает аутентификацию на основе пароля с расширенными функциями безопасности, включая ограничение скорости, защиту от грубой силы и автоматическое обновление хэша пароля. Это первая страница, которую администраторы видят при доступе к бэкэнду.

[Скриншот: ctlogin-full-page]

Как добраться до этой страницы

Доступ к странице входа непосредственно через ваш браузер:

URL шаблон: https://yourdomain.com/ct/admin/ctlogin.php
Альтернативно: https://yourdomain.com/ct/admin/ (перенаправлено с «ctlogin.php», если не аутентифицирован)

Примечание:
Если вы уже вошли в систему, доступ к этой странице автоматически перенаправляет вас на главную панель инструментов.

Системные требования

Требуется конфигурация:
Эта страница требует следующих системных зависимостей для правильной работы.

Требования PHP

Требование	Минимальный	рекомендованный	Заметки
PHP версия	8.3.3	8.4+	Требуется парольХэш() с современными алгоритмами
память	32М	64м	Минимальные требования к памяти
максисполнениевремя	30	60	Стандартный тайм-аут достаточный

Требуемые расширения PHP

Продление	требуемый	Цель
мискли	Да.	Подключение базы данных
сессия	Да.	Управление сессиями для login state
открытый	рекомендованный	Безопасные алгоритмы хеширования паролей

Необходимые функции PHP

Функция	Требуемый для	Заметки
сессияСтарт()	Управление сессиями	Не должен быть инвалидом
passwordhash()	Безопасное хранилище паролей	PHP 5.5+ встроенный
парольпроверить()	Проверка пароля	PHP 5.5+ встроенный
паролиRehash()	Автоматическое обновление старых хешей	PHP 5.5+ встроенный
setcookie()	Файлы cookie сеанса Legacy	Не должен быть инвалидом
Сон()	Задержка с применением силы	Используется для 1-секундной задержки при неудачном входе в систему

Разрешения на папку

Складной путь	Разрешение	владелец	Цель
/ct/logs/	775	www-данные	Ошибка и регистрация безопасности

Требования сервера

компонент	Требование
Веб-сервер	Apache 2.4+ с модредрайтом или Nginx
База данных	MySQL 5.7+ / MariaDB 10.3+
HTTPS	настоятельно рекомендуется для безопасной передачи пароля

Требования к установке

Этот раздел документирует все, что нужно для правильной настройки этой страницы.

Необходимые папки

Складной путь	Разрешение	созданный	Заметки
`ct/logs/`	775	Установить скрипт	Ошибка и регистрация безопасности
`ct/includes/security/`	755	Установить скрипт	Файлы класса безопасности

Планировка страницы

[Скриншот: ctlogin-annotated-layout]

Элементы страницы

#	Элемент	Описание
1 1	Логотип	ComusThumbz брендинг с иконками и слоганом
2 2	Контейнер Login	Белая карта, содержащая форму логина
3	Икона заголовка	Иконка блокировки, указывающая безопасный вход
4.4	Название страницы	Заголовок "Admin Login"
5.	Название сайта	Отображает настроенное имя сайта из базы данных
6.6	Сообщение об ошибке	Red alert box (только для неудавшегося входа)
7.	поле пароль	Ввод пароля с ключевым значком
8.8	Подпишитесь на кнопку	Зеленая кнопка градиента для отправки входа
9 9	Версия Info	Показать текущую версию программного обеспечения
1010	флюгер	Авторское право и ссылка на сайт ComusThumbz

Особенности и функции

Пароль аутентификации

Система входа поддерживает как современные хэшированные пароли, так и устаревшие пароли с простым текстом для обратной совместимости.

Поток аутентификации:

Пользователь вводит пароль и отправляет форму
Система проверяет, ограничен ли IP (блокирован)
Если не заблокирован, извлеките пароль администратора из tblSettings
Проверьте, является ли сохраненный пароль хэшом или простым текстом:

- Хашед: использование passwordverify() Для безопасного сравнения - Простой текст: Прямое сравнение струн (режим наследия)

О успехе:

- Обновляет простые текстовые пароли для автоматической защиты хешей - Устанавливает переменные сеанса для аутентификации - Устанавливает устаревшие файлы cookie для обратной совместимости - Ограничитель скорости сброса для IP - Логи успешного входа - Перенаправляет на main.php

О неудачах:

- Попытка записи в ограничителе скорости - Логи неудачной попытки - Показывает сообщение об ошибке с оставшимися попытками - Добавляет 1-секундную задержку для замедления атак грубой силы

Совет:
Система автоматически обновляет простые текстовые пароли для защиты хешей bcrypt при успешном входе в систему. Вам не нужно вручную обновлять старые пароли.

Ограничение скорости / Защита от грубой силы

Страница входа включает в себя комплексную защиту от атак грубой силы:

настройка	ценность	Описание
Попытки Макса	5.	Неудачные попытки перед локаутом
Длительность блокировки	15 минут	Время до попыток сброса
Раздвижное окно	15 минут	Временное окно для подсчета попыток

Как это работает:

Каждая неудачная попытка входа в систему записывается с IP-адресом
После 5 неудачных попыток в течение 15 минут IP-адрес заблокирован.
Заблокированные IP-адреса видят сообщение обратного отсчета
Успешный логин сбрасывает счетчик для этого IP
Старые записи автоматически очищаются (1% вероятности на запрос)

Пошаговое использование

Влезая внутрь

Навигация для https://yourdomain.com/ct/admin/ctlogin.php
Введите пароль администратора в поле пароля
Кликни Войти кнопку
В случае успеха вы будете перенаправлены на приборную панель

[Скриншот: ctlogin-password-entry]

Обработка неудачных логинов

Если вы вводите неправильный пароль:

Сообщение об ошибке показывает оставшиеся попытки
После 5 неудачных попыток вы будете заблокированы на 15 минут.
Дождитесь истечения срока действия локаута или:

[Скриншот: сообщение об ошибке ctlogin]

Восстановление от Lockout

Если вы заблокированы из-за слишком большого количества неудачных попыток:

Подожди.

Локаут истекает автоматически через 15 минут
Обратный отсчет показан в сообщении об ошибке

устранение неполадок

Обычные ошибки

Сообщение об ошибке	Причина	Решение
"Недействительный пароль. У вас остались попытки Х".	Неправильный пароль введен	Дважды проверьте свой пароль; проверьте в базе данных, если забыли
Слишком много неудачных попыток входа. Пожалуйста, попробуй еще раз через X минут".	Сработал лимит ставок	Ждать истечения срока локаута или очистить tblCMSRateLimits
"Подключение к базе данных провалилось"	Невозможно подключиться к MySQL	Проверьте учетные данные config.inc.php; проверьте сервис MySQL
«Ошибка: не удалось извлечь настройки из базы данных»	tblSettings missing or empty	Запуск установки SQL для создания строк настроек

Проблема: Правильный пароль не работает.

Решения:

Проверьте пароль в базе данных:

SELECT adminpassword FROM tblSettings WHERE id = 1;

Если это хэш, попробуйте временно сбросить простой текст
Проверьте, блокирует ли вас ограничение скорости (смотрите в tblCMSRateLimits)
Проверка работоспособности сессии (проверка настроек сессии php.ini)

Сеанс не останавливается

Проблема: Логин успешен, но вы сразу же вышли из системы.

Решения:

Проверьте конфигурацию сессии PHP:

   phpinfo(); // Look for session settings

Проверить путь сохранения сеанса можно
Проверьте наличие проблем с доменом cookie (localhost vs domain)
Очистите файлы cookie браузера и попробуйте снова

Восстановление локаутов

Проблема: Заперты и не могут вспомнить, как долго ждать.

Решение:

-- Check when you'll be unblocked
SELECT identifier, blockeduntil,
       TIMESTAMPDIFF(MINUTE, NOW(), blockeduntil) as minutesremaining
FROM tblCMSRateLimits
WHERE action = 'adminlogin'
AND blockeduntil > NOW();

Лучшие практики безопасности

Предупреждение:
Критический: Всегда используйте HTTPS для страницы входа администратора, чтобы предотвратить перехват паролей.

Используйте сильные пароли

Минимум 12 символов
- Смесь строчных, строчных, цифр, символов
Избегайте словарных слов

Мониторинг Login Logs

Регулярно проверяйте журналы на неудачные попытки
- Следите за шаблонами, указывающими на атаки
Рассмотреть возможность внедрения белого списка IP, если это необходимо

Держите программное обеспечение обновленным

Алгоритмы хеширования паролей регулярно совершенствуются
Обновления могут включать исправления безопасности

Переименовать или защитить путь администратора

Рассмотрите возможность использования .htaccess для добавления дополнительного уровня аутентификации
Используйте белый список IP для доступа администратора, если это возможно.

Изменить

Дата	Версия	Изменения
2026-01-01	1.0	Создан первый путеводитель
2025-10-27	-	Добавлена система ограничения ставок

Меню Документации

Начинать с начала

Обзор

Как добраться до этой страницы

Системные требования

Требования PHP

Требуемые расширения PHP

Необходимые функции PHP

Разрешения на папку

Требования сервера

Требования к установке

Необходимые папки

Планировка страницы

Элементы страницы

Особенности и функции

Пароль аутентификации

Ограничение скорости / Защита от грубой силы

Пошаговое использование

Влезая внутрь

Обработка неудачных логинов

Восстановление от Lockout

устранение неполадок

Обычные ошибки

Сеанс не останавливается

Восстановление локаутов

Лучшие практики безопасности

Изменить

Содержание

Меню Документации

Начинать с начала

Обзор

Как добраться до этой страницы

Системные требования

Требования PHP

Требуемые расширения PHP

Необходимые функции PHP

Разрешения на папку

Требования сервера

Требования к установке

Необходимые папки

Планировка страницы

Элементы страницы

Особенности и функции

Пароль аутентификации

Ограничение скорости / Защита от грубой силы

Пошаговое использование

Влезая внутрь

Обработка неудачных логинов

Восстановление от Lockout

устранение неполадок

Обычные ошибки

Login не работает

Сеанс не останавливается

Восстановление локаутов

Лучшие практики безопасности

Изменить

Related Pages

Содержание