配置管理员安全
我们建议您采取多层面的方法来保护您的商店的安全。 您可以首先使用不容易猜到的自定义管理员URL,而不是显而易见的“管理员”或“后端”。 默认情况下,用于登录到Admin的密码长度必须为7个或更多字符,且包含字母和数字。 作为最佳实践,请仅使用包含字母、数字和符号组合的强管理员密码。 Adobe Commerce和Magento Open Source不允许重用分配给该帐户的最近四个密码。
管理员安全配置使您能够:
- 向URL添加密钥
- 要求密码区分大小写
- 限制管理员会话的长度
- 限制密码的生命周期
- 限制在Admin用户帐户为锁定之前可以尝试登录的次数。
为了提高安全性,您可以配置在当前会话过期之前键盘处于非活动状态的长度,并要求用户名和密码区分大小写。
除了此部分中的安全设置外,还需要双重身份验证 (2FA)以应用程序或设备生成的一次性密码验证用户的身份。 首次登录到Admin时,系统会提示您设置2FA。 为了提高安全性,也可以将管理员登录配置为需要CAPTCHA。
NOTE
-
在 管理员 侧边栏上,转到 Stores > Settings>Configuration。
-
在左侧面板中的 Advanced 下,选择 Admin。
-
展开 Security 部分的
-
要阻止管理员用户从不同设备上的同一帐户登录,请将 Admin Account Sharing 设置为
No。 -
要确定用于管理密码重置请求的方法,请将 Password Reset Protection Type 设置为以下任一项:
By IP and Email— 在收到来自通知的响应发送到与管理员帐户关联的电子邮件地址后,可以联机重置密码。By IP— 密码可以在线重置,而无需其他确认。By Email— 只有通过电子邮件响应发送到与管理员帐户关联的电子邮件地址的通知才能重置密码。None— 密码只能由存储管理员重置。
-
设置登录安全选项:
-
对于 Recovery Link Expiration Period (hours),输入密码恢复链接保持有效的小时数。
-
要确定每小时可提交的最大密码请求数,请输入 Max Number of Password Reset Requests 的数量。
-
对于 Min Time Between Password Reset Requests,请输入密码重置请求之间必须经过的最小分钟数。
-
要将密钥附加到管理员URL作为防御漏洞的手段,请将 Add Secret Key to URLs 设置为
Yes。 默认情况下,此设置处于启用状态。 -
若要要求在任何输入的登录凭据中使用大写和小写字符与系统中存储的内容相匹配,请将 Login is Case Sensitive 设置为
Yes。 -
若要确定管理员会话在超时之前的长度,请在 Admin Session Lifetime (seconds) 字段中输入会话的持续时间(以秒为单位)。 该值必须为60秒或更大。
-
对于 Maximum Login Failures to Lockout Account,输入帐户锁定前用户尝试登录Admin的次数。 默认情况下,允许尝试6次。 对于无限次的登录尝试,请将该字段留空。
-
对于 Lockout Time (minutes),输入当达到最大尝试次数时,管理员帐户被锁定的分钟数。
-
-
设置密码选项:
-
要限制管理员密码的生命周期,请输入密码对 Password Lifetime (days) 有效的天数。 对于无限长的生命周期,请将此字段留空。
-
将 Password Change 设置为以下项之一:
Forced— 要求管理员用户在设置帐户后更改密码。Recommended— 建议管理员用户在设置帐户后更改密码。
-
-
完成后,单击 Save Config。