設定管理員安全性
建議您採取多方面的方法來保護商店的安全。 您可以透過使用不容易猜測的自訂管理員URL開始,而不是使用明顯的「管理員」或「後端」。 根據預設,用來登入管理員的密碼長度必須是7個或7個以上的字元,且包含字母和數字。 根據最佳作法,請只使用包含字母、數字和符號組合的強式管理員密碼。 Adobe Commerce和Magento Open Source不允許重複使用最近四個指派給帳戶的密碼。
管理員安全性設定可讓您:
- 將秘密金鑰新增至URL
- 要求密碼區分大小寫
- 限制管理員工作階段的長度
- 限制密碼的存留期
- 限制在Admin使用者帳戶為鎖定之前可以嘗試登入的次數。
為了提高安全性,您可以設定目前工作階段到期之前鍵盤閒置的時間長度,並要求使用者名稱和密碼區分大小寫。
除了本節中的安全性設定外,還需要雙因素驗證 (2FA)以應用程式或裝置產生的一次性密碼來驗證使用者的身分。 第一次登入管理員時,系統會提示您設定2FA。 為了增加安全性,管理員登入也可以設定為需要驗證碼。
如需技術資訊,請參閱開發人員檔案中的安全性總覽{:target="_blank"}。
設定管理員安全性
-
在 管理員 側邊欄上,移至 Stores > Settings>Configuration。
-
在左側面板的 Advanced 下,選擇 Admin。
-
展開 Security 區段的
-
若要防止管理員使用者從不同裝置上的相同帳戶登入,請將 Admin Account Sharing 設為
No。 -
若要決定用來管理密碼重設要求的方法,請將 Password Reset Protection Type 設定為下列其中一項:
By IP and Email— 在收到來自通知的回應後,可以將密碼重設到與Admin帳戶關聯的電子郵件地址。By IP— 密碼可以線上上重設,不需要其他確認。By Email— 只有透過電子郵件回應傳送至與管理員帳戶相關之電子郵件地址的通知才能重設密碼。None— 密碼只能由存放區管理員重設。
-
設定登入安全性選項:
-
對於 Recovery Link Expiration Period (hours),請輸入密碼復原連結保持有效的小時數。
-
若要決定每小時可提交的最大密碼要求數目,請輸入 Max Number of Password Reset Requests 的數字。
-
對於 Min Time Between Password Reset Requests,請輸入密碼重設要求之間必須經過的最小分鐘數。
-
若要將秘密金鑰附加至管理員URL以防範利用漏洞攻擊,請將 Add Secret Key to URLs 設為
Yes。 此設定預設為啟用。 -
若要要求在任何輸入的登入認證中使用大寫和小寫字元,都必須符合系統中儲存的內容,請將 Login is Case Sensitive 設為
Yes。 -
若要在管理員工作階段逾時之前判斷其長度,請在 Admin Session Lifetime (seconds) 欄位中輸入工作階段持續時間(以秒為單位)。 該值必須大於或等於60秒。
-
針對 Maximum Login Failures to Lockout Account,輸入在帳戶鎖定前,使用者可以嘗試登入Admin的次數。 預設情況下,允許嘗試6次。 對於不限次數的登入嘗試,請將此欄位留空。
-
對於 Lockout Time (minutes),輸入當達到最大嘗試次數時,Admin帳戶鎖定的分鐘數。
-
-
設定密碼選項:
-
若要限制管理員密碼的存留期,請輸入密碼對 Password Lifetime (days) 有效的天數。 對於無限期限,請將此欄位留空。
-
將 Password Change 設定為下列其中一項:
Forced— 要求系統管理員使用者在設定帳戶之後變更密碼。Recommended— 建議管理員使用者在設定帳戶後變更密碼。
-
-
完成時,按一下 Save Config。
管理員密碼需求
依預設,管理員密碼的長度必須是7個或7個以上的字元,且包含字母和數字。