Làm thế nào để bạn bảo vệ trang web quản trị django?

Question

Tôi nghĩ rằng tôi có thể hạn chế nó chỉ hiển thị trên một số IP, nhưng tôi có một số công nhân tự do không có IP tĩnh nên có thể đăng nhập vào trang quản trị. Tôi đã triển khai một dự án lớn và tôi đang tìm kiếm một số cách để bảo vệ trang web quản trị không mong muốn.

Answer 1

Nếu bạn đang chạy nó sau apache, bạn có thể sử dụng một trong nhiều mô đun của nó để xác thực HTTP (có các mô-đun tương tự cho các máy chủ khác). Bằng cách này, người dùng thậm chí không thể truy cập trang đăng nhập mà không cần đăng nhập.

Tùy chọn khác sẽ chặn tất cả quyền truy cập từ URL của từ xa và yêu cầu người dùng sử dụng VPN để truy cập các trang quản trị. (Tôi nghĩ rằng điều này sẽ là quá lớn của một rắc rối)

Chúng tôi có một trang web nơi giao diện quản trị nằm trên một tên miền riêng biệt, nó không ẩn bất cứ điều gì nhưng giữ chúng riêng biệt.

Answer 2

1) Hạn chế theo IP. Điều này có thể không hoàn toàn có thể trong trường hợp của bạn nhưng bạn vẫn có thể xem xét chỉ cho phép một vài mạng con, tôi không nghĩ rằng mặc dù người dùng của bạn có IP động nhưng họ có nhiều khả năng nhận IP của họ từ cùng một mạng con nếu truy cập trên cùng một mạng mỗi lần. Điều này có thể làm giảm nguy cơ bị mở hoàn toàn.

2) Thay đổi URL quản trị mặc định thành nội dung không rõ ràng.

Answer 3

Chúng tôi đang vật lộn với câu hỏi này ngay bây giờ. Ban đầu, chúng tôi hạn chế quyền truy cập theo IP (sau khi khách hàng đăng xuất) được yêu cầu tắt giới hạn. Chúng tôi hiện có thông báo xác thực trên đầu trang của quản trị viên. Chúng tôi đang cân nhắc việc điều chỉnh nỗ lực đăng nhập và các yêu cầu về độ mạnh mật khẩu tối thiểu. Tôi tin rằng đây sẽ là những biện pháp bảo vệ có liên quan khi bảo vệ quản trị viên bao gồm bảo vệ chống lại các lựa chọn mật khẩu kém.

Thời gian và ngân sách cho phép chúng tôi có thể xem xét mod_security cho nhiều thứ, bao gồm danh tiếng địa chỉ IP (vị trí địa lý), danh sách đen và phát hiện tấn công bạo lực.