我很好奇Django默认管理面板的安全性。对于一个实时的Django网站,我将使用Django管理员进行所有管理,感觉就像在mysite.com/admin/网址上简单地询问用户名和密码有点弱对抗暴力尝试(或者可能是基于字典的尝试。我很少关于自动黑客攻击的知识)
你会建议什么额外保护?
我的想法是:
admin/登录特定的ips。 (我不知道如何实现这一点)由于
答案 0 :(得分:1)
为什么你认为用户名和密码很弱?它似乎适用于谷歌,所以它对你来说可能已经足够了。
我不知道recaptcha会如何帮助你,我认为如果你在企业风格设置中使用Django,那么限制对某些IP的访问可能会非常有用,只有你永远希望人们从公司网络中访问您的管理站点,但即使从内部IP因某些原因发生变化,这可能会在长期内烧毁您。
如果你担心暴力攻击,你可能会对Luke Plant对django-developers邮件列表中this thread的评论感兴趣,而感兴趣的是领导开发者之一Simon Willison的this post Django。