Django - 管理员网站 - 如何保护它？

Question

我想知道ppl是否隐藏了管理站点？有人把它放在不同的域名下吗？在主应用程序以外的服务器上运行它？

让/admin/每个人都可以找到它是否安全，因为它受到登录屏幕和权限测试的保护？ 我不认为它可以免受简单的蛮力攻击，如果我错了，请纠正我。

django管理网站的保护程度如何？什么是保护它的最佳做法？

我从后面找到了这个similar question，接受了关于不同apache设置或使用VPN的回答，但是你会如何在像Heroku或AWS这样的云中做到这一点？

Answer 1

我能想到的是：

• 确保所有工作人员都有一个困难的密码（针对你提到的蛮力）。
• 将其移动到子域，以便会话不被共享，并且您需要单独进行身份验证实际上可以帮助一点，以防有人（愚蠢）让他们的会话登录到公共计算机上。拥有单独的Apache密码（如您链接的问题）将是替代它。
• 使用HTTPS。如果您与主站点共享会话，则还需要在主站点上使用https。无论如何，这将是一个好主意。
• 如果您想限制IP，使用VPN可能会有效，但是您需要做一些工作，而且需要工作人员。

其中，我个人会说很难用密码+ https就足够了许多网站。有了额外的优势，强制执行困难的密码相当容易（对于新密码）和https是一个好主意，无论管理站点。