只使用普通的旧管理网址,可以访问Django应用中的管理界面是否危险?为了安全起见,它应该隐藏在一个类似于64位唯一uuid的混淆网址下吗?
另外,如果您创建了这样一个模糊的链接到您的管理界面,您怎么能避免让任何人知道它在哪里?如果在您的网站或互联网上的任何地方没有指向该网址的链接,谷歌机器人是否知道如何找到该网址?
答案 0 :(得分:16)
您可能需要注意字典攻击。最安全的做法是使用Web服务器配置IP限制对该URL的访问。您还可以限制对该网址的访问权限 - 我上周发布了article about this。
答案 1 :(得分:4)
如果网站上没有网址“googlebot”无法知道...除非有人告诉它。不幸的是,许多用户在其浏览器中安装了工具栏,这些工具栏将浏览器访问的所有URL提交给各种服务器(例如Alexa,Google)。
因此,长期保持URL不会起作用。
另外一个uuid很难记住并输入 - 导致额外的支持(“又是什么URL?”)。
但我仍强烈建议更改网址(例如更改为/ myadmin /)。这将阻止自动扫描和攻击工具。因此,如果有一天“伟大的Django蠕虫”上网,你被击中的几率要低得多。
使用PHPmyAdmin的人在过去几年中有过这样的经历:更改默认URL可以避免大多数攻击。
答案 2 :(得分:3)
虽然添加一个额外的保护层(一个混淆的URL)没有任何害处,但强制选择正确的密码(检查密码强度并检查它不在大量常用密码中)会更好地利用您的时间。
答案 3 :(得分:1)
假设你选择了一个好的密码,不,这并不危险。人们可能看到页面,但他们无论如何也无法进入。
如果您不希望Google为目录编制索引,则可以使用robots.txt文件来控制该目录。