Я думал, что могу ограничить его показом только на некоторых IP-адресах, но у меня есть работники-фрилансеры без статических IP-адресов, которые должны иметь возможность входа на сайт администратора. Я выкатил большой проект, и я ищу способы защитить сайт администратора от нежелательных глаз.Как защитить сайт администратора django?
Если вы используете его за Apache, вы можете использовать один из своих многочисленных модулей для проверки подлинности HTTP (для подобных серверов существуют аналогичные модули). Таким образом, пользователь не может даже попасть на страницу входа в систему без входа в систему.
Другой вариант - заблокировать весь доступ с удаленных URL-адресов и потребовать от пользователей использовать VPN для доступа к страницам администратора. (Я думаю, что это было бы слишком большим хлопотом)
У нас есть сайт, где интерфейс администратора находится в отдельном домене, он не скрывает ничего, кроме как сохраняет их отдельно.
1) Ограничение по IP. Возможно, это не совсем возможно в вашем случае, но вы можете смотреть только на несколько подсетей, я не думаю, что даже если ваши пользователи имеют динамический IP-адрес, они, скорее всего, получат свои IP-адреса из одной и той же подсети, если каждый раз обращаются к одной сети. Это может снизить риск полного раскрытия.
2) Измените URL-адрес администратора по умолчанию на что-то неочевидное.
Мы боремся с этим вопросом прямо сейчас. Сначала мы ограничивали доступ с помощью IP-адресов (после подписания клиентом) было предложено отключить ограничение. В настоящее время у нас есть дайджест на вершине администратора. Мы рассматриваем настройку попытки входа в систему и минимальные требования к надежности пароля. Я считаю, что это будет важная защита, так как защита администратора включает защиту от неправильного выбора пароля.
Возможны временные и бюджетные возможности, которые могут быть рассмотрены в mod_security для многих вещей, включая обнаружение репутации IP-адреса (геолокация), черный список и обнаружение грубой силы.
Изменение URL-адреса URL-адреса urls.py может помочь? например, http://yoursite.com/helloworld, чтобы получить доступ к админ-порталу !!! – shahjapan