Je pensais que je pourrais le restreindre pour montrer seulement sur quelques adresses IP, mais j'ai quelques ouvriers indépendants sans adresses IP statiques qui devraient pouvoir se connecter au site admin. J'ai déployé un gros projet et je cherche des moyens de protéger le site d'administration contre les regards indiscrets.Comment protégez-vous le site admin django?
Si vous l'utilisez derrière apache, vous pouvez utiliser l'un de ses nombreux modules pour l'authentification HTTP (il existe des modules similaires pour d'autres serveurs). De cette façon, l'utilisateur ne peut même pas accéder à la page de connexion sans se connecter.
Une autre option serait de bloquer tout accès depuis les URL distantes et d'obliger les utilisateurs à utiliser un VPN pour accéder aux pages d'administration. (Je pense que ce serait trop de tracas)
Nous avons un site où l'interface d'administration est sur un domaine séparé, il ne cache rien mais les garde séparés.
1) Restreindre par IP. Cela peut ne pas être tout à fait possible dans votre cas, mais vous ne pouvez pas utiliser seulement quelques sous-réseaux, même si vos utilisateurs ont des adresses IP dynamiques, ils ont plus de chances d'obtenir leurs IP du même sous-réseau. Cela peut réduire le risque d'être totalement ouvert.
2) Remplacez l'URL d'administration par défaut par quelque chose d'évident.
Nous sommes aux prises avec cette question en ce moment. Au départ, nous avons restreint l'accès aux IP, mais nous avons demandé (après la signature du client) de désactiver la restriction. Nous avons actuellement digest auth sur l'admin. Nous envisageons de limiter les tentatives de connexion et de limiter au minimum les exigences en matière de mot de passe. Je crois que ces protections seraient pertinentes car la protection de l'administrateur inclut une protection contre les mauvais choix de mot de passe. Si le temps et le budget le permettent, nous pouvons envisager mod_security pour beaucoup de choses, y compris la réputation d'adresse IP (géolocalisation), la liste noire et la détection d'attaque par force brute.
Modifier le mappage d'URL à partir urls.py peut aider? comme http://yoursite.com/helloworld pour accéder au portail d'administration !!! – shahjapan