Sécurité par défaut du panneau d'administration de Django

Question

Je suis curieux de connaître la sécurité du panneau d'administration par défaut de Django. Pour un site Django en direct, j'utiliserai l'administrateur Django pour toute la gestion et il me semble que demander simplement un nom d'utilisateur et un mot de passe au mysite.com/admin/ est un peu faible contre les tentatives de force brute (ou peut-être des tentatives basées sur un dictionnaire. tentatives)

Que suggérez-vous pour une protection supplémentaire?

mes idées sont:

• ne permettant admin/ connexion pour ips spécifiques. (Je ne sais pas comment y parvenir)
• recaptcha demander (je peux trouver des infor pour l'utilisation recaptcha sur django mais ne sais pas pour la connexion admin)

Merci

Answer 1

Pourquoi pensez-vous qu'un Le nom d'utilisateur et le mot de passe sont-ils faibles? Cela semble fonctionner pour Google, donc c'est probablement assez bon pour vous.

Je ne vois pas comment recaptcha vous aiderait, et je pense que limiter l'accès à certaines adresses IP est probablement va être utile si vous utilisez Django dans un cadre de style d'entreprise, où vous ne jamais voulez que les gens pour accéder à votre site d'administration à partir du réseau d'entreprise, même si cela va probablement vous brûler à long terme lorsque les adresses IP internes changent pour une raison quelconque. Si vous êtes préoccupé par les attaques par force brute, vous pourriez être intéressé par les commentaires de Luke Plant sur this thread dans la liste de diffusion django-developers, et this post par Simon Willison, l'un des principaux développeurs de Django.