我以为我可能会限制它仅在某些IP上显示,但我有一些没有静态IP的自由职业者应该可以登录管理站点。我推出了一个大项目,我正在寻找一些方法来保护管理网站,以防止不必要的眼睛。
答案 0 :(得分:3)
如果您在apache后面运行它,您可以使用其中一个模块进行HTTP身份验证(其他服务器也有类似的模块)。这样,用户甚至无需登录即可进入登录页面。
另一种选择是阻止远程URL的所有访问,并要求用户使用VPN访问管理页面。 (我认为这太麻烦了)
我们有一个网站,管理界面位于一个单独的域中,它不会隐藏任何内容,只会将它们分开。
答案 1 :(得分:2)
1)受IP限制。在您的情况下这可能不是完全可能的,但是您仍然可以考虑仅允许少数子网,我不认为即使您的用户具有动态IP,如果每次都在同一网络上访问,他们最有可能从同一子网获取IP。这可以降低完全开放的风险。
2)将默认管理员网址更改为不明显的内容。
答案 2 :(得分:1)
我们现在正在努力解决这个问题。我们最初限制IP访问(但在客户签收后)要求关闭限制。我们目前在管理员的顶部有digest auth。我们正在考虑登录尝试限制和最低密码强度要求。我相信这些将是相关的保护,因为保护管理员包括防止不良密码选择的保护。
时间和预算允许我们可以查看mod_security的许多内容,包括IP地址信誉(地理位置),黑名单和暴力攻击检测。