単純な古い管理URLを使用してDjangoアプリの管理インターフェースにアクセスできるようにするのは危険ですか?セキュリティのために、64ビットの一意のuuidのような難読化されたURLの下に非表示にする必要がありますか?
また、管理インターフェースへのそのような難読化されたリンクを作成する場合、それがどこにあるかを誰かに見つけられないようにするにはどうすればよいでしょうか。あなたのサイトやインターネットのどこにもそのURLへのリンクがない場合、google-botはそのURLを見つける方法を知っていますか?
辞書攻撃に注意する必要があるかもしれません。最も安全な方法は、Web サーバー構成を使用してその URL へのアクセスを IP 制限することです。その URL へのアクセスをレート制限することもできます -これについては先週記事を投稿しました。
URL がインターネット上のどこにもない場合、「Googlebot」はそれを知ることができません...誰かがそれについて教えない限り. 残念ながら、多くのユーザーはブラウザーにツールバーをインストールしており、ブラウザーがアクセスしたすべての URL をさまざまなサーバー (Alexa、Google など) に送信します。
したがって、URL を秘密にしておくことは、長期的にはうまくいきません。
また、uuid は覚えにくく、入力しにくいため、追加のサポートが必要になります (「URL は何ですか?」)。
ただし、URL を変更することを強くお勧めします (例: /myadmin/)。これにより、自動スキャンおよび攻撃ツールが無効になります。したがって、ある日「巨大な Django ワーム」がインターネットを襲ったとしても、攻撃を受ける可能性ははるかに低くなります。
PHPmyAdmin を使用している人は、ここ数年、このような経験をしています。デフォルトの URL を変更すると、ほとんどの攻撃を回避できます。
余分な保護層 (難読化された URL) を追加しても害はありませんが、適切なパスワードの選択 (パスワードの強度を確認し、一般的なパスワードの大きなリストに含まれていないことを確認する) を強制すると、時間をより有効に活用できます。
あなたが良いパスワードを選んだと仮定すると、いいえ、それは危険ではありません。人々はそのページを見るかもしれ ませんが、とにかく入ることができません。
Googleにディレクトリのインデックスを作成させたくない場合は、robots.txtファイルを使用してディレクトリを制御できます。