我曾考虑将其限制为仅显示在某些IP上,但我有一些没有静态IP的自由职业者需要能够登录到管理站点。我推出了一个大项目,正在寻找一些保护管理站点免受不必要的访问的方法。
我曾考虑将其限制为仅显示在某些IP上,但我有一些没有静态IP的自由职业者需要能够登录到管理站点。我推出了一个大项目,正在寻找一些保护管理站点免受不必要的访问的方法。
1)限制IP范围。在您的情况下可能不是完全可能的,但您可以考虑只允许少数子网访问。如果用户每次都在同一网络上访问,则即使他们的IP是动态的,它们很可能来自同一子网。这可以降低被完全暴露的风险。
2)将默认管理员URL更改为非显而易见的内容。
我们目前正在探讨这个问题。最初,我们通过IP地址限制了访问权限,但在客户签署后被要求关闭该限制。我们目前在管理员上使用摘要认证。我们正在考虑登录尝试限制和最小密码强度要求。我认为这些将是相关的保护措施,因为保护管理员包括防止选择弱密码。
如果时间和预算允许,我们可能会考虑mod_security,用于许多事情,包括IP地址声誉(地理位置)、黑名单和暴力攻击检测。