Com assegurar l'admin de Django
Interessant article de Jeff Triplett en el qual en fa 10 recomanacions per assegurar l'accés al panell administració del Django.
Segur que algunes les sabeu de sempre, perquè fins i tot estan en la pròpia documentació del Django, però sempre és recomanable recordar-les per si de cas no les hem implementat a la nostra pàgina web. Després en sa casa, cadascú fa el que vol :).
A saber:
- Useu SSL. Recomanable sempre, més quan és tan fàcil.
- Canvieu l'URL de l'admin. Recomanable per no facilitar l'accés, simplement canviant el path predeterminat al fitxer urls.py.
- Instal·leu-vos l'aplicació django-admin-honeypot. Això simula un panell d'inici de sessió que fa que els atacants perden el temps fent no res. Per a Django 2.0 hi ha un pr encara sense aprovar.
- Obligueu-vos a posar contrasenyes fortes. Això en Django i en qualsevol sistema on calga iniciar sessió. Hi ha documentació al respecte recomanable.
- Useu l'autenticació de doble factor. Jo aquesta no la faig servir mai perquè és un conyàs, però com més sucre més dolç. Hi ha paquets per això, ja per Django 2.0.
- Useu la darrera versió de Django. Aquesta sí que la complisc de manera obsessiva diria jo, però no solament a Django, sinó a tots els meus servidors i sistemes. Els tinc sempre a la última.
- Mai no executeu Django amb el paràmetre debug=True. Això es diu per activa i per passiva en tota la documentació. Si aquest paràmetre està activat, això fa que en doneu informació del vostre servidor a l'atacant.
- Cuideu el servidor de producció. Si treballeu amb entorns de producció i de proves pot ser us enganyeu i esborreu coses que no volíeu. Hi ha paquets per distingir quan esteu al servidor de producció i quan no.
- Comproveu els errors del servidor al registre. Encara que la web des del navegador es veja perfecta, el registre del servidor pot estar avisant de problemes que no es veuen.
- Utilitzeu eines externes per comprovar el sistema. Per exemple, podeu anar a aquesta pàgina i posant l'URL vos dirà si el vostre Django té cap problema de seguretat. Aquesta eina la teniu apuntada als enllaços.
Com veieu, són consells senzills que poden fer la vostra web més segura i robusta.
Sense comentaris encara. Comenta ara