¿Es posible que alguien piratee mi aplicación de administración de django, si no creo un usuario para ella, ejecutando:
python manage.py createsuperuser
Por ejemplo, ¿hay un par de nombre de usuario y contraseña predeterminado que alguien pueda usar para obtener acceso a django admin?
No hay un usuario predeterminado, y el estado docs :
El nombre de usuario y la dirección de correo electrónico para la nueva cuenta se pueden proporcionar usando los argumentos --usuario y nombre de usuario en la línea de comandos. Si no se proporciona alguno de estos, el usuario creador lo solicitará cuando se ejecute de forma interactiva.
Como tal, no hay ningún usuario predeterminado con el que puedas iniciar sesión.
Sí, si alguien puede ejecutar el comando Crear usuario, puede crear un nuevo usuario administrador y usarlo, pero también puede ejecutar cualquier comando que desee, por lo que en ese momento ya lo perdió.
Creo que tu pregunta se reduce a esto, ¿verdad?
hay un par predeterminado de nombre de usuario y contraseña
Si es así, la respuesta es "no". Aquí está la documentación para createsuperuser
Por supuesto, también debe estar atento a las consideraciones generales de seguridad de su aplicación web, incluidos los problemas de autenticación que no están directamente relacionados con la presencia o ausencia de un usuario predeterminado.
Este es otro gran recurso que le sugiero que consulte.