Simsalabim - sicherer OXID-Adminbereich in 3 Schritten
03.08.2016
Der Administrationsbereich (= Backend) von OXID lässt sich in aller Regel aufrufen, indem man /admin an die Shop-Adresse anhängt.
Somit kann jeder, der sich ein bißchen auskennt und Langeweile hat (es sind ja grad Ferien), problemlos das Login-Formular aufrufen und ein bissel damit "herumexperimentieren". Verwendet man dann als Benutzernamen z. B. "admin" (gerne verwendet) und ein schwaches Passwort, ist es nur eine Frage der Zeit, bis es jemand unberechtigt in den heiligen Bereich schafft.
Der Adminbereich muss aber gar nicht zwingend unter /admin erreichbar sein. Er könnte beispielsweise /sonne oder /kartoffelsalat heißen. Aber auch /_admin (mit Unterstrich) erhöht bereits die Sicherheit des Shop-Backends enorm.
Und das lässt sich sogar sehr einfach - innerhalb von 10 bis 15 Minuten - durchführen.
Um den Zugang zum Adminbereich umzubenennen, bedarf es zwei Schritte:
Schritt 1 - Verzeichnis "admin" im Shop umbenennen
Nennen Sie es so, wie der Adminbereich in Zukunft aufgerufen werden soll. Machen Sie aus dem Ordner admin also z. B. kartoffelsalat.
Schritt 2 - Pfad anpassen
Das können Sie in der Datei config.inc.php, die direkt im Shop-Root liegt. Dort gibt es einen Eintrag
$this->sAdminSSLURL = null;
Eventuell steht hier statt null auch schon ein Pfad dahinter. Tragen Sie anstelle dessen in Hochkommata Ihre Shop-URL gefolgt von dem neuen Admin-Namen (/kartoffelsalat) ein, also z.B.
$this->sAdminSSLURL = 'http://www.meine-shopurl.de/kartoffelsalat';
Das ist der neue Pfad zum Backend. Achtung, unter /admin erreichen Sie es fortan nicht mehr!
Leeren Sie anschließend das tmp-Verzeichnis des Shops, damit alle Pfade im Adminbereich angepasst werden.
Für Fortgeschrittene: Natürlich können Sie auch eine Subdomain erstellen (z. B. admin.meine-shopurl.de) und auf das umbenannte /admin Verzeichnis zeigen lassen. Das wäre vielleicht auch leichter zu merken als /kartoffelsalat :)
Optional Schritt 3 - SSL nutzen
Wenn wir dann mal dabei sind, können wir den Adminbereich auch gleich verschlüsseln. Ein SSL-Zertifikat haben Sie vermutlich ohnehin für Ihren Shop, warum dann nicht auch fürs Backend nutzen? Der Vorteil ist, dass alle Daten damit verschlüsselt übertragen werden, also nicht mitgelesen werden können.
Ersetzen Sie dazu das http am Anfang durch https, so dass dort nun steht:
$this->sAdminSSLURL = 'https://www.meine-shopurl.de/kartoffelsalat';
Achtung, wenn Sie stattdessen eine Subdomain verwenden, müssen Sie gegebenenfalls für diese ein zusätzliches SSL-Zertifikat beauftragen. Testen Sie das einfach aus.
Die config.inc.php muss übrigens nach der Änderung wieder auf die Zugriffsrechte 0444 (nur Lesen) zurückgesetzt werden.
Fragen? Hilfe benötigt?
Selbstverständlich richten wir Ihnen Ihren Adminbereich auch nach Ihren Wünschen ein. Bitte sprechen Sie uns einfach an.
Kategorien: Recht & Sicher | Schlagworte: Sicherheit, So geht das
Tipps + News für deinen Shopware Online-Shop
Abonniere den Grips-Letter, und erhalte Ideen und Impulse für deinen Shopware Shop, die dir helfen, sichtbarer zu werden, deinen Umsatz zu steigern und Zeit, Geld und Nerven zu sparen. Für 0 Euro direkt in dein Postfach!
Du kannst dich jederzeit wieder abmelden. Mehr dazu findest du in unserer Datenschutzerklärung.
Ähnliche Beiträge
10.08.2016 | Recht & Sicher
04.03.2013 | Recht & Sicher
Warum Sie SSL für Ihren Shop brauchen, und wie Sie es bekommen
27.11.2024 | Recht & Sicher
Die neue Produktsicherheitsverordnung (GPSR) mit Shopware einfach umsetzen - so geht's
02.11.2022 | Zeit, Geld & Nerven
Wichtige Einstellungen, die du in deinem Shopware 6 vornehmen solltest
