Die Shopware 6 Administration vor ungewollten Zugriffen schützen

Johannes Przymusinski 4. Januar 2023 2 Min. Lesezeit

Die Administration deines Shopware Shops ist ein sensibler Bereich. Erfahre hier wie du ihn am besten schützen kannst.

Mit dem Shopware 6 Plugin JopsoAdminSecurity kannst du die Administration deines Shops ganz einfach vor ungewolltem Zugriff schützen.

Konfigurieren kannst du dies über die Shopware Administration selbst und musst keine Konfiguration an deinem Web-Server vornehmen.

Das Shopware Plugin erhältst du im Shopware Store: https://store.shopware.com/jopso66145942157/admin-schutz.html

Zum Schutz der Administration stehen dir hier zwei Optionen zur Verfügung:

IP Basierter Schutz

Konfiguration des IP basiertem Schutzes, bestehend aus einer Schaltfläche zum Aktivieren und einer Liste an erlaubten IP-Adressen.

In der Administration kannst du eine Liste and freigegebenen IP Adresen oder Subnetzen in CIDR Notation hinterlegen.

Hier kannst du z.B. die öffentliche IP Adresse deines eigenen Routers hinterlegen oder die öffentliche IP-Adresse deines VPNs um eine VPN Verbindung zu erzwingen wenn man auf die Shopware Administration zugreifen möchte.

Die Administration zeigt die in dem Info Feld immer die IP Adresse an, von welcher dein Request aktuell kommt. Hierbei kann es sein dass es sich nicht um deine eigentliche, öffentliche IP-Adresse handelt, sondern um die eines Proxy-Servers. Dies kann vor allem passieren, wenn du Shopware in einem Docker-Setup oder in der Cloud betreibst. Spreche in diesem Fall am besten mit deinem Hoster, da dann etwas in der Konfiguration des Proxies nicht zu stimmen scheint.

Gerne kannst du auch Kontakt zu mir aufnehmen, dann helfe ich dir gerne das Problem zu Lösen.

Passwortschutz

Neben der Möglichkeit die Administration nur für bestimmte IP-Adressen / Subnetze freizugeben, kannst du auch ein Passwortschutz (Basic Auth) hinterlegen.

Hierfür kannst du einfach Benutzername und Passwort in der Konfiguration hinterlegen. Der Browser wird dich beim nächsten Request dann nach diesen Zugangsdaten fragen.

Konfiguration, des Passwortschutzes, bestehend aus einer Schaltfläche zum Aktivieren und je einem Feld für Benutzername und Passwort.

Freigeben der Administration im Falle einer Fehl-Konfiguration

Aber was ist, wenn ich die Zugangsdaten für den Passwortschutz vergessen habe, oder ich einen Fehler in der Konfiguration der IP-Adressen gemacht habe?

In diesem Fall kannst du mit dem Befehl

bin/console jop-software:admin-security:unlock-administration

Den Schutz des Backends wieder aufheben. Es wird sowohl der IP-Schutz, als auch der Passwortschutz deaktiviert, die eingetragenen Werte bleiben aber erhalten.

Zurück zur Blog-Übersicht