Türchen 04: Admin-URL ändern

Türchen 04 ist ein Sicherheits-Türchen. Um automatische Angriffen ein wenig vorzubeugen ist es sinnvoll die Admin-URL im Live-System zu verändern. Das hat den Vorteil das Aktionen, wenn man im Magento-Admin angemeldet ist, nicht einfach von anderen Webseiten über z.B. I-Frame ausgelöst werden können. Zwar versucht Magento durch das anhängen von Keys in der URLs vorzubeugen - leider unterstützen das bei weitem noch nicht alle Module so das das Feature mitunter deaktiviert ist.

Die Admin URL wird in der local.xml in app/etc/local.xml gespeichert:

<admin>
        <routers>
            <adminhtml>
                <args>
                    <frontName><![CDATA[admin]]></frontName>
                </args>
            </adminhtml>
        </routers>
    </admin>

Anstelle von "admin" kann dort ein fast beliebiger Name eingetragen werden. Der Name sollte natürlich nicht mit einem Link des Shops kollidieren. Danach noch den Cache in var/cache komplett leeren und die Administration hat eine völlig neue URL.



Ein Beitrag von Tobias Vogt
Tobias's avatar

Tobias Vogt arbeitet seit 2008 mit Magento und ist seit 2011 durch Magento zertifizierter Entwickler. Seit 2016 ist er Mitgründer und CTO bei der connect-io GmbH, einer Magento-Agentur mit Sitz im idyllischen Paderborn-Salzkotten. Er gehört zum Gründer-Team der Webguys und ist seit November 2011 Bachelor of Science (Wirtschaftsinformatik). Sie erreichen Ihn per E-Mail unter tobi@webguys.de.

Alle Beiträge von Tobias

Kommentare
Peter am

wie kann ich dir url zum downloader ändern? wenn ich die berechtigung auf 000 setze kann ich keine magento interen backups mehr machen, weil die berechtigung fehlt zu lesen:

Tobias Vogt am

Hey Ralf,

das stimmt. Soweit hatte ich in dem Beitrag gar nicht gedacht. In der Regel kann man auf dem Echtsystem den Downloader auch komplett entfernen (oder chmod 000) dann erledigt sich dieses Problem schon einmal. Zumindest so lange man ein Staging-System besitzt ;)

schönen Gruß

Tobi

Ralf Siepker am

Security by Obscurity. :-)

Aber bitte nicht vergessen, auch weitere Maßnahmen zu ergreifen, denn ansonsten bringt die ganze Aktion nichts. So verweist z.B. der Downloader auf die geänderte Admin-URL. Ein gutes Beispiel ist hier DailyDeal: http://dailydeal.de/downloader/ verweist auf http://dailydeal.de/office/

Dein Kommentar