Zurück zur Übersicht

Simsalabim - sicherer OXID-Adminbereich in 3 Schritten

03.08.2016

ZauberhutDer Administrationsbereich (= Backend) von OXID lässt sich in aller Regel aufrufen, indem man /admin an die Shop-Adresse anhängt.

Somit kann jeder, der sich ein bißchen auskennt und Langeweile hat (es sind ja grad Ferien), problemlos das Login-Formular aufrufen und ein bissel damit "herumexperimentieren". Verwendet man dann als Benutzernamen z. B. "admin" (gerne verwendet) und ein schwaches Passwort, ist es nur eine Frage der Zeit, bis es jemand unberechtigt in den heiligen Bereich schafft.

Der Adminbereich muss aber gar nicht zwingend unter /admin erreichbar sein. Er könnte beispielsweise /sonne oder /kartoffelsalat heißen. Aber auch /_admin (mit Unterstrich) erhöht bereits die Sicherheit des Shop-Backends enorm.

Und das lässt sich sogar sehr einfach - innerhalb von 10 bis 15 Minuten - durchführen.

Um den Zugang zum Adminbereich umzubenennen, bedarf es zwei Schritte:

Schritt 1 - Verzeichnis "admin" im Shop umbenennen

Nennen Sie es so, wie der Adminbereich in Zukunft aufgerufen werden soll. Machen Sie aus dem Ordner admin also z. B. kartoffelsalat.

Schritt 2 - Pfad anpassen

Das können Sie in der Datei config.inc.php, die direkt im Shop-Root liegt. Dort gibt es einen Eintrag

$this->sAdminSSLURL = null;

Eventuell steht hier statt null auch schon ein Pfad dahinter. Tragen Sie anstelle dessen in Hochkommata Ihre Shop-URL gefolgt von dem neuen Admin-Namen (/kartoffelsalat) ein, also z.B.

$this->sAdminSSLURL = 'http://www.meine-shopurl.de/kartoffelsalat';

Das ist der neue Pfad zum Backend. Achtung, unter /admin erreichen Sie es fortan nicht mehr!

Leeren Sie anschließend das tmp-Verzeichnis des Shops, damit alle Pfade im Adminbereich angepasst werden.

Für Fortgeschrittene: Natürlich können Sie auch eine Subdomain erstellen (z. B. admin.meine-shopurl.de) und auf das umbenannte /admin Verzeichnis zeigen lassen. Das wäre vielleicht auch leichter zu merken als /kartoffelsalat :)

Optional Schritt 3 - SSL nutzen

Wenn wir dann mal dabei sind, können wir den Adminbereich auch gleich verschlüsseln. Ein SSL-Zertifikat haben Sie vermutlich ohnehin für Ihren Shop, warum dann nicht auch fürs Backend nutzen? Der Vorteil ist, dass alle Daten damit verschlüsselt übertragen werden, also nicht mitgelesen werden können.

Ersetzen Sie dazu das http am Anfang durch https, so dass dort nun steht:

$this->sAdminSSLURL = 'https://www.meine-shopurl.de/kartoffelsalat';

Achtung, wenn Sie stattdessen eine Subdomain verwenden, müssen Sie gegebenenfalls für diese ein zusätzliches SSL-Zertifikat beauftragen. Testen Sie das einfach aus.

Die config.inc.php muss übrigens nach der Änderung wieder auf die Zugriffsrechte 0444 (nur Lesen) zurückgesetzt werden.

Fragen? Hilfe benötigt?

Selbstverständlich richten wir Ihnen Ihren Adminbereich auch nach Ihren Wünschen ein. Bitte sprechen Sie uns einfach an.

Kategorien: Recht & Sicher | Schlagworte: Anleitung, OXID Backend, Sicherheit, Tutorial

Beitrag kommentieren

Wie alle anderen Websites verwendet auch unsere Cookies. Wenn du unsere Website verwendest, stimmst du dem zu.

Mehr Infos

Einverstanden!