Admin-Pfad ändern Cross-Site Request Forgery (CSRF)

      Admin-Pfad ändern Cross-Site Request Forgery (CSRF)

      Viele haben sicherlich das PopUp nach dem Login ins Backend bereits bemerkt und versucht den Admin-Pfad umzustellen. Leider kommt es dabei immer wieder zu Problemen, da ein wichtiger Punkt im Magento-Blogbeitrag zum Thema schnell überlesen wird. - Ausführliche Infos zum Angriff gibt es bei Wikipedia (Cross-Site Request Forgery – Wikipedia), daher werden wir an dieser Stelle nur auf die Sicherung des Shops eingehen.

      1.) Es müssen ALLE Caches unter

      Quellcode

      1. SYSTEM => CACHE VERWALTUNG
      deaktiviert werden. Werden die Caches nicht deaktiviert ist ein Login ins Backend nur noch schwer möglich!!!

      2.) Als nächstes wird die Datei

      Quellcode

      1. app/etc/local.xml
      mit dem FTPClient zur Bearbeitung geöffnet. Nun folgen wir dem XML-Pfad

      Quellcode

      1. admin->routers->adminhtml->args->frontName
      und ändern den Eintrag "admin" in eine beliebige Zeichenkette, z.B. "shop_admin" oder "d2686e18b". (Bitte verwenden Sie nicht eines dieser Beispiele!)

      3.) Nun rufen wir das Backend über die neue URL auf, in unserem Fall wäre dies "http://ihre-domain.de/shop_admin/" oder "http://ihre-domain.de/d2686e18b/".

      4.) Wenn der Login erfolgreich war und das Backend wie gewohnt reagiert vergessen Sie bitte nicht die Caches wieder zu aktivieren!

      Normalerweise sollten unsere Kunden durch die Application Firewall vor dieser Art Angriff geschützt werden. Da es allerdings nie einen 100%igen Schutz geben kann sollte diese Änderung bei der nächsten Gelegenheit eingespielt werden.
      Magento Hosting | Cloud Server | Shopware Hosting | Elasticsearch Hosting
      Unsere Hosting-Lösungen nutzen ultraschnelle SSDs und sind jederzeit skalierbar.