Admin-Sicherheit konfigurieren

Wir empfehlen Ihnen einen vielschichtigen Ansatz, um die Sicherheit Ihres Shops zu schützen. Sie können damit beginnen, eine benutzerdefinierte Admin-URL zu verwenden, die nicht leicht zu erraten ist, und nicht das offensichtliche “Admin” oder “Backend” Standardmäßig müssen Passwörter, die für die Anmeldung bei der Verwaltung verwendet werden, sieben oder mehr Zeichen lang sein und sowohl Buchstaben als auch Zahlen enthalten. Als Best Practice sollten Sie nur sichere Admin-Passwörter verwenden, die eine Kombination aus Buchstaben, Zahlen und Symbolen enthalten. Adobe Commerce und Magento Open Source lassen die Wiederverwendung der letzten vier dem Konto zugewiesenen Kennwörter nicht zu.

Die Admin-Sicherheitskonfiguration bietet Ihnen die Möglichkeit, einen geheimen Schlüssel zu URLs hinzuzufügen, die Groß- und Kleinschreibung von Passwörtern zu verlangen und die Länge von Admin-Sitzungen, die Lebensdauer von Passwörtern und die Anzahl der Anmeldeversuche zu begrenzen, bevor das Admin-Benutzerkonto [gesperrt] wird(/de/jajuma-shop/magento-2-handbuch/system/permissions-locked-users.html). Um die Sicherheit zu erhöhen, können Sie die Dauer der Inaktivität der Tastatur konfigurieren, bevor die aktuelle Sitzung abläuft, und Groß- und Kleinschreibung für den Benutzernamen und das Kennwort vorschreiben.

Zusätzlich zu den Sicherheitseinstellungen in diesem Abschnitt ist die Zwei-Faktor-Authentifizierung (2FA) erforderlich, um die Identität der Benutzer mit einem Einmalpasswort zu überprüfen, das von einer App oder einem Gerät generiert wird. Sie werden aufgefordert, 2FA einzurichten, wenn Sie sich das erste Mal bei der Verwaltung anmelden. Für zusätzliche Sicherheit kann die Admin-Anmeldung auch so konfiguriert werden, dass ein CAPTCHA erforderlich ist.

Technische Informationen finden Sie unter Sicherheitsübersicht in der Entwicklerdokumentation.

Sicherheit

Konfigurieren Sie die Admin-Sicherheit

  1. Gehen Sie in der Seitenleiste von Admin auf Stores > Einstellungen > Konfiguration.

  2. Wählen Sie in der linken Leiste unter Erweitert die Option Admin.

  3. Erweitern Sie Erweiterungsselektor den Abschnitt Sicherheit.

  4. Um zu verhindern, dass sich Admin-Benutzer mit demselben Konto auf verschiedenen Geräten anmelden, setzen Sie die Admin-Kontofreigabe auf Nein.

  5. Um die Methode festzulegen, die für die Verwaltung von Anfragen zum Zurücksetzen von Kennwörtern verwendet wird, setzen Sie Schutztyp für Kennwortrücksetzung auf eine der folgenden Optionen:

    • Per IP und E-Mail - Das Kennwort kann online zurückgesetzt werden, nachdem eine Antwort von der Benachrichtigung an die mit dem Admin-Konto verknüpfte E-Mail-Adresse gesendet wurde.
    • Per IP - Das Passwort kann ohne zusätzliche Bestätigung online zurückgesetzt werden.
    • Per E-Mail - Das Kennwort kann nur zurückgesetzt werden, wenn Sie per E-Mail auf die Benachrichtigung antworten, die an die mit dem Verwaltungskonto verknüpfte E-Mail-Adresse gesendet wird.
    • Keine - Das Passwort kann nur vom Shop-Administrator zurückgesetzt werden.
  6. Legen Sie die Sicherheitsoptionen für die Anmeldung fest:

    • Geben Sie in das Feld Ablaufzeit des Wiederherstellungslinks (Stunden) die Anzahl der Stunden ein, die ein Passwort-Wiederherstellungslink gültig bleibt.

    • Um die maximale Anzahl der Passwortanfragen zu bestimmen, die pro Stunde gestellt werden können, geben Sie die Max Number of Password Reset Requests ein.

    • Geben Sie in das Feld Min Time Between Password Reset Requests (Mindestzeit zwischen Kennwortrücksetzungsanfragen) die Mindestanzahl von Minuten ein, die zwischen Kennwortrücksetzungsanfragen vergehen müssen.

    • Um einen geheimen Schlüssel an die Admin-URL als Vorsichtsmaßnahme gegen Exploits anzuhängen, setzen Sie Geheimen Schlüssel zu URLs hinzufügen auf Ja. Diese Einstellung ist standardmäßig aktiviert.

    • Um zu verlangen, dass die Groß- und Kleinschreibung in den eingegebenen Anmeldedaten mit den im System gespeicherten Daten übereinstimmt, setzen Sie Login is Case Sensitive auf Ja.

    • Um die Dauer einer Admin-Sitzung zu bestimmen, bevor sie abläuft, geben Sie die Dauer der Sitzung in Sekunden in das Feld Lebensdauer der Admin-Sitzung (Sekunden) ein. Der Wert muss 60 Sekunden oder mehr betragen.

    • Geben Sie in das Feld Maximale Anmeldefehler bis zur Sperrung des Kontos ein, wie oft ein Benutzer versuchen kann, sich bei der Verwaltung anzumelden, bevor das Konto gesperrt wird. Standardmäßig sind sechs Versuche zulässig. Für unbegrenzte Anmeldeversuche lassen Sie das Feld leer.

    • Geben Sie in das Feld Sperrzeit (Minuten) die Anzahl der Minuten ein, die ein Verwaltungskonto gesperrt wird, wenn die maximale Anzahl von Versuchen erreicht ist.

  7. Legen Sie Passwortoptionen fest:

    • Um die Lebensdauer von Administratorkennwörtern zu begrenzen, geben Sie in das Feld Lebensdauer des Kennworts (Tage) die Anzahl der Tage ein, die ein Kennwort gültig ist. Für eine unbegrenzte Lebensdauer lassen Sie das Feld leer.

    • Setzen Sie Passwortänderung auf eine der folgenden Optionen:

      • Erzwungen - Erfordert, dass Admin-Benutzer ihre Kennwörter nach der Einrichtung des Kontos ändern.
      • Empfohlen - Empfiehlt, dass Admin-Benutzer ihre Passwörter nach der Einrichtung des Kontos ändern.
  8. Wenn Sie fertig sind, klicken Sie auf Save Config.

Anforderungen an das Admin-Kennwort

  • Passwort - Standardmäßig muss ein Admin-Passwort sieben oder mehr Zeichen lang sein und sowohl Buchstaben als auch Zahlen enthalten.