Admin Security konfigurieren
Es wird empfohlen, einen facettenreichen Ansatz zu wählen, um die Sicherheit Ihres Stores zu schützen. Sie können mit einer benutzerdefinierten Admin-URL beginnen, die nicht einfach zu erraten ist, anstatt mit dem offensichtlichen "Admin"oder "Backend". Standardmäßig müssen Kennwörter, die für die Anmeldung beim Administrator verwendet werden, mindestens sieben Zeichen lang sein und sowohl Buchstaben als auch Zahlen enthalten. Verwenden Sie als Best Practice für nur sichere Admin-Passwörter, die eine Kombination aus Buchstaben, Zahlen und Symbolen enthalten.Adobe Commerce und Magento Open Source lassen die Wiederverwendung der vier letzten dem Konto zugewiesenen Passwörter nicht zu.
Die Konfiguration der Admin-Sicherheit bietet Ihnen folgende Möglichkeiten:
- Einen geheimen Schlüssel zu URLs hinzufügen
- Passwörter müssen zwischen Groß- und Kleinschreibung unterscheiden
- Länge von Admin-Sitzungen begrenzen
- Lebensdauer von Kennwörtern begrenzen
- Begrenzen Sie die Anzahl der Anmeldeversuche, die unternommen werden können, bevor das Admin-Benutzerkonto gesperrt ist.
Um die Sicherheit zu erhöhen, können Sie die Dauer der Tastaturinaktivität konfigurieren, bevor die aktuelle Sitzung abläuft, und verlangen, dass beim Benutzernamen und Kennwort die Groß- und Kleinschreibung beachtet wird.
Zusätzlich zu den Sicherheitseinstellungen in diesem Abschnitt ist die zweifaktorielle Authentifizierung🔗 (2FA) erforderlich, um die Identität der Benutzer mit einem einmaligen Kennwort zu überprüfen, das von einer App oder einem Gerät generiert wird. Sie werden beim ersten Anmelden bei Admin aufgefordert, 2FA einzurichten. Für zusätzliche Sicherheit kann die Admin-Anmeldung auch so konfiguriert werden, dass eine CAPTCHA erforderlich ist.
Technische Informationen finden Sie unter Sicherheitsübersicht{:target="_blank"} in der Entwicklerdokumentation.
Admin Security konfigurieren
-
Wechseln Sie in der Seitenleiste Admin zu Stores > Settings>Configuration.
-
Wählen Sie im linken Bereich unter Advanced die Option Admin.
-
Erweitern Sie im Abschnitt Security .
-
Um zu verhindern, dass sich Admin-Benutzer von demselben Konto auf verschiedenen Geräten aus anmelden, setzen Sie Admin Account Sharing auf
No
. -
Um die Methode zu bestimmen, mit der Kennwortrücksetzanforderungen verwaltet werden, setzen Sie Password Reset Protection Type auf eine der folgenden Optionen:
By IP and Email
- Das Kennwort kann online zurückgesetzt werden, nachdem eine Antwort von der Benachrichtigung erhalten wurde und an die mit dem Admin-Konto verknüpfte E-Mail-Adresse gesendet wurde.By IP
- Das Kennwort kann ohne zusätzliche Bestätigung online zurückgesetzt werden.By Email
- Das Kennwort kann nur zurückgesetzt werden, indem eine E-Mail-Antwort auf die Benachrichtigung gesendet wird, die an die mit dem Admin-Konto verknüpfte E-Mail-Adresse gesendet wird.None
- Das Kennwort kann nur vom Store-Administrator zurückgesetzt werden.
-
Legen Sie Anmeldesicherheitsoptionen fest:
-
Geben Sie für "Recovery Link Expiration Period (hours)"die Anzahl der Stunden ein, in denen ein Link zur Passwortwiederherstellung gültig bleibt.
-
Geben Sie die Zahl für "Max Number of Password Reset Requests" ein, um die maximale Anzahl von Kennwortanfragen zu bestimmen, die pro Stunde gesendet werden können.
-
Geben Sie für "Min Time Between Password Reset Requests"die Mindestanzahl von Minuten ein, die zwischen den Anforderungen zum Zurücksetzen des Kennworts übergeben werden müssen.
-
Um einen geheimen Schlüssel an die Admin-URL anzuhängen, als Vorsichtsmaßnahme gegen Exploits, setzen Sie Add Secret Key to URLs auf
Yes
. Diese Einstellung ist standardmäßig aktiviert. -
Damit die Verwendung von Groß- und Kleinbuchstaben in eingegebenen Anmeldedaten mit den im System gespeicherten Werten übereinstimmt, setzen Sie Login is Case Sensitive auf
Yes
. -
Geben Sie die Dauer einer Admin-Sitzung vor Ablauf der Sitzung in Sekunden für das Feld Admin Session Lifetime (seconds) ein. Der Wert muss mindestens 60 Sekunden betragen.
-
Geben Sie für "Maximum Login Failures to Lockout Account"an, wie oft ein Benutzer versuchen kann, sich beim Administrator anzumelden, bevor das Konto gesperrt wird. Standardmäßig sind sechs Versuche zulässig. Lassen Sie das Feld für unbegrenzte Anmeldeversuche leer.
-
Geben Sie für "Lockout Time (minutes)"die Anzahl der Minuten ein, die ein Admin-Konto gesperrt wird, wenn die maximale Anzahl von Versuchen erreicht ist.
-
-
Kennwortoptionen festlegen:
-
Um die Lebensdauer von Admin-Passwörtern zu begrenzen, geben Sie die Anzahl der Tage ein, für die ein Passwort für Password Lifetime (days) gültig ist. Lassen Sie das Feld für eine unbegrenzte Lebensdauer leer.
-
Setzen Sie Password Change auf einen der folgenden Werte:
Forced
- Erfordert, dass Admin-Benutzer ihr Passwort nach der Kontoeinrichtung ändern.Recommended
- Empfiehlt Admin-Benutzern, ihr Passwort nach der Kontoeinrichtung zu ändern.
-
-
Klicken Sie nach Abschluss des Vorgangs auf Save Config.
Passwortanforderungen für Administratoren
Standardmäßig muss ein Admin-Kennwort aus sieben oder mehr Zeichen bestehen und sowohl Buchstaben als auch Zahlen enthalten.