DocumentaciónCommerceGuía de sistemas de administración

Configurar la seguridad de administración

Last update: Mon Nov 27 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Creado para:

  • Principiante
  • Intermedio
  • Administrador

Le recomendamos que adopte un enfoque multifacético para proteger la seguridad de su tienda. Puede empezar por usar una URL de administrador personalizada esto no es fácil de adivinar, más que el obvio "Admin" o "Backend". De forma predeterminada, las contraseñas utilizadas para iniciar sesión para el administrador debe tener siete caracteres o más e incluir letras y números. As a práctica recomendada, utilice únicamente contraseñas de administrador seguras que incluyan una combinación de letras, números y símbolos. Adobe Commerce y Magento Open Source no permiten la reutilización de las últimas cuatro contraseñas asignadas a la cuenta.

La configuración de seguridad de administración le permite:

  • Añadir una clave secreta a las direcciones URL
  • Requerir que las contraseñas distingan entre mayúsculas y minúsculas
  • Limitar la duración de las sesiones de administración
  • Limitar la duración de las contraseñas
  • Limitar el número de intentos de inicio de sesión que se pueden realizar antes de que se abra la cuenta de usuario Administrador bloqueado.

Para aumentar la seguridad, puede configurar la duración de la inactividad del teclado antes de que caduque la sesión actual y requerir que el nombre de usuario y la contraseña distingan entre mayúsculas y minúsculas.

Además de la configuración de seguridad de esta sección, autenticación de doble factor (2FA) es necesario para verificar la identidad de los usuarios con una contraseña única generada por una aplicación o dispositivo. Se le pedirá que configure 2FA la primera vez que inicie sesión en el administrador. Para mayor seguridad, el inicio de sesión de administrador también se puede configurar para requerir una CAPTCHA.

NOTE
Tiendas que han activado Adobe Identity Management Services La autenticación (IMS) tiene Adobe Commerce nativo y el Magento Open Source 2FA deshabilitado. Los usuarios administradores que han iniciado sesión en su instancia de Commerce con sus credenciales de Adobe no necesitan volver a autenticarse en muchas tareas de administración. La autenticación la gestiona Adobe IMS cuando el usuario administrador inicia sesión en su sesión actual. Consulte Adobe Identity Management Service (IMS) Resumen de la integración.

Para obtener información técnica, consulte Información general de seguridad{:target="_blank"} en la documentación para desarrolladores.

Seguridad de administración

Configurar la seguridad de administración

  1. En el Administrador barra lateral, vaya a Stores > Settings>Configuration.

  2. En el panel izquierdo, debajo de Advanced, elija Admin.

  3. Expandir Selector de expansión el Security sección.

  4. Para evitar que los usuarios administradores inicien sesión desde la misma cuenta en distintos dispositivos, establezca Admin Account Sharing hasta No.

  5. Para determinar el método que se utiliza para administrar las solicitudes de restablecimiento de contraseña, establezca Password Reset Protection Type a uno de los siguientes:

    • By IP and Email — La contraseña se puede restablecer en línea después de recibir una respuesta de la notificación a la dirección de correo electrónico asociada a la cuenta de administrador.
    • By IP — La contraseña se puede restablecer en línea sin confirmación adicional.
    • By Email — La contraseña solo se puede restablecer respondiendo por correo electrónico a la notificación que se envía a la dirección de correo electrónico asociada a la cuenta de administrador.
    • None — La contraseña sólo puede ser restablecida por el administrador del almacén.

  6. Establecer opciones de seguridad de inicio de sesión:

    • Para Recovery Link Expiration Period (hours), introduzca el número de horas que un vínculo de recuperación de contraseña sigue siendo válido.

    • Para determinar el número máximo de solicitudes de contraseña que se pueden enviar por hora, introduzca el número de Max Number of Password Reset Requests.

    • Para Min Time Between Password Reset Requests, introduzca el número mínimo de minutos que deben transcurrir entre solicitudes de restablecimiento de contraseña.

    • Para anexar una clave secreta a la URL de administración como medida de precaución frente a ataques de explotación, establezca Add Secret Key to URLs hasta Yes. Esta opción está habilitada de forma predeterminada.

    • Para requerir que el uso de caracteres en mayúsculas y minúsculas en las credenciales de inicio de sesión especificadas coincidan con lo que se almacena en el sistema, establezca Login is Case Sensitive hasta Yes.

    • Para determinar la duración de una sesión de administrador antes de que se agote el tiempo de espera, introduzca la duración de la sesión en segundos para Admin Session Lifetime (seconds) field. El valor debe ser de 60 segundos o más.

    • Para Maximum Login Failures to Lockout Account, introduzca el número de veces que un usuario puede intentar iniciar sesión en el administrador antes de que se bloquee la cuenta. De forma predeterminada, se permiten seis intentos. Deje el campo vacío para intentos de inicio de sesión ilimitados.

    • Para Lockout Time (minutes), introduzca el número de minutos que una cuenta de administrador está bloqueada cuando se cumple el número máximo de intentos.

  7. Establecer opciones de contraseña:

    • Para limitar la duración de las contraseñas de administrador, introduzca el número de días durante los cuales una contraseña es válida Password Lifetime (days). Deje el campo en blanco durante un tiempo ilimitado.

    • Establecer Password Change a uno de los siguientes:

      • Forced — Requiere que los usuarios administradores cambien sus contraseñas después de configurar la cuenta.
      • Recommended — Recomienda que los usuarios administradores cambien sus contraseñas después de configurar la cuenta.

  8. Cuando termine, haga clic en Save Config.

Requisitos de contraseña de administrador

De forma predeterminada, una contraseña de administrador debe tener siete caracteres o más e incluir letras y números.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1