Configurar la seguridad de administración

Última actualización: 14 de julio de 2024

Creado para:

  • Principiante
  • Intermedio
  • Administrador

Le recomendamos que adopte un enfoque multifacético para proteger la seguridad de su tienda. Puede empezar por usar una URL de administrador personalizada que no sea fácil de adivinar, en lugar de las obvias "Admin" o "Backend". De manera predeterminada, las contraseñas que se usan para iniciar sesión en el administrador deben contener siete o más caracteres e incluir letras y números. Como práctica recomendada, use solamente contraseñas de administrador seguras que incluyan una combinación de letras, números y símbolos. Adobe Commerce y Magento Open Source no permiten la reutilización de las últimas cuatro contraseñas asignadas a la cuenta.

La configuración de seguridad de administración le permite:

  • Añadir una clave secreta a las direcciones URL
  • Requerir que las contraseñas distingan entre mayúsculas y minúsculas
  • Limitar la duración de las sesiones de administración
  • Limitar la duración de las contraseñas
  • Limite el número de intentos de inicio de sesión que pueden realizarse antes de que la cuenta de usuario administrador esté bloqueada.

Para aumentar la seguridad, puede configurar la duración de la inactividad del teclado antes de que caduque la sesión actual y requerir que el nombre de usuario y la contraseña distingan entre mayúsculas y minúsculas.

Además de la configuración de seguridad de esta sección, se requiere autenticación de doble factor (2FA) para comprobar la identidad de los usuarios con una contraseña de un solo uso generada por una aplicación o dispositivo. Se le pedirá que configure 2FA la primera vez que inicie sesión en el administrador. Para mayor seguridad, el inicio de sesión de administrador también puede configurarse para requerir un CAPTCHA.

NOTE
Las tiendas que han habilitado la autenticación Adobe Identity Management Services (IMS) tienen Adobe Commerce nativo y el Magento Open Source 2FA deshabilitado. Los usuarios administradores que han iniciado sesión en su instancia de Commerce con sus credenciales de Adobe no necesitan volver a autenticarse en muchas tareas de administración. La autenticación la gestiona Adobe IMS cuando el usuario administrador inicia sesión en su sesión actual. Ver Adobe Identity Management Service (IMS) Descripción general de la integración.

Para obtener información técnica, consulte Información general de seguridad{:target="_blank"} en la documentación para desarrolladores.

Seguridad de administración

Configurar la seguridad de administración

  1. En la barra lateral Admin, vaya a Stores > Settings>Configuration.

  2. En el panel izquierdo bajo Advanced, elija Admin.

  3. Expanda Selector de expansión en la sección Security.

  4. Para evitar que los usuarios administradores inicien sesión desde la misma cuenta en distintos dispositivos, establezca Admin Account Sharing en No.

  5. Para determinar el método que se usa para administrar las solicitudes de restablecimiento de contraseña, establezca Password Reset Protection Type en uno de los siguientes:

    • By IP and Email: la contraseña se puede restablecer en línea después de recibir una respuesta de la notificación y enviarla a la dirección de correo electrónico asociada a la cuenta de administrador.
    • By IP: la contraseña se puede restablecer en línea sin confirmación adicional.
    • By Email: la contraseña solo se puede restablecer respondiendo por correo electrónico a la notificación que se envía a la dirección de correo electrónico asociada a la cuenta de administrador.
    • None: la contraseña solo la puede restablecer el administrador del almacén.

  6. Establecer opciones de seguridad de inicio de sesión:

    • Para Recovery Link Expiration Period (hours), escriba el número de horas que un vínculo de recuperación de contraseña será válido.

    • Para determinar la cantidad máxima de solicitudes de contraseña que se pueden enviar por hora, ingrese el número de Max Number of Password Reset Requests.

    • Para Min Time Between Password Reset Requests, escriba el número mínimo de minutos que deben transcurrir entre solicitudes de restablecimiento de contraseña.

    • Para anexar una clave secreta a la dirección URL del administrador como medida de precaución contra ataques de explotación, establezca Add Secret Key to URLs en Yes. Esta opción está habilitada de forma predeterminada.

    • Para requerir que el uso de caracteres en mayúsculas y minúsculas en las credenciales de inicio de sesión especificadas coincidan con lo que está almacenado en el sistema, establezca Login is Case Sensitive en Yes.

    • Para determinar la duración de una sesión de administrador antes de que se agote el tiempo de espera, escriba la duración de la sesión en segundos para el campo Admin Session Lifetime (seconds). El valor debe ser de 60 segundos o más.

    • Para Maximum Login Failures to Lockout Account, escriba el número de veces que un usuario puede intentar iniciar sesión en el Administrador antes de que se bloquee la cuenta. De forma predeterminada, se permiten seis intentos. Deje el campo vacío para intentos de inicio de sesión ilimitados.

    • Para Lockout Time (minutes), introduzca el número de minutos que una cuenta de administrador está bloqueada cuando se cumple el número máximo de intentos.

  7. Establecer opciones de contraseña:

    • Para limitar la duración de las contraseñas de administrador, escriba el número de días durante los cuales una contraseña será válida para Password Lifetime (days). Deje el campo en blanco durante un tiempo ilimitado.

    • Establezca Password Change en una de las siguientes opciones:

      • Forced — Requiere que los usuarios administradores cambien sus contraseñas después de configurar la cuenta.
      • Recommended — Recomienda que los usuarios administradores cambien sus contraseñas después de configurar la cuenta.

  8. Una vez finalizado, haga clic en Save Config.