Configurare la sicurezza dell’amministratore
È consigliabile adottare un approccio multidimensionale per proteggere la sicurezza del negozio. Puoi iniziare utilizzando un URL amministratore personalizzato non facile da indovinare, anziché l'ovvio "Amministratore" o "Back-end". Per impostazione predefinita, le password utilizzate per accedere all'amministratore devono essere composte da sette o più caratteri e includere sia lettere che numeri. Come best practice, utilizza solo password amministratore complesse che includono una combinazione di lettere, numeri e simboli. Adobe Commerce e Magento Open Source non consentono il riutilizzo delle ultime quattro password assegnate all’account.
La configurazione della sicurezza Admin consente di:
- Aggiungere una chiave segreta agli URL
- Richiedi distinzione tra maiuscole e minuscole per le password
- Limitare la durata delle sessioni di amministrazione
- Limita la durata delle password
- Limita il numero di tentativi di accesso che possono essere effettuati prima che l'account utente amministratore sia bloccato.
Per una maggiore sicurezza, è possibile configurare la durata dell'inattività della tastiera prima della scadenza della sessione corrente e richiedere che il nome utente e la password siano sensibili all'uso di maiuscole e minuscole.
Oltre alle impostazioni di protezione in questa sezione, è necessaria l'autenticazione a due fattori (2FA) per verificare l'identità degli utenti con una password monouso generata da un'app o da un dispositivo. La prima volta che accedi all’amministratore, ti viene richiesto di configurare 2FA. Per ulteriore sicurezza, è possibile configurare l'accesso amministratore anche per richiedere un CAPTCHA.
Per informazioni tecniche, consulta Panoramica sulla sicurezza{:target="_blank"} nella documentazione per gli sviluppatori.
Configurare la sicurezza dell’amministratore
-
Nella barra laterale Admin, passa a Stores > Settings>Configuration.
-
Nel pannello a sinistra in Advanced, scegli Admin.
-
Espandere nella sezione Security.
-
Per impedire agli utenti amministratori di effettuare l'accesso dallo stesso account su dispositivi diversi, impostare Admin Account Sharing su
No
. -
Per determinare il metodo utilizzato per gestire le richieste di reimpostazione della password, impostare Password Reset Protection Type su uno dei seguenti valori:
By IP and Email
— È possibile reimpostare la password online dopo aver ricevuto una risposta dalla notifica inviata all'indirizzo di posta elettronica associato all'account Admin.By IP
— La password può essere reimpostata online senza ulteriori conferme.By Email
— È possibile reimpostare la password solo rispondendo tramite e-mail alla notifica inviata all'indirizzo e-mail associato all'account Admin.None
— La password può essere reimpostata solo dall'amministratore dello store.
-
Impostare le opzioni di protezione di accesso:
-
Per Recovery Link Expiration Period (hours), immettere il numero di ore in cui il collegamento di ripristino della password rimane valido.
-
Per determinare il numero massimo di richieste di password che è possibile inviare all'ora, immettere il numero per Max Number of Password Reset Requests.
-
Per Min Time Between Password Reset Requests, immettere il numero minimo di minuti che devono trascorrere tra le richieste di reimpostazione della password.
-
Per aggiungere una chiave segreta all'URL amministratore come precauzione contro gli exploit, impostare Add Secret Key to URLs su
Yes
. Questa impostazione è attivata per impostazione predefinita. -
Per richiedere che l'utilizzo di caratteri maiuscoli e minuscoli nelle credenziali di accesso immesse corrisponda a quanto archiviato nel sistema, impostare Login is Case Sensitive su
Yes
. -
Per determinare la durata di una sessione di amministrazione prima del timeout, immettere la durata della sessione in secondi per il campo Admin Session Lifetime (seconds). Il valore deve essere di almeno 60 secondi.
-
Per Maximum Login Failures to Lockout Account, immettere il numero di volte in cui un utente può tentare di accedere all'amministratore prima che l'account venga bloccato. Per impostazione predefinita, sono consentiti sei tentativi. Lascia vuoto il campo per tentativi di accesso illimitati.
-
Per Lockout Time (minutes), immettere il numero di minuti di blocco di un account amministratore quando viene raggiunto il numero massimo di tentativi.
-
-
Impostare le opzioni della password:
-
Per limitare la durata delle password amministratore, immettere il numero di giorni di validità di una password per Password Lifetime (days). Per una durata illimitata, lascia vuoto il campo.
-
Imposta Password Change su uno dei seguenti:
Forced
- Richiede che gli utenti Admin modifichino le password dopo la configurazione dell'account.Recommended
— consiglia agli utenti amministratori di modificare le password dopo la configurazione dell'account.
-
-
Al termine, fare clic su Save Config.
Requisiti della password amministratore
Per impostazione predefinita, una password amministratore deve avere una lunghezza di sette o più caratteri e includere sia lettere che numeri.