backend URL?

Kann man die eigentlich ändern? Statt /backend was anderes?

Als Standard ist da glaube nichts vorgesehen. Du könntest aber via .htaccess-Datei eine “Verschiebung” einrichten.

Hi, [quote=„creatoras“]Als Standard ist da glaube nichts vorgesehen. Du könntest aber via .htaccess-Datei eine „Verschiebung“ einrichten.[/quote] Das ist vielleicht möglich, aber ganz klar auf eigener Gefahr! So was wurde von uns auch nie getestet. Kurze Frage: Warum willst du den Aufruf ändern? Gruß Patrick Schücker

Wäre doch interessant, um Angriffe zu verhindern. Wer Shopware kennt, der weiß wie er in den Adminbereich kommt. Wenn man das aber individuell ändern könnte,…

Hallo, naja - auch eine andere URL würde einer sicher rausbekommen, der einen Angriff vor hat. Um den Zugriff zu verhindern gibt es ja bereits einige Funktionen im Shopware Standard. Sichere, stark verschlüsselte Passwörter. Zudem werden Loginversuche protokolliert und dann der Benutzer komplett für bestimmte Zeit gesperrt, sodass ein Login mit dem User gar nicht mehr möglich ist. Den Aufruf generell zu verändern könnte große und unbekannte Auswirkungen haben oder die Funktionalität stören. Daher kann ich nur empfehlen das nicht durchzuführen. Sebastian

Es wäre aber schon schwieriger und 95% der Pseudo Hackerkiddies wären damit abgefangen:)

Eine .htaccess-Modifikation hat bei uns das /backend versteckt. Funktionale Störungen sind bisweilen ausgeblieben und das läuft natürlich ganz mutig auf eigene Gefahr :wink: Mehr Sicherheit bringt die kleine Spielerei allerdings nicht, denn wer weiß wie :shopware: aufgebaut ist kommt auch sofort ans backend. Damit nicht jeder weiß was zum backend geroutet wird, müsstest du vermutlich den Shop auf links krempeln. Eine veränderbare Backend-Route gegen die 95% würde mir auch gefallen :thumbup: :slight_smile:

[quote=“smisonline2”]Es wäre aber schon schwieriger und 95% der Pseudo Hackerkiddies wären damit abgefangen:)[/quote] Deine sogenannte “Hackerkiddies” scheitern bereits an den eingebauten Features von Shopware. Ein Profi würde gar nicht erst beim backend / beim Login Formular ansetzen. Fazit: absolut unnötig. Viele Grüße

Ja klar:( Egal

@SebastianKlöpper schrieb:

Hallo,

naja - auch eine andere URL würde einer sicher rausbekommen, der einen Angriff vor hat.
Um den Zugriff zu verhindern gibt es ja bereits einige Funktionen im Shopware Standard.

Sichere, stark verschlüsselte Passwörter. Zudem werden Loginversuche protokolliert und dann der Benutzer komplett für bestimmte Zeit gesperrt, sodass ein Login mit dem User gar nicht mehr möglich ist.

Den Aufruf generell zu verändern könnte große und unbekannte Auswirkungen haben oder die Funktionalität stören. Daher kann ich nur empfehlen das nicht durchzuführen.

Sebastian

Hallo,

 

das ist aus der Sicht von uns als Sicherheitsexperten kein guter Ansatz, denn

  1. wenn ich eine Firma bzw. Benutzer nerven will, dann logge ich mich 5x falsch ein und er (der Benutzer) kommt dann auch erstmal nicht mehr ins System. Wenig hilfreich diese Methode der Sperrung
  2. das Cachieren des Backendzuganges verhindert effektiv die meisten Angriffsversuche. Diese prüfen in fast allen Fällen zuerst, ob (in diesem Shop) die URL /backend eine passende Antwort liefert und starten dann ihren Angriff … oder (um es nicht zu dramatisch zu machen) die Anmeldeversuche.
    PrestaShop hat da einen cleveren Ansatz durch Vergabe der “adminXYZ” URL, welche sich bei jeder Installation unterscheidet. Das hält nach unserer Erfahrung sehr viele Anfreiger grundlegend ab.
  3. Wenn (wie bei unserer Seite) die großen ShopWare-Verräter (Namen, Begriffe, etc.) nicht mehr zu finden sind, ist es vglw. schwer, das Shopsystem durch Crawler zu erkennen.

Nicht zu vergessen: Weniger potentielle Angreifer = weniger sinnloser Traffic und weniger Arbeit für den WebServer = mehr Leistung für die wirklichen Kunden

Fazit: Wenn der Crawler der “Angreifer” die URL nicht sofort und eindeutig als Shopware System erkennt, zieht er zur nächsten URL weiter. Und das ist effektiver Schutz der eigenen Domain: Die große Masse der Probleme weiterziehen zu lassen. Schon in allen Kriegen war immer eine Taktik bekannt und beliebt: Tarnen und verstecken, dass einen der Angreifer erst garnicht findet. Wenig Kraft und Energie für viel Schutz.

Wäre mal eine Überlegung bei ShopWare wert, oder ?

Grüße,
Hans

 

Hallo, ich würde dieses Thema gerne nochmal für die 5er Version aufgreifen, gibt es hierzu denn eine Lösung?

Hallo,

ich habe /backend/ per htaccess Passwortschutz zugemacht.
 

Grüße,

Hagen

Hallo zusammen,

nur kurz zur Info: Ich habe soeben ein Plugin veröffentlicht, das einen zusätzlichen HTTP Basic Auth Schutz für das gesamte Backend bietet und damit ein wirkungsvoller Schutz sein dürfte: http://store.shopware.com/detail/index/sArticle/164204

Viele Grüße
Marcus

Hallo! Ich habe für diese Anforderung ein Plugin entwickelt und im Store zur Verfügung gestellt. Mit dem Gutschein „alexa-maerz-2018“ kann in diesem Monat noch einen Rabatt von 10% gesichert werden: Indivudelle Backend-URL

Über ein ehrliches Feedback würde ich mich freuen.

Großes Kino - für BUG-In Werbung gleich drei asbach uralte Themen ausgraben. Perfekter Einstieg im Forum  Thumb-Up