Moin so in die Runde.
Aufgrund der ganzen Leaks, Hacks usw die ja zzt. durch die Presse gehen und Shopware leider kein Hauseigenes 2 Faktor anbietet für den Adminbereich, stellt sich mir die Frage schützt ihr auch nur mit einem starken Passwort?
Habe mal aus diversen Beiträgen folgendes zusammengetragen und gebastelt und zumindest auf dem Testserver & Rechnern scheint es zu funktionieren. An dieser Stelle vielen Dank an die bisherigen Beiträge und Schreiber 
<If "-f '/euer Pfad/.htpasswd'">
<If "%{REQUEST_URI} =~ m#/admin# && !(%{REMOTE_ADDR} in {'Eure feste IP'})">
AuthUserFile /euer Pfad/.htpasswd
AuthName "Password Protected"
AuthType Basic
Require valid-user
<RequireAny>
Require expr %{THE_REQUEST} =~ m#.*?\s+\/api.*?#
Require valid-user
</RequireAny>
</If>
</If>
Dies in die htaccess im root (nicht public) eintragen. Wir haben eine fest IP Adresse in der Firma, sobald diese eingetragen ist, ist ein Passworteingabe um zum Backend Login zu gelangen nicht notwendig. Von Ausserhalb ist die Passworteingabe zwingend, um zum Login zu gelangen.
Soweit probiert, funktioniert das Backend auch und das Frontend ist unbeeinflusst. Garantien gebe ich aber keine. Bin aber für Vorschläge und Hinweise dankbar bzw. ob das überhaupt praktikabel und notwendig ist.