Mit dem Shopware 6 Plugin JopsoAdminSecurity
kannst du die Administration deines Shops ganz einfach vor ungewolltem Zugriff schützen.
Konfigurieren kannst du dies über die Shopware Administration selbst und musst keine Konfiguration an deinem Web-Server vornehmen.
Das Shopware Plugin erhältst du im Shopware Store: https://store.shopware.com/jopso66145942157/admin-schutz.html
Zum Schutz der Administration stehen dir hier zwei Optionen zur Verfügung:
IP Basierter Schutz
In der Administration kannst du eine Liste and freigegebenen IP Adresen oder Subnetzen in CIDR Notation hinterlegen.
Hier kannst du z.B. die öffentliche IP Adresse deines eigenen Routers hinterlegen oder die öffentliche IP-Adresse deines VPNs um eine VPN Verbindung zu erzwingen wenn man auf die Shopware Administration zugreifen möchte.
Die Administration zeigt die in dem Info Feld immer die IP Adresse an, von welcher dein Request aktuell kommt. Hierbei kann es sein dass es sich nicht um deine eigentliche, öffentliche IP-Adresse handelt, sondern um die eines Proxy-Servers. Dies kann vor allem passieren, wenn du Shopware in einem Docker-Setup oder in der Cloud betreibst. Spreche in diesem Fall am besten mit deinem Hoster, da dann etwas in der Konfiguration des Proxies nicht zu stimmen scheint.
Gerne kannst du auch Kontakt zu mir aufnehmen, dann helfe ich dir gerne das Problem zu Lösen.
Passwortschutz
Neben der Möglichkeit die Administration nur für bestimmte IP-Adressen / Subnetze freizugeben, kannst du auch ein Passwortschutz (Basic Auth) hinterlegen.
Hierfür kannst du einfach Benutzername und Passwort in der Konfiguration hinterlegen. Der Browser wird dich beim nächsten Request dann nach diesen Zugangsdaten fragen.
Freigeben der Administration im Falle einer Fehl-Konfiguration
Aber was ist, wenn ich die Zugangsdaten für den Passwortschutz vergessen habe, oder ich einen Fehler in der Konfiguration der IP-Adressen gemacht habe?
In diesem Fall kannst du mit dem Befehl
bin/console jop-software:admin-security:unlock-administration
Den Schutz des Backends wieder aufheben. Es wird sowohl der IP-Schutz, als auch der Passwortschutz deaktiviert, die eingetragenen Werte bleiben aber erhalten.