Una de las ventajas de Magento es que podemos modificar la ruta de nuestro panel de administración. Este característica ya está presente en los últimos sistemas de tiendas online, pero en algunos casos daba bastantes problemas con ciertos módulos que instalabamos aparte. Sin embargo, la versatibilidad de Magento no ofrece ningún tipo de problema con los módulos añadidos o con las diferentes características que funcionan bajo Magento.
¿Por qué comento esto?
Hoy nos hemos levantado con un aviso en nuestro panel de control, en el blog oficial de Magento, en LinkedIn, en foros… de un agujero de seguridad relativo al panel de control del tipo CSRF.
No vamos a entrar en detalles de este ataque, podemos leer más información aquí, pero es un ataque que se puede evitar fácilmente ocultando la dirección de nuestro directorio de administración, tal y como comentan en el blog oficial.
Es recomendable que no dejemos el directorio que viene por defecto como acceso para el panel de control, ‘admin‘, sino que pongamos uno modificado, que sólo nosotros conozcamos: ‘zonaadmin‘, ‘privadowww‘, ‘paneldecontrol‘… Con este sencillo paso, además de evitar este tipo de ataques, nos evitamos que otros usuarios accedan a la página de acceso e intentan acceder al sistema probando diferentes claves.
Modificar la ruta del directorio del panel de control de Magento
Abrimos el fichero:
app/etc/local.xml
y actualizamos el valor que encontramos bajo la ruta:
admin->routers->adminhtml->args->frontName
quedando la siguiente estructura:
Popularity: 12% [?]
28. febrero 2009 en 5:39 pm
He modificado el layout sobre mi instalación de Magento y la url ha quedado así:
htttp://www.dominio.com/admin/modificacion_en_el_layout
No debería sobreescribir /admin/ ?
3. marzo 2009 en 12:12 pm
En versiones superiores 1.2.x todo ok.
En versiones 1.1.8, la URL de entrada tiene que ser:
http://dominio/admin/nueva_ruta
donde nueva_ruta es el CDDATA que habeis agregado a local.xml
Si haceis http://dominio/nueva_ruta (sin admin) os hara la sesión, mostrara el menú del panel de control superior, però con un error 404. Not found (un poco feo). No rederije correctamente al panel de control.
Almenos yo he llegado a estas conclusiones
4. marzo 2009 en 9:50 am
Gracias por el apunte. Tomamos nota
21. abril 2009 en 5:21 pm
He estado investigando por que tengo que poner “admin” en las URL’s del administrador de Magento.
Esto es devido por que tengo activado la opción: Add Store Code to Urls
System -> Web -> Url Options
Esta opción me permite para el SEO, ya que nos diferencia las URL’s si nuestra tienda esta en dos idiomas:
http://www.dominio/catala/categoria1
http://www.dominio/espanol/categoria1
Si quiero SEO en el frontend, en el backend, también influye.
Si no tenemos activado la opción “Add Store Code to Urls”, la url es el que defenimos a: app/etc/local.xml