Una de las ventajas de Magento es que podemos modificar la ruta de nuestro panel de administración. Este característica ya está presente en los últimos sistemas de tiendas online, pero en algunos casos daba bastantes problemas con ciertos módulos que instalabamos aparte. Sin embargo, la versatibilidad de Magento no ofrece ningún tipo de problema con los módulos añadidos o con las diferentes características que funcionan bajo Magento.

¿Por qué comento esto?

Hoy nos hemos levantado con un aviso en nuestro panel de control, en el blog oficial de Magento, en LinkedIn, en foros… de un agujero de seguridad relativo al panel de control del tipo CSRF.

mensaje-alerta-admin

No vamos a entrar en detalles de este ataque, podemos leer más información aquí, pero es un ataque que se puede evitar fácilmente ocultando la dirección de nuestro directorio de administración, tal y como comentan en el blog oficial.

Es recomendable que no dejemos el directorio que viene por defecto como acceso para el panel de control, ‘admin‘, sino que pongamos uno modificado, que sólo nosotros conozcamos: ‘zonaadmin‘, ‘privadowww‘, ‘paneldecontrol‘… Con este sencillo paso, además de evitar este tipo de ataques, nos evitamos que otros usuarios accedan a la página de acceso e intentan acceder al sistema probando diferentes claves.

Modificar la ruta del directorio del panel de control de Magento

Abrimos el fichero:

app/etc/local.xml

y actualizamos el valor que encontramos bajo la ruta:

admin->routers->adminhtml->args->frontName

quedando la siguiente estructura:

configxml