🛡️ Backend härten
Backend härten – Manager-Pfad ändern & absichern
🎯 Ziel
Der Standardpfad zum MODX-Manager (/manager/) ist allgemein bekannt und wird von Bots, Scannern und Angreifern automatisch geprüft. Durch das Ändern oder Verstecken dieses Pfads reduzierst du die Angriffsfläche erheblich.
Offizielle Dokumentation:
MODX Hardening Guide – “Securing MODX”
🔐 Warum den Manager-Pfad ändern?
- automatisierte Bots testen Millionen Domains auf
/manager/ - weniger Angriffsversuche auf Login
- weniger Logeinträge / geringer Serverload
- ein geänderter Pfad ist keine Garantie, aber ein wirksamer zusätzlicher Schutzlayer
🔧 Umsetzungsschritte
1️⃣ Backup erstellen
Vor der Änderung unbedingt:
- komplettes Datei-Backup
- komplette Datenbank-Sicherung
2️⃣ Manager-Ordner umbenennen
Beispiel:
/manager/ → /cms-secure/
/manager/ → /abc123-admin/
/manager/ → /kcK7K42d4NN3HW4EUdWq/
Verwende einen unauffälligen Namen, keine Begriffe wie "admin" oder "backend".
Je ungewöhnlicher und zufälliger der Name, desto besser.
3️⃣ config.inc.php anpassen
In der Datei:
core/config/config.inc.php
anpassen:
$modx_manager_path = '/pfad/zum/neuen/manager/';
$modx_manager_url = '/neuer-pfad/';
Pfad und URL müssen exakt zum neuen Ordner passen.
4️⃣ Cache löschen (wichtig)
- Ordner
core/cache/manuell leeren
🔧 Optional: connectors-Ordner umbenennen
Zusätzlich zum Manager-Pfad kann auch der Ordner /connectors/ umbenannt werden,
um Angriffe auf öffentliche Endpunkte weiter zu reduzieren.
Beispiele:
/connectors/ → /api-secure/
/connectors/ → /xyz123x/
/connectors/ → /d8k44FmQppp9Q2/
Konfiguration in core/config/config.inc.php anpassen:
$modx_connectors_path = '/pfad/zum/neuen/connectors/';
$modx_connectors_url = '/neuer-connectors-pfad/';
- Ordner
core/cache/manuell leeren!
Prüfen nach der Umbenennung:
/config.core.phpim Root (Pfadangaben)- Funktionsfähigkeit aller Extras, die AJAX/API verwenden
🛡️ Zusätzliche Schutzmaßnahmen
core-Ordner gegen direkten Zugriff absichern
MODX 3 erlaubt es nicht, den core/-Ordner zu verschieben. Der Zugriff muss daher durch die vorhandene .htaccess blockiert werden. Diese Datei wird bei der Installation automatisch angelegt – du musst nur prüfen, ob sie aktiv ist.
Hinweis: Dies wurde bereits im Abschnitt Installation & Einrichtung umgesetzt.
Prüfen:
- Existiert
core/.htaccess? - Enthält sie eine Regel wie:
Deny from all
- Test im Browser:
https://deine-domain.tld/core/→ muss 403 Forbidden liefern.
Fehlt die Datei oder greift sie nicht, blockiert dein Hoster ggf. .htaccess.
🔒 Zugriff nur für bestimmte IPs erlauben
Beispiel .htaccess:
<Directory "/pfad/zum/neuen/manager/">
Order deny,allow
Deny from all
Allow from 123.123.123.123
</Directory>
🔑 Passwortschutz (Optional)
.htaccess + .htpasswd als zweiter Login-Schutz.
🔐 HTTPS erzwingen
Manager-Zugriff immer über SSL (TLS).
⚠️ Wichtige Hinweise
- Manche Extras erwarten den Standardpfad – vorher testen!
- Auf Hosting-Umgebungen wie MODX Cloud ist das Umbenennen ggf. nicht empfohlen.
- Änderungen sollten immer zuerst in einer Testinstanz durchgeführt werden.
📋 Zusammenfassung
| Maßnahme | Nutzen |
|---|---|
| Manager-Pfad ändern | erschwert automatisierte Angriffe |
| IP-Whitelist / Passwortschutz | stark reduzierte Angriffsfläche |
| Regelmäßige Updates | wichtigste Sicherheitsmaßnahme |
| HTTPS erzwingen | Schutz vor Auslesen von Zugangsdaten |
Kurz gesagt: Der Manager-Pfad ist ein leichtes Ziel. Durch Umbenennen und Zugriffsbeschränkungen machst du Angriffe deutlich schwieriger – ohne Eingriff in den MODX-Core.
Tipp:
🔥 Ein sinnvoller Zusatzschutz besteht darin, den ursprünglichen /manager-Pfad als Honeypot weiter bestehen zu lassen.
🛡️ Über .htaccess (z.B. Logging + Blockierung) oder – auf eigenen Servern – mit fail2ban könnt ihr dort Zugriffe erfassen und automatisiert sperren.
🚫 So werden Bots und Angreifer zuverlässig erkannt und direkt blockiert, noch bevor sie den eigentlichen Manager erreichen.