SICHERHEITS-PLUGIN

Vom LinkedIn-Post zum Sicherheits-Plugin an einem Tag

Wie eine Community-Diskussion über inaktive Admin-Konten zu ElixDigiAdminGuard wurde -- ein konfigurationsfreies Plugin, das die Sicherheitslücke in der Shopware-Admin-Kontoverwaltung schließt.

Die Herausforderung

Am 30. März 2026 stellte Matheus Gontijo (iMi digital GmbH) eine direkte Frage auf LinkedIn: „Haben Sie eine Erinnerung oder interne Richtlinie, um Admin-Benutzer zu entfernen, die nicht mehr zu Ihrem Unternehmen gehören?" Der Beitrag traf einen Nerv, weil das Problem universell, bekannt und dennoch konsequent ungelöst ist. Shopware 6 bietet keinen eingebauten Mechanismus zur Verwaltung des Admin-Konto-Lebenszyklus.

  • Kein Login-Tracking -- die User-Tabelle hat kein last_login-Feld und es gibt kein Admin-Login-Event zum Abonnieren
  • Keine Inaktivitätserkennung -- Konten, die seit Monaten oder Jahren nicht benutzt wurden, bleiben unsichtbar
  • Keine automatische Reaktion -- Shop-Betreiber müssen inaktive Konten manuell prüfen und deaktivieren
  • Sicherheitsrisiko -- Inaktive Konten sind ein dokumentierter Angriffsvektor für Datenschutzverletzungen, betrügerische Bestellungen, Konfigurationsmanipulation und DSGVO-Verstöße

Das Risiko wächst mit der Zeit. Zugangsdaten werden geteilt, in kompromittierten Passwort-Managern gespeichert oder schlicht vergessen. Je länger ein Konto ungenutzt bleibt, desto wahrscheinlicher wird es zur Schwachstelle.

Unsere Lösung

ElixDigiAdminGuard wurde entwickelt, um diese Lücke ohne Aufwand zu schließen. Installieren Sie das Plugin und sehen Sie sofort alle Admin-Konten mit ihrem letzten Login-Datum und Inaktivitätsstatus. Keine Konfiguration erforderlich.

Konfigurationsfreies Dashboard

Sofortige Übersicht über alle Admin-Konten mit letzten Login-Daten, Inaktivitätsstatus und Rollenzuweisungen. Kein Setup erforderlich.

OAuth-Login-Tracking

Fängt erfolgreiche OAuth-Token-Antworten ab, um Admin-Logins zu verfolgen, ohne Shopware-Core-Tabellen zu ändern oder externe Abhängigkeiten zu benötigen.

Gestufte Reaktion

Visuelle Warnungen nach 90 Tagen Inaktivität, Gefahren-Badges nach 180 Tagen. Automatische Deaktivierung ist optional und standardmäßig ausgeschaltet. Super-Admin-Konten sind immer geschützt.

Compliance-Audit-Protokoll

Jede Aktion wird protokolliert -- Login-Tracking, Statusänderungen, Konto-Deaktivierung, E-Mail-Benachrichtigungen. Exportierbar als CSV für DSGVO- und ISO-Dokumentation.

Technischer Ansatz

Die zentrale Herausforderung war, dass Shopware 6.7 kein last_login-Feld auf der User-Entität bereitstellt und kein Event beim Admin-Login auslöst. So haben wir es gelöst:

1

OAuth-Response-Interception

Ein KernelEvents::RESPONSE-Subscriber fängt erfolgreiche Password-Grant-Antworten auf dem /api/oauth/token-Endpunkt ab, extrahiert den Benutzernamen und erstellt per DBAL einen Tracking-Eintrag.

2

Separate Tracking-Tabelle

Login-Daten werden in einer eigenen Tabelle gespeichert, ohne die Core-User-Tabelle zu verändern. Das Plugin bleibt nicht-invasiv und kann jederzeit sicher entfernt werden.

3

Inaktivitätsberechnung

Eine einzelne SQL-Abfrage mit LEFT JOIN zwischen Tracking-Tabelle und User-Tabelle berechnet die Tage seit dem letzten Login oder seit der Kontoerstellung für Benutzer, die sich nie angemeldet haben.

4

Geplante Aufgaben

Tägliche Tasks aktualisieren Status-Flags, deaktivieren optional inaktive Konten, bereinigen alte Audit-Einträge und senden E-Mail-Berichte mit konfigurierbarer Frequenz.

5

Admin-UI-Modul

Registriert unter Einstellungen > Plugins > Admin Guard nach dem FroshTools-Muster: Tabs mit Child-Routes und sw-data-grid-Komponenten für Benutzerliste und Audit-Log.

Ergebnisse

1 Tag
Entwickelt & Veröffentlicht
Von der Idee zur Produktion
MIT
Open Source
Für immer kostenlos
Null
Konfiguration
Sofortiger Mehrwert
6.7+
Shopware-kompatibel
Neueste Version
  • Sofortige Sichtbarkeit über den Zustand der Admin-Konten ohne Setup
  • Automatische Kennzeichnung ersetzt manuelle Audits und Kalender-Erinnerungen
  • Optionale Auto-Deaktivierung entfernt den menschlichen Faktor aus der Konto-Lebenszyklusverwaltung
  • E-Mail-Berichte halten Verantwortliche informiert, ohne dass sie sich einloggen müssen
  • DSGVO-konformes Audit-Protokoll als CSV exportierbar für Compliance-Dokumentation

Technologie-Stack

Shopware 6.7 PHP 8.2+ Symfony DBAL OAuth2 Geplante Aufgaben Vue.js Admin CSV-Export
"Die besten Sicherheitstools lösen Probleme, von denen Menschen bereits wissen, dass sie sie haben, aber noch nicht dazu gekommen sind, sie zu beheben."

Besorgt über die Sicherheit Ihrer Admin-Konten?

Ob Sie ein individuelles Sicherheits-Plugin, Admin-Workflow-Automatisierung oder ein vollständiges Sicherheits-Audit für Ihren Shopware-Shop benötigen -- wir entwickeln Lösungen, die Ihr Unternehmen schützen, ohne Komplexität hinzuzufügen.

Mit einem Entwickler sprechen

Fallstudie von

Teilen: