Shopware-Plugin: Storefront Access Protection

Ausgangslage

Staging-, Test- und Pre-Launch-Umgebungen von Shopware 6 sind häufig öffentlich erreichbar — mit dem Risiko, unfertige Shops Besuchern und Suchmaschinen-Crawlern preiszugeben. Teams brauchten eine schlanke Möglichkeit, eine komplette Storefront abzusichern, ohne separate Authentifizierungs-Infrastruktur aufzubauen.

Herausforderung

Die Zugriffskontrolle musste die gesamte Storefront abdecken und sowohl Passwortschutz als auch IP-basierte Regeln unterstützen — IPv4 und IPv6, inklusive Subnetzmasken und IPv6-Präfixen. Entscheidend war, die bestehenden Shopware-Administrationsnutzer wiederzuverwenden, statt eine parallele Nutzerdatenbank einzuführen, und korrekt hinter Reverse-Proxys und Load-Balancern zu funktionieren, wo die echte Besucher-IP sonst vom Proxy verdeckt wird.

Vorgehen

Ich habe das Plugin so gebaut, dass es die gesamte Storefront hinter Passwortschutz plus IP-Whitelist absichert, mit rollenbasierten Ausnahmen für Administratoren und autorisierte Rollen. Die Authentifizierung nutzt die bestehende Shopware-Admin-Nutzerbasis — es gibt also keine separate Nutzerverwaltung. IP-Regeln akzeptieren IPv4- und IPv6-Adressen, Subnetzmasken und IPv6-Präfixe; für Proxy-Setups wird der Proxy per Umgebungsvariable als Trusted Proxy konfiguriert, damit die tatsächliche Client-IP ausgewertet wird. Die Einrichtung ist bewusst minimal — keine zusätzlichen Module — und das Plugin liefert Englisch und Deutsch, kompatibel mit Shopware 6.5 bis 6.7.

Ergebnis

Storefront Access Protection ist als kostenlose Open-Source-Software auf GitHub veröffentlicht und wird über den Shopware Store vertrieben. Es wurde über 215-mal heruntergeladen und hält eine Bewertung von 5,0/5 aus fünf Reviews — eine schnelle, verlässliche Möglichkeit für Shopware-Teams, Test- und Staging-Umgebungen zu schützen.