Как обновить MODX: https://trofimovdigital.ru/blog/upgrading-modx

Вариант 1 (с помошью панели)

Для этого закрываем доступ к каталогам /manager/, /core/, /connectors/ в разделе "Ограничение доступа" панели.
Подробнее об этом -> тут

Вариант 2 (добавить файлы вручную)

1. Создаём файл .htpasswd . Примеры генераторов .htpasswd

- https://htmlweb.ru/service/htpasswd.php

- https://wpschool.ru/tools/htpasswd-generator/ 

Получим файл с содержимым, например:

mozg:$apr1$67DGTaqb$m58NDMBT2w5z1

, где mozg — имя пользователя, а $apr1$67DGTaqb$m58NDMBT2w5z1 — хешированный пароль MD5/SHA1.

2. Размещаем .htpasswd в директории сайта выше /www/domain.ru/,например, непосредственно в корневой каталог аккаунта /var/www/userXXXX/data/.

3. В файл .htaccess, распологающийся в директориях manager, core, connectors (если файла нет, то его нужно создать) добавляем/изменяем следующие записи:

• /manager/.htaccess

RewriteEngine Off

AuthType Basic
AuthName "Thats protected Area!"
AuthUserFile /var/www/userXXXX/data/.htpasswd
Require valid-user
<Files .htpasswd>
deny from all
</Files>

• /core/.htaccess

IndexIgnore */*
<Files *.*>
Order Deny,Allow
Deny from all
</Files>

AuthType Basic
AuthName "Thats protected Area!"
AuthUserFile /var/www/userXXXX/data/.htpasswd
Require valid-user
<Files .htpasswd>
deny from all
</Files>

• /connectors/.htaccess

AuthType Basic
AuthName "Restricted Access"
AuthUserFile /var/www/userXXXX/data/.htpasswd
Require valid-user
<Files .htpasswd>
deny from all
</Files>

Теперь при попытке входа в админку необходимо будет сначала пройти базовую авторизацию.

В конец каждого из редактируемых .htaccess можно добавить:

ErrorDocument 401 "401 Authorisation Required"

В таком случае при указании некорректных данных в консоли браузера увидим ошибку: 

Failed to load resource: the server responded with a status of 401 ()

Код ответа на статус ошибки HTTP 401 Unauthorized клиента указывает, что запрос не был применён, поскольку ему не хватает действительных учётных данных для целевого ресурса. Этот статус похож на 403, но в этом случае возможна повторная аутентификация.

С другими настройками безопасности можно ознакомиться тут: https://modx.pro/howto/7902

По умолчанию панель ISPmanager и административная панель MODX имеют одинаковый адрес: htpps://имя_домена/manager
Поэтому, чтобы не возникал конфликт доступа:
1 вариант: обратитесь в Центр Поддержки - мы удалим алиас панели ISPmanager.
Для владельцев VDS необходимо применить директиву alias. Инструкция -> тут
2 вариант: Вы можете сменить адрес входа в админку ModX. Для этого:
- в файле /core/config/config.inc.php нужно заменить:
$modx_manager_path= '/modx/directory/manager/';
$modx_manager_url= '/manager/';
например, на
$modx_manager_path= '/modx/directory/modx-myadmin/';
$modx_manager_url= '/modx-admin/';
- очистить папку /core/cache

Теперь можно заходить в админ панель по новому адресу.

Если при указании данных доступа в административную панель они пропадают, как будто и не вводились, то необходимо:

Вариант1

Воспользоваться плагином для ModX: https://extras.modx.com/package/revossl?version=1.0.3..

Вариант 2

1) активировать блок с SSL в файле .htaccess

2) Войти в PhpMyAdmin (в MODX путь до файла конфигурации с данными от базы для входа: /www/domain.ru/core/config/config.inc.php)
и заменить "site_url" в таблице "_context_setting" to "https://сайт.ru"

3) В панели управления сайтом заменить в системных настройках параметр "server_protocol" на https

4) Заменить "link_tag_scheme" с "-1" на "https"

Вариант 3

1) В .htaccess настраиваем переадресацию:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) Открываем файл конфигурации /www/sitename.ru/core/config/config.inc.php
В нем находим строки:
if (!defined('MODX_URL_SCHEME')) {
$url_scheme= $isSecureRequest ? 'https://' : 'http://';

и меняем на:
if (!defined('MODX_URL_SCHEME')) {
$url_scheme= 'https://';