Sicherheit ist eines der wichtigsten Themen für E-Commerce-Shops. Schließlich musst du nicht nur deine Inhalte schützen, sondern auch Kunden- und Bestelldaten.
Wenn du darüber nachdenkst, einen Onlineshop zu starten, oder wenn bereits ein Teil deines Einkommens aus einem Onlineshop kommt, ist es an der Zeit, dafür zu sorgen, dass dein Unternehmen vollständig abgesichert ist.
Warum Onlineshops höhere Sicherheit erfordern
Wenn du online verkaufst, hast du es mit vielen sensiblen Daten zu tun: persönlichen Namen, Kreditkartennummern, Adressen und mehr. Ein aktiver Shop sammelt ständig neue Informationen, sodass du für eine stetig wachsende Datenmenge verantwortlich bist.
Indem du für die bestmögliche Sicherheit deiner Website sorgst, kannst du:
- die persönlichen Daten deiner Kunden vor Hackern und Angreifern schützen, sodass Kunden unbesorgt einkaufen können;
- deinen Einkommensstrom vor Unterbrechungen und Umsatzeinbußen schützen;
- alle minutengenauen Verkaufsdaten für steuerliche und rechtliche Zwecke aufbewahren;
- deine Marke und deinen Ruf als vertrauenswürdiges Unternehmen aufrechterhalten;
- Kosten im Zusammenhang mit dem Wiederaufbau deines Unternehmens nach einem Hack vermeiden, z. B. Umsatzeinbußen aufgrund von Ausfallzeiten, Rückerstattungen aufgrund nicht erfüllter Bestellungen oder Website-Reparaturkosten.
Wie man einen Hack erkennt
Ein Hack kann viele Formen annehmen, und du bemerkst möglicherweise nicht sofort, dass deine Website kompromittiert wurde.
Um einen Hack zu erkennen, achte auf:
- neue Administrator-Konten, die du nicht erstellt hast
- Spam-Links zu Malware in Kommentaren, Produktbeschreibungen oder Bewertungen
- ungewöhnliche Warnmeldungen oder Links, die zu Websites von Drittanbietern weiterleiten
- Warnungen von Google, dass dein Shop als unsicher gekennzeichnet wurde
- seltsame, unerwartete oder fehlende Kunden-E-Mails
- sehr lange Ladezeiten oder Zeitüberschreitungsfehler.
Aber die meisten Geschäftsinhaber sind zu beschäftigt mit Inventar, Marketing oder Bestellabwicklungen, um ihren Shop ständig auf Probleme oder Hacks zu überwachen. Deshalb solltest du als Erstes die Überwachung von Ausfallzeiten hinzufügen, die automatisch überprüft, ob deine Website online ist, und dich andernfalls benachrichtigt. Dadurch kannst du sofort Maßnahmen ergreifen, um deinen Onlineshop zu reparieren und wiederherzustellen.
Auch Jetpack Scan kann sehr nützlich für dich sein. Es handelt sich dabei um ein erstklassiges Malware-Scanner-Plugin, das deinen Shop automatisch auf Hacks überprüft, sodass du dir keine Sorgen machen musst! Du erhältst eine Benachrichtigung, wenn etwas nicht stimmt, und du kannst die meisten bekannten Bedrohungen sogar mit nur einem Klick beheben.
WooCommerce-Sicherheit: 15-Schritte-Checkliste zur Sicherung deines Shops
Es ist immer am besten, Hacks zu verhindern, bevor sie passieren. Wenn du die folgenden Fragen mit „Ja“ beantworten kannst, bist du auf einem hervorragenden Weg!
1. Hostest du bei einem sicheren, seriösen Anbieter?
Dein Hoster ist die erste Verteidigungslinie gegen Angriffe. Wenn er nicht über angemessene Sicherheitsmaßnahmen verfügt, können deine Dateien und Datenbanken gefährdet sein, selbst wenn du alles andere richtig machst.
Bei der Auswahl eines Hosters solltest du auf die folgenden Dinge achten:
- Eine integrierte Firewall. Eine Firewall kontrolliert, wer auf deinen Server zugreifen kann und wer nicht, und hält Hacker und Bots von deinen Website-Dateien fern.
- Sicherheitsüberprüfungen. Viele Hoster überprüfen regelmäßig alle Websites auf ihrem Server und informieren dich, wenn sie etwas Verdächtiges feststellen, z. B. Malware. Einige Anbieter beheben diese Probleme sogar für dich, oft gegen eine zusätzliche Gebühr.
- Backups. Obwohl du auch deine eigenen Backups erstellen solltest (dazu später mehr), ist es eine gute Idee, mehrere Kopien deiner Website zu haben. Bei vielen Hosting-Unternehmen sind Backups in den Tarifen inbegriffen, während andere sie als kostenpflichtiges Upgrade anbieten.
- Ein exzellentes Support-Team. Wenn du auf ein Problem stößt, solltest du Experten kontaktieren können, die dir bei der weiteren Vorgehensweise helfen. Stelle sicher, dass dein Hoster ein großartiges Support-Team hat, das über die für dich bequemste Methode erreichbar ist (Live-Chat, Telefon etc.).
- Einen guten Ruf. Überprüfe Bewertungen von echten Kunden und informiere dich über ihre Erfahrungen. Dies ist der beste Weg, etwas über einen Hosting-Anbieter zu erfahren.
Du weißt nicht, wo du anfangen sollst? WooCommerce hat eine Liste mit empfohlenen Hosting-Unternehmen zusammengestellt, die alle gründlich geprüft wurden.
2. Hast du ein SSL-Zertifikat?
Ein SSL-Zertifikat (SSL = Secure Sockets Layer) verschlüsselt die Informationen, die von deinen Kunden an deine Website gesendet werden, und authentifiziert die Identität deiner Website. Dies dient als wichtiger Schutz für Informationen wie Kreditkartendaten und Adressen. Google berücksichtigt dies auch bei der Platzierung von Websites in Suchmaschinenergebnissen.
Die meisten Hoster bieten SSL-Zertifikate kostenlos an, während manche eine relativ geringe Gebühr dafür verlangen.
3. Verwendest du sichere, aktuelle Versionen von Themes und Plugins?
Geknackte („nulled“) Plugins und Themes sind raubkopierte Versionen von Premium-Plugins und -Themes und werden kostenlos oder zu einem niedrigen Preis angeboten. Sie werden nicht nur nicht unterstützt, sondern auch nicht aktualisiert, sodass sie mit WordPress oder anderen Plugins in Konflikt geraten können. Noch bedenklicher ist, dass sie in der Regel voller Malware sind, die deine Website und Kundendaten gefährden kann.
Lade Plugins und Themes immer von vertrauenswürdigen Quellen herunter, wie dem WordPress-Verzeichnis oder dem WooCommerce-Marktplatz.
4. Ist alles auf deiner WordPress-Website aktuell?
Updates für WordPress, Themes und Plugins enthalten nicht immer nur neue Funktionen; sie beheben oft Fehler und Sicherheitslücken, die von Hackern ausgenutzt werden können. Führe immer Updates durch, wenn sie verfügbar sind, um deine WordPress-Website sicher zu halten und Konflikte zu vermeiden.
Du möchtest nicht immer überprüfen müssen, ob Updates verfügbar sind? Jetpack bietet eine Option, um diesen Prozess zu automatisieren.
5. Verwendest du die neueste Version von PHP?
Der Großteil der WordPress-Kernsoftware ist in der Programmiersprache PHP geschrieben. Die PHP-Version deiner Website solltest du aus demselben Grund aktualisieren, aus dem du Themes und Plugins aktualisieren solltest: um deine Website vor Fehlern und Sicherheitslücken zu schützen.
Du kannst deine PHP-Version in deinen Hosting-Einstellungen aktualisieren oder deinen Hosting-Anbieter bitten, dies für dich zu erledigen. Sieh dir die aktuellen WordPress-Anforderungen an.
6. Hast du deine Benutzerrechte überprüft?
Jedem WordPress-Benutzer wird eine Benutzerrolle mit verschiedenen Berechtigungen zugewiesen, die es ihnen erlauben, bestimmte Aufgaben auf deiner Website auszuführen. Administratoren haben vollen Zugriff auf alle Bereiche und können beliebige Änderungen vornehmen; als Shop-Betreiber sollte dies deine Rolle sein. Kunden haben keinen Zugriff auf das Backend deiner Website, können jedoch ihre eigenen Kontoinformationen bearbeiten und sich aktuelle und frühere Bestellungen ansehen. Lies unseren Leitfaden zu WordPress-Benutzerrollen.
Von Zeit zu Zeit solltest du deine Benutzerkonten überprüfen und aufräumen. Jeder Benutzer sollte nur die nötigen Berechtigungen haben, die zur Erledigung seiner Arbeit erforderlich sind. Wenn du mit jemandem nicht mehr zusammenarbeitest, entferne sein Konto. Wenn du beispielsweise für die die Erstellung deiner Website mit einer Webentwicklungsagentur zusammengearbeitet hast und das Projekt jetzt abgeschlossen ist, solltest du wahrscheinlich ihr Konto löschen, es sei denn, es sind regelmäßige Updates erforderlich.
7. Verwendest du einen sicheren Benutzernamen und ein sicheres Passwort?
Hacker benutzen oft Bots, um tausende verschiedene Benutzernamen- und Passwortkombinationen auszuprobieren, bis sie die richtige finden (das nennt man Brute-Force-Angriff). Je einfacher dein Passwort zu erraten ist, desto wahrscheinlicher ist es, dass ein Hacker auf deinen Shop zugreifen kann.
Ein gutes Passwort enthält einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Symbol und ist mindestens 20 Zeichen lang. Stelle sicher, dass zumindest jeder Administrator diese Art von Passwort verwendet.
Bei Benutzernamen solltest du gängige Titel wie „Administrator“ oder „Admin“ vermeiden. Erstelle stattdessen für jede Person einen speziellen Benutzernamen.
8. Hast du schon darüber nachgedacht, die URL deiner Anmeldeseite zu ändern?
Standardmäßig kann jede WordPress-Anmeldeseite über deine URL /wp-admin aufgerufen werden. Wenn du zusätzliche Sicherheitsmaßnahmen ergreifen möchtest, solltest du die URL ändern, um es Angreifern schwerer zu machen, diese URL zu erraten. Du kannst dies tun, indem du deine .htaccess-Datei bearbeitest oder, wenn du nicht selber den Code ändern möchtest, ein Plugin wie WP Hide Login verwendest.
9. Hast du die Zwei-Faktor-Authentifizierung für Administratoren aktiviert?
Die Zwei-Faktor-Authentifizierung fügt deiner Anmeldeseite eine zusätzliche Sicherheitsebene hinzu. Um dich anzumelden, musst du nicht nur etwas wissen (einen Benutzernamen und ein Passwort), sondern auch physisch im Besitz von etwas sein (deinem Mobilgerät). Dadurch wird es deutlich unwahrscheinlicher, dass ein Hacker auf deinen Shop zugreifen kann.
Jetpack macht die Zwei-Faktor-Authentifizierung einfach. Wenn du dich auf deiner Website anmeldest, erhältst du einen speziellen Einmalcode auf dein Telefon, den du eingeben musst, um den Anmeldevorgang abzuschließen. Du kannst sogar verlangen, dass alle Benutzer dies einrichten. Erfahre mehr über die Zwei-Faktor-Authentifizierung.
10. Blockierst du Brute-Force-Angriffe?
Wie wir bereits besprochen haben, treten Brute-Force-Angriffe auf, wenn Hacker Bots verwenden, um Kombinationen von Benutzernamen und Passwörtern immer wieder zu testen, bis sie die richtige finden. Dies gefährdet nicht nur deinen Shop und deine Kundendaten, sondern kann auch deine Website verlangsamen. Daher ist es wichtig, Brute-Force-Angriffe effizient zu verhindern.
Aber Jetpack blockiert diese Angriffe automatisch, bevor sie deine Website erreichen, sodass du dir keine Sorgen machen musst.
11. Blockierst du böswillige Akteure mit einer Web Application Firewall (WAF)?
Eine Web Application Firewall (WAF) wird dringend als erste Verteidigungslinie für Onlineshops empfohlen. WAFs analysieren den gesamten eingehenden Datenverkehr und entscheiden anhand verschiedener Regeln, ob der Datenverkehr zugelassen oder blockiert werden soll. Dies fügt deiner Website eine wichtige Schutzebene hinzu, insbesondere wenn Angreifer bekannte Sicherheitslücken aktiv ausnutzen.
Eine gute WAF für WordPress sollte regelmäßig von WordPress-Sicherheitsexperten mit neuen Regeln aktualisiert werden, sobald Exploits und Sicherheitslücken bekannt sind. Die Firewall von Jetpack, die in Jetpack Scan und in den Paketen Jetpack Security & Complete enthalten ist, schützt deine Website rund um die Uhr und wird laufend von den besten WordPress-Sicherheitsexperten der Branche aktualisiert.
12. Scannst du deine Website auf Malware?
Was ist, wenn jemand tatsächlich auf deine Website zugreift und Malware einschleust? Du möchtest es sicher sofort wissen, damit du diese Malware entfernen und das Problem so schnell wie möglich beheben kannst. Aber Hacker sind hinterlistig – es ist nicht immer sofort offensichtlich, dass sie eingedrungen sind.
Jetpack Scan benachrichtigt dich sofort über verdächtige Aktivitäten, und da der Scan auf den Jetpack-Servern stattfindet, kannst du auf deine Website zugreifen, selbst wenn sie nicht erreichbar ist. Es bietet auch Ein-Klick-Lösungen für die meisten bekannten Bedrohungen.
13. Hast du einen Spam-Filter eingerichtet?
Spam-Kommentare sind nicht nur lästig, sie lassen dich auch unprofessionell wirken und können Links enthalten, die deine Kunden zu mit Malware gefüllten Websites weiterleiten. Aber das Durchsehen von Hunderten von Kommentaren pro Woche ist zeitaufwendig und frustrierend.
Dafür ist Jetpack Anti-Spam da! Es entfernt automatisch Spam aus Kommentaren und Formularen, sodass du ihn nicht einmal sehen musst. Du sparst Zeit, schützt deine Website und sorgst gleichzeitig für ein besseres Benutzererlebnis.
14. Überwachst du, ob es auf deiner Website Ausfallzeiten gibt?
Wenn deine Website nicht erreichbar ist, kann dies auf einen Hack hinweisen. Und je länger sie nicht erreichbar ist, desto mehr Umsatz verlierst du. Du solltest sie also so schnell wie möglich wieder zum Laufen bringen!
Jetpack bietet eine kostenlose Überwachung der Ausfallzeiten, die deine Website alle fünf Minuten von Standorten auf der ganzen Welt überprüft. Wenn deine Website nicht erreichbar ist, erhältst du sofort eine Benachrichtigung, damit du das Problem unverzüglich beheben kannst.
15. Hast du regelmäßige Offsite-Backups eingerichtet?
Wenn deiner Website etwas passiert, ist der beste Schutz ein vollständiges Backup, das du schnell und einfach wiederherstellen kannst. Selbst wenn dein Hoster Backups anbietet, ist es wichtig, dass du auch deine eigenen erstellst. Warum? Denn wenn dein Server kompromittiert ist, könnten auch die dort gespeicherten Backups kompromittiert sein.
Jetpack Backup ist die ideale Lösung für deinen WooCommerce-Shop, da alle Tarife Echtzeit-Backups enthalten:
- Echtzeit-Backups speichern jedes Mal, wenn du eine Seite aktualisierst, einen neuen Beitrag veröffentlichst oder einen Verkauf tätigst, eine Kopie deiner Website. Sie sind besonders nützlich für Onlineshops, da du dir nie Sorgen machen musst, Bestellinformationen zu verlieren.
Jetpack speichert Backup-Dateien an mehreren Standorten, die vollständig von deiner Website getrennt sind. Dies bedeutet, dass deine Backups nicht beeinträchtigt werden, wenn dein Server kompromittiert ist. In den meisten Fällen kannst du sogar ein Backup wiederherstellen, wenn deine Website vollständig ausgefallen ist!
Wie du im schlimmsten Fall deine Website wiederherstellen kannst
Wenn dein Onlineshop von Malware befallen ist und du Jetpack Security verwendest, erhältst du eine Benachrichtigung, damit du das Problem sofort beheben kannst. Dein erster Schritt sollte sein, dein Aktivitätsprotokoll zu überprüfen, in dem du eine vollständige Liste aller Vorgänge auf deiner Website findest. Du kannst mithilfe dieser Informationen feststellen, wann der Hack stattgefunden hat, indem du nach verdächtigen Aktivitäten wie unbekannten Anmeldungen und bearbeiteten Seiten suchst.
Die schnellste Möglichkeit zur Wiederherstellung ist dann Jetpack Backup. Mit nur wenigen Klicks und minimaler Ausfallzeit kann deine Website wiederhergestellt werden. Du musst nur ein Backup auswählen, das vor dem Hack erstellt wurde, und auf die Wiederherstellung warten. Ja, das ist alles!
Sobald wieder eine saubere Version deines Shops läuft, verwende Jetpack Scan, um sicherzustellen, dass sich keine Malware mehr auf deiner Website befindet. Jetpack löst die meisten bekannten Bedrohungen für dich, sodass du dir bei Funden höchstwahrscheinlich keine Gedanken über die Problembehandlung machen musst.
Zum Schluss nimm dir die Zeit, deine Website abzusichern, indem du alle Passwörter änderst und überprüfst, ob deine Themes, Plugins und Kerndateien auf dem neuesten Stand sind.
Brauchst du Hilfe? Jetpack Security beinhaltet Priority-Support von einem erfahrenen technischen Team, das dich in die richtige Richtung lenken kann.
Halte deinen WooCommerce-Shop sicher
Indem du die Zeit investierst, um deinen WooCommerce-Shop vollständig abzusichern, sorgst du dafür, dass deine Kunden ruhigen Gewissens einkaufen können und du dir keine Sorgen um deine Daten oder deinen Ruf machen musst.
Und eine der besten Möglichkeiten, das zu tun, besteht darin, Jetpack Security und WooCommerce zu kombinieren – es macht einfach Sinn! Die beiden etablierten, angesehenen WordPress-Plugins arbeiten zusammen, um deine Website zu schützen und Funktionen hinzuzufügen. Zusammen sorgen sie für weniger einzelne Komponenten, weniger externe Plugins und mehr Sicherheit für dich als Geschäftsinhaber.
Häufig gestellte Fragen
Kann eine WooCommerce-Website gehackt werden?
Ja, wie jede andere Website kann auch ein WooCommerce-Shop gehackt werden. WordPress und WooCommerce bieten jedoch Funktionen, die deine Inhalte und Kundendaten schützen. Und wenn du einige grundlegende Sicherheitsmaßnahmen ergreifst – wie die Auswahl eines guten Hosting-Anbieters, regelmäßige Updates und die Installation des besten Sicherheits-Plugins –, kannst du dich beruhigt darauf verlassen, dass deine Website in guten Händen ist.
Benötigst du für eine WooCommerce-Website ein SSL-Zertifikat?
Ein SSL-Zertifikat verschlüsselt die Informationen (wie Kreditkartendaten und Adressen), die auf deiner Website übermittelt werden, und schützt sie so vor böswilligen Parteien. Wenn ein Hacker auf diese Informationen zugreift, kann dies dein Unternehmen rechtlich gefährden und deinen Ruf schädigen. Und ein SSL-Zertifikat schützt nicht nur dich und deine Kunden, sondern ist auch wichtig für dein Suchmaschinen-Ranking.
Ein SSL-Zertifikat wird für jede Website empfohlen, aber für Onlineshops ist es aufgrund der gesammelten Daten zur Abwicklung von Transaktionen noch wichtiger.
Welches SSL-Zertifikat ist das beste für WooCommerce-Websites?
Die meisten großen Hosting-Anbieter bieten ein kostenloses SSL-Zertifikat in ihren Tarifen an, während andere es gegen eine zusätzliche Gebühr anbieten. In der Regel lassen sie sich mit nur wenigen Klicks installieren.
Wenn dein Hoster dies jedoch nicht anbietet, empfehlen wir Let’s Encrypt. Das ist ein vertrauenswürdiger Dienst, der kostenlose SSL-Zertifikate anbietet, um einen Beitrag zu einem sichereren Web zu leisten. Hinweis: Viele in Hosting-Plänen enthaltene SSL-Zertifikate stammen von Let’s Encrypt.
Erfahre mehr darüber, wie du für deinen WooCommerce-Shop ein SSL-Zertifikat installieren kannst.
Wie erzwinge ich HTTPS auf einer WooCommerce-Website?
Wenn du erfolgreich ein SSL-Zertifikat zu deinem Shop hinzugefügt hast, ändert sich deine URL von http://beispiel.com zu https://beispiel.com. Das „s“ in „https“ steht für SSL.
Wenn du bei deinem Shop HTTPS erzwingst, wird ein Besucher, der die „http“-Version deiner Website eingibt, automatisch zur „https“-Version weitergeleitet. Dadurch wird sichergestellt, dass für jeden einzelnen Käufer alles ordnungsgemäß verschlüsselt ist.
Du kannst HTTPS erzwingen, indem du entweder einige Zeilen Code zu deiner .htaccess-Datei hinzufügst oder ein WordPress-Plugin verwendest. Kinsta bietet eine großartige Anleitung dafür.
Ist WooCommerce sicherer als Shopify?
Shopify ist eine gehostete Plattform, die die Sicherheit für dich übernimmt. Das hat seine Vorteile – du musst dir keine Gedanken über die Implementierung von Sicherheitsmaßnahmen machen – bedeutet aber auch, dass du praktisch keine Kontrolle über deinen eigenen Schutz hast.
Und das bedeutet auch nicht, dass Shopify sicherer ist. Hacker und Bots machen bei ihren Angriffen keinen Unterschied zwischen verschiedenen Plattformen. Sie versuchen es einfach Website für Website, bis sie eine finden, in die sie eindringen können. Wenn du also angemessene Sicherheitsmaßnahmen ergreifst, ist dein Shop genauso sicher – und in vielen Fällen sogar sicherer – als andere Shops auf anderen Plattformen.
Es ist auch wichtig zu beachten, dass hinter WordPress und WooCommerce ein Team steht, das daran interessiert ist, dir zum Erfolg zu verhelfen. Es arbeitet ständig daran, die Plattform sicher zu halten, weshalb regelmäßige Aktualisierungen deiner Software so wichtig sind.
In diesem Ratgeber von WooCommerce findest du weitere Details zum Vergleich zwischen WooCommerce und Shopify.
Jetpack — Essential Security & Performance for WordPress 