Das eCommerce-Plug-In WooCommerce zählt weltweit zu den beliebtesten Online-Shop-Lösungen. Rund 30 Prozent aller Shops im Internet arbeiten mit dieser Erweiterung für WordPress. Sie profitieren von unendlicher Flexibilität bei der Gestaltung und haben die komplette Kontrolle über den Shop. Widmen Sie der Sicherheit Ihres Onlineshops höchste Priorität und lernen Sie jetzt die 10 wichtigsten Tipps kennen, mit denen Sie Ihren WooCommerce-Shop absichern und Ihre Daten schützen.
Vorab: Wählen Sie einen zuverlässigen Hosting Provider aus
Der erste Schritt für Ihren sicheren Online-Shop ist die Auswahl eines vertrauenswürdigen und zuverlässigen Hosting Providers. Die Leistungen von Host Europe werden in Datacentern zur Verfügung gestellt, die zu den sichersten Europas zählen. Der Service des Hosting Providers stellt das Fundament für Ihren sicheren Online-Shop dar. Mit den folgenden Tipps sorgen Sie für Schutz vor Hackern und Datendiebstahl.
WooCommerce-Shop absichern – So geht’s
1. Nur mit starken Passwörtern arbeiten
Den größten Erfolg haben Hacker bei Websites mit schwachen Passwörtern. Wählen Sie unbedingt starke Passwörter für alle Konten aus. Verwenden Sie für jedes Konto ein anderes Passwort, das sich aus großen und kleinen Buchstaben, Zahlen und Symbolen zusammensetzt. Je länger das Passwort, desto besser. WooCommerce integriert einen Indikator, der die Stärke Ihres Passworts anzeigt und so beim Erstellen eines sicheren Passworts hilft.
Tipp: Nutzen Sie die Zwei-Faktoren-Authentifikation (2FA) für alle Konten, auch für den Zugang zum E-Mail-Konto. Wenn sich ein Hacker Zugang zu Ihrem E-Mail-Konto verschafft, kann dieser andernfalls das Passwort zurücksetzen und ein neues vergeben. Bei 2FA ist für zusätzlichen Schutz ein zweiter Schritt für die Wiederherstellung eines Passworts nötig.
2. Updates sofort installieren
Für WordPress kommen etwa alle vier Monate ein großes Update und zusätzliche Sicherheits-Updates heraus. Installieren Sie in jedem Fall immer die aktuellen Sicherheits-Updates. Beispielsweise wurde die Version 4.7 im Dezember 2016 veröffentlicht – mit der im April 2017 veröffentlichen Version 4.7.4 handelt es sich bereits um das vierte Sicherheits-Update.
3. Sicherheits-Plug-Ins verwenden
Um die Sicherheit Ihrer Website zu erhöhen, stehen verschiedene Plug-Ins zur Auswahl. Entscheiden Sie sich für ein einzelnes Plug-In, mehrere nebeneinander installierte Sicherheits-Plugins können zu Problemen führen. Die Verwendung des Plug-Ins Wordfence wird empfohlen. Vergleichen Sie alternativ die Vorteile der Plug-Ins iThemes Security und Sucuri Security.
4. Nicht mit Standard-Namen wie „Admin“ arbeiten
Namen wie „Admin“ oder „Administrator“ für den Shop-Login machen es den Angreifern leicht. Erstellen Sie ein neues Admin-Konto mit einem schwer zu erratenden Benutzernamen, loggen Sie sich in dieses Konto ein und löschen Sie anschließend das alte Admin-Konto.
5. Nutzen Sie SSL-Zertifikate
Besonders für den Login-Bereich und die Registrierungsseiten ist die Verwendung von SSL-Zertifikaten essenziell. Die Informationen müssen über eine verschlüsselte Verbindung ausgetauscht werden. Wenn Sie SSL installiert haben, navigieren Sie zu WooCommerce → Einstellungen und aktivieren „Force Secure Checkout“.
6. Mehrere Backups an verschiedenen Orten verwahren
Das Erstellen regelmäßiger Backups ist für die Sicherheit Ihres WooCommerce Shops von elementarer Bedeutung. Verwahren Sie gleich mehrere aktuelle Backups, damit Sie bei Problemen oder Fehlern immer schnell zur funktionierenden Version zurückkehren können. Ihr Hosting Provider sollte automatische Backups durchführen und manuelle Backup-Optionen bieten. Zusätzlich sollten Sie selbst Backups erstellen und an einem sicheren Ort speichern. VaultPress ist Teil der umfangreichen Erweiterung JetPack: Das Plug-In macht das Erstellen aktueller Backups leicht und schützt vor Hackern, Malware und mehr.
7. Edit-Files vom Admin entfernen
Deaktivieren Sie die Edit-Files des WordPress-Admins, damit ein Hacker mit Zugang zum Admin-Konto keine Dateien über das Admin-Panel verändern kann. Bearbeiten Sie dafür die Datei wp-config.php und fügen Sie folgende Zeile ein:
define( 'DISALLOW_FILE_EDIT', true );
8. Anzahl der erlaubten Login-Versuche limitieren
Brute-Force-Attacken können auch bei starken Passwörtern erfolgreich sein, limitieren Sie daher die möglichen Login-Versuche.
JetPack Protect ist Bestandteil der WordPress-Erweiterung JetPack und ermöglicht die einfache Limitierung der Zugriffsversuche. Nach zu vielen fehlgeschlagenen Versuchen wird die IP-Adresse des Angreifers gesperrt.
9. Pingbacks und Trackbacks deaktivieren
Pingbacks und Trackbacks können für low-level-DdoS-Attacken oder automatische SPAM-Nachrichten missbraucht werden. Sie benötigen die Funktionen für Ihren WooCommerce Shop nicht und sollten diese daher zur Sicherheit deaktivieren. Fügen Sie der .htaccess-Datei folgende Zeilen hinzu:
# Beginne XML RPC BLOCKING <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> # Ende XML RPC BLOCKING
10. Einstellungen für FTP-Verzeichnisse anpassen
Im letzten Schritt blockieren Sie den Zugang zu Ihren Verzeichnissen via FTP, indem Sie den Schreibzugriff einschränken. Einzig Ihr FTP-Konto sollte Schreibrechte auf die folgenden Ordner besitzen:
- das Basis-Verzeichnis (bei Verwendung eines Plug-Ins für URL redirects müssen Sie die .htaccess-Datei ausschließen)
- wp-admin
- wp-content (der Server benötigt ebenfalls Schreibrechte)
- wp-includes
Weitere Informationen zum Absichern von WordPress u.a. das Anpassen der FTP-Verzeichnisse finden Sie in dem Artikel Hardening WordPress. Zum Artikel.
Sie haben weitere Tipps, wie man einen WooCommerce-Shop absichern kann? Schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.
- Was ist cURL? - 10. September 2023
- Die besten Contao Templates & Themes - 8. Januar 2023
- 9 Tipps für Unternehmen, um die Corona-Krise zu überstehen - 31. März 2020