Das eCommerce-Plug-In WooCommerce zählt weltweit zu den beliebtesten Online-Shop-Lösungen. Rund 30 Prozent aller Shops im Internet arbeiten mit dieser Erweiterung für WordPress. Sie profitieren von unendlicher Flexibilität bei der Gestaltung und haben die komplette Kontrolle über den Shop. Widmen Sie der Sicherheit Ihres Onlineshops höchste Priorität und lernen Sie jetzt die 10 wichtigsten Tipps kennen, mit denen Sie Ihren WooCommerce-Shop absichern und Ihre Daten schützen.

Abbildung - Woocommerce-Plug-In

Vorab: Wählen Sie einen zuverlässigen Hosting Provider aus

Der erste Schritt für Ihren sicheren Online-Shop ist die Auswahl eines vertrauenswürdigen und zuverlässigen Hosting Providers. Die Leistungen von Host Europe werden in Datacentern zur Verfügung gestellt, die zu den sichersten Europas zählen. Der Service des Hosting Providers stellt das Fundament für Ihren sicheren Online-Shop dar. Mit den folgenden Tipps sorgen Sie für Schutz vor Hackern und Datendiebstahl.

WooCommerce-Shop absichern – So geht’s

1. Nur mit starken Passwörtern arbeiten

Den größten Erfolg haben Hacker bei Websites mit schwachen Passwörtern. Wählen Sie unbedingt starke Passwörter für alle Konten aus. Verwenden Sie für jedes Konto ein anderes Passwort, das sich aus großen und kleinen Buchstaben, Zahlen und Symbolen zusammensetzt. Je länger das Passwort, desto besser. WooCommerce integriert einen Indikator, der die Stärke Ihres Passworts anzeigt und so beim Erstellen eines sicheren Passworts hilft.

Tipp: Nutzen Sie die Zwei-Faktoren-Authentifikation (2FA) für alle Konten, auch für den Zugang zum E-Mail-Konto. Wenn sich ein Hacker Zugang zu Ihrem E-Mail-Konto verschafft, kann dieser andernfalls das Passwort zurücksetzen und ein neues vergeben. Bei 2FA ist für zusätzlichen Schutz ein zweiter Schritt für die Wiederherstellung eines Passworts nötig.

2. Updates sofort installieren

Für WordPress kommen etwa alle vier Monate ein großes Update und zusätzliche Sicherheits-Updates heraus. Installieren Sie in jedem Fall immer die aktuellen Sicherheits-Updates. Beispielsweise wurde die Version 4.7 im Dezember 2016 veröffentlicht – mit der im April 2017 veröffentlichen Version 4.7.4 handelt es sich bereits um das vierte Sicherheits-Update.

3. Sicherheits-Plug-Ins verwenden

Um die Sicherheit Ihrer Website zu erhöhen, stehen verschiedene Plug-Ins zur Auswahl. Entscheiden Sie sich für ein einzelnes Plug-In, mehrere nebeneinander installierte Sicherheits-Plugins können zu Problemen führen. Die Verwendung des Plug-Ins Wordfence wird empfohlen. Vergleichen Sie alternativ die Vorteile der Plug-Ins iThemes Security und Sucuri Security.

4. Nicht mit Standard-Namen wie „Admin“ arbeiten

Namen wie „Admin“ oder „Administrator“ für den Shop-Login machen es den Angreifern leicht. Erstellen Sie ein neues Admin-Konto mit einem schwer zu erratenden Benutzernamen, loggen Sie sich in dieses Konto ein und löschen Sie anschließend das alte Admin-Konto.

5. Nutzen Sie SSL-Zertifikate

Besonders für den Login-Bereich und die Registrierungsseiten ist die Verwendung von SSL-Zertifikaten essenziell. Die Informationen müssen über eine verschlüsselte Verbindung ausgetauscht werden. Wenn Sie SSL installiert haben, navigieren Sie zu WooCommerce → Einstellungen und aktivieren „Force Secure Checkout“.

6. Mehrere Backups an verschiedenen Orten verwahren

Das Erstellen regelmäßiger Backups ist für die Sicherheit Ihres WooCommerce Shops von elementarer Bedeutung. Verwahren Sie gleich mehrere aktuelle Backups, damit Sie bei Problemen oder Fehlern immer schnell zur funktionierenden Version zurückkehren können. Ihr Hosting Provider sollte automatische Backups durchführen und manuelle Backup-Optionen bieten. Zusätzlich sollten Sie selbst Backups erstellen und an einem sicheren Ort speichern. VaultPress ist Teil der umfangreichen Erweiterung JetPack: Das Plug-In macht das Erstellen aktueller Backups leicht und schützt vor Hackern, Malware und mehr.

7. Edit-Files vom Admin entfernen

Deaktivieren Sie die Edit-Files des WordPress-Admins, damit ein Hacker mit Zugang zum Admin-Konto keine Dateien über das Admin-Panel verändern kann. Bearbeiten Sie dafür die Datei wp-config.php und fügen Sie folgende Zeile ein:

define( 'DISALLOW_FILE_EDIT', true );

8. Anzahl der erlaubten Login-Versuche limitieren

Brute-Force-Attacken können auch bei starken Passwörtern erfolgreich sein, limitieren Sie daher die möglichen Login-Versuche.

Abbildung - Jetpack

JetPack Protect ist Bestandteil der WordPress-Erweiterung JetPack und ermöglicht die einfache Limitierung der Zugriffsversuche. Nach zu vielen fehlgeschlagenen Versuchen wird die IP-Adresse des Angreifers gesperrt.

9. Pingbacks und Trackbacks deaktivieren

Pingbacks und Trackbacks können für low-level-DdoS-Attacken oder automatische SPAM-Nachrichten missbraucht werden. Sie benötigen die Funktionen für Ihren WooCommerce Shop nicht und sollten diese daher zur Sicherheit deaktivieren. Fügen Sie der .htaccess-Datei folgende Zeilen hinzu:

# Beginne XML RPC BLOCKING

<Files xmlrpc.php>

Order Deny,Allow

Deny from all

</Files>

# Ende XML RPC BLOCKING

10. Einstellungen für FTP-Verzeichnisse anpassen

Im letzten Schritt blockieren Sie den Zugang zu Ihren Verzeichnissen via FTP, indem Sie den Schreibzugriff einschränken. Einzig Ihr FTP-Konto sollte Schreibrechte auf die folgenden Ordner besitzen:

  • das Basis-Verzeichnis (bei Verwendung eines Plug-Ins für URL redirects müssen Sie die .htaccess-Datei ausschließen)
  • wp-admin
  • wp-content (der Server benötigt ebenfalls Schreibrechte)
  • wp-includes

Weitere Informationen zum Absichern von WordPress u.a. das Anpassen der FTP-Verzeichnisse finden Sie in dem Artikel Hardening WordPress. Zum Artikel.

Benjamin Schmitz
Letzte Artikel von Benjamin Schmitz (Alle anzeigen)

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten