Die vollständige WooCommerce-Sicherheitscheckliste (Leitfaden 2022)

Veröffentlicht: 2021-03-23

Sicherheit ist ein Hauptanliegen für jeden E-Commerce-Shop. Schließlich müssen Sie nicht nur Ihre Inhalte, sondern auch Kundeninformationen und Bestelldaten schützen.

Wenn Sie also überlegen, einen Online-Shop zu eröffnen, oder dieser bereits einen Teil Ihres Einkommens ausmacht, dann ist es an der Zeit, sicherzustellen, dass Sie Ihr Geschäft vollständig absichern.

Warum Onlineshops mehr Sicherheit brauchen

Wenn Sie online verkaufen, haben Sie es mit vielen sensiblen Informationen zu tun: Personennamen, Kreditkartennummern, Adressen und mehr. Ein aktiver Shop sammelt ständig neue Informationen, sodass Sie einen ständig wachsenden Datensatz haben, für den Sie verantwortlich sind.

Wenn Sie sicherstellen, dass Ihre Website über erstklassige Sicherheit verfügt, können Sie:

  • Schützen Sie die persönlichen Daten Ihrer Kunden vor Hackern und Angreifern, damit die Kunden vertrauensvoll einkaufen können;
  • Schützen Sie Ihre Einkommensströme vor Unterbrechungen und entgangenen Umsätzen;
  • Bewahren Sie alle minutengenauen Verkaufsdaten für steuerliche und rechtliche Zwecke auf;
  • Bewahren Sie Ihre Marke und Ihren Ruf als vertrauenswürdiges Unternehmen. und
  • Vermeiden Sie Kosten im Zusammenhang mit dem Wiederaufbau Ihres Unternehmens nach einem Hack, wie z. B. entgangene Verkäufe aufgrund von Ausfallzeiten, Rückerstattungen aufgrund nicht ausgeführter Bestellungen und Kosten für die Reparatur von Websites

So erkennen Sie einen Hack

Ein Hack kann viele Formen annehmen, und Sie bemerken möglicherweise nicht einmal, dass Ihre Website sofort kompromittiert wurde.

Um einen Hack zu identifizieren, suchen Sie nach:

  • Neue Administratorkonten, die Sie nicht erstellt haben.
  • Spam-Links zu Malware in Kommentaren, Produktbeschreibungen oder Rezensionen.
  • Ungewöhnliche Benachrichtigungsfelder oder Links, die auf Websites von Drittanbietern weiterleiten.
  • Benachrichtigungen von Google, dass Ihr Shop gemeldet wurde.
  • Seltsame, unerwartete oder fehlende Kunden-E-Mails.
  • Sehr langsame Ladezeiten oder Timeout-Fehler.

Aber die meisten Geschäftsinhaber sind zu sehr damit beschäftigt, an Inventar, Marketing oder Auftragserfüllung zu arbeiten, um sie ständig auf Probleme oder Hacks zu überwachen. Aus diesem Grund sollten Sie als Erstes die Ausfallzeitüberwachung hinzufügen, die automatisch überprüft, ob Ihre Website betriebsbereit ist, und Sie warnt, wenn dies nicht der Fall ist. So können Sie sofort Maßnahmen ergreifen, um Ihren Online-Shop zu reparieren und wiederherzustellen.

Sie können auch von Jetpack Scan profitieren, einem Top-Plugin zum Scannen von Malware, das Ihren Shop automatisch auf Hacks überprüft, sodass Sie sich keine Sorgen machen müssen! Sie erhalten eine Warnung, wenn es einen Fehler findet, und Sie können sogar die meisten bekannten Bedrohungen mit nur einem Klick beheben.

Das Jetpack-Scan-Dashboard zeigt den aktuellen Malware-Scan-Fortschritt

Die vollständige Sicherheitscheckliste für WooCommerce (14 Schritte)

Es ist immer am besten, Hacks zu stoppen, bevor sie passieren. Wenn Sie die folgenden Fragen mit „Ja“ beantworten können, dann sind Sie bestens gestartet!

1. Hosten Sie bei einem sicheren, seriösen Anbieter?

Ihr Host ist die erste Verteidigungslinie gegen Angriffe. Wenn sie keine angemessenen Sicherheitsmaßnahmen getroffen haben, könnten Ihre Dateien und Ihre Datenbank anfällig sein, selbst wenn Sie alles andere richtig machen.

Suchen Sie bei der Auswahl eines Hosts nach einem mit:

  • Eine eingebaute Firewall . Eine Firewall kontrolliert, wer auf Ihren Server zugreifen kann und wer nicht, und hält Hacker und Bots von Ihren Website-Dateien fern.
  • Sicherheitsscans . Viele Hoster scannen regelmäßig alle Websites auf ihrem Server und informieren Sie, wenn sie etwas Verdächtiges wie Malware bemerken. Einige Anbieter beheben diese Probleme sogar für Sie, oft gegen eine zusätzliche Gebühr.
  • Sicherungen . Sie möchten zwar auch Ihre eigenen Backups erstellen (dazu später mehr), aber es ist eine gute Idee, mehrere Kopien Ihrer Website zu haben. Viele Hosting-Unternehmen schließen Backups in ihre Pläne ein, während andere sie als kostenpflichtiges Upgrade anbieten.
  • Ein hervorragendes Support-Team . Wenn Sie auf ein Problem stoßen, möchten Sie, dass Experten zur Verfügung stehen, die Ihnen helfen, die nächsten Schritte zu finden. Stellen Sie sicher, dass Ihr Gastgeber über ein großartiges Support-Team verfügt, das über die für Sie bequemste Methode erreichbar ist (Live-Chat, Telefon usw.).
  • Ein guter Ruf . Überprüfen Sie Bewertungen von echten Kunden und informieren Sie sich über deren Erfahrungen. Dies ist der genaueste Weg, um mehr über einen Hosting-Anbieter zu erfahren.

Sie sind sich nicht sicher, wo Sie anfangen sollen? WooCommerce hat eine Liste empfohlener Hosting-Unternehmen zusammengestellt, die alle gründlich geprüft wurden.

2. Haben Sie ein SSL-Zertifikat?

Ein SSL-Zertifikat (Secure Socket Layer) verschlüsselt die von Ihren Kunden an Ihre Website gesendeten Informationen und authentifiziert die Identität Ihrer Website. Dies dient als kritischer Schutz für Informationen wie Kreditkartendaten und Adressen. Google berücksichtigt es auch bei der Bestimmung des Suchmaschinenrankings.

Die meisten Hoster bieten SSL-Zertifikate kostenlos an, obwohl einige eine relativ geringe Gebühr erheben.

3. Verwenden Sie sichere Versionen von Designs und Plugins?

Nulled Plugins und Themes sind Raubkopien von Premium-Plugins und Themes und werden kostenlos oder zu einem niedrigen Preis angeboten. Sie werden nicht nur nicht unterstützt, sie werden auch nicht aktualisiert, sodass sie mit WordPress oder anderen Plugins in Konflikt geraten können. Und was noch besorgniserregender ist, sie sind normalerweise voller Malware, die Ihre Website und Kundendaten gefährden kann.

Laden Sie Plugins und Themes immer aus vertrauenswürdigen Quellen herunter, wie dem WordPress-Repository oder dem WooCommerce-Marktplatz.

Auf dem WooCommerce Marketplace wurden Erweiterungssammlungen vorgestellt
Ausgewählte Erweiterungssammlungen im WooCommerce Marketplace

4. Ist alles auf Ihrer WordPress-Seite aktualisiert?

WordPress-, Theme- und Plugin-Updates enthalten nicht immer nur neue Funktionen; Sie beheben häufig Fehler und Schwachstellen, die Hacker ausnutzen können. Führen Sie Updates immer dann durch, wenn sie verfügbar sind, um Ihre Website sicher zu halten und Konflikte zu vermeiden.

Sie möchten keine Updates verfolgen? Jetpack hat eine Option, um diesen Prozess zu automatisieren.

5. Verwenden Sie die neueste PHP-Version?

Der Großteil des WordPress-Kerns ist in PHP, einer Programmiersprache, geschrieben. Sie sollten die PHP-Version, die Ihre Website verwendet, aus demselben Grund aktualisieren, aus dem Sie Designs und Plugins aktualisieren sollten: um sich vor Fehlern und Schwachstellen zu schützen.

Sie können Ihre PHP-Version in Ihren Host-Einstellungen aktualisieren oder Ihren Hosting-Provider bitten, dies für Sie zu erledigen. Sehen Sie sich die neuesten WordPress-Anforderungen an.

6. Haben Sie Ihre Benutzerberechtigungen überprüft?

Jedem WordPress-Benutzer wird eine Rolle zugewiesen, die eine Reihe von Funktionen umfasst, mit denen er bestimmte Aufgaben auf Ihrer Website ausführen kann. Administratoren haben vollen Zugriff auf alles und können alle gewünschten Änderungen vornehmen; Als Ladenbesitzer sollte dies Ihre Rolle sein. Kunden haben jedoch keinen Zugriff auf das Backend Ihrer Website, können jedoch ihre eigenen Kontoinformationen bearbeiten und aktuelle und frühere Bestellungen einsehen. Sehen Sie sich eine vollständige Liste der Benutzerrollen und -berechtigungen an.

Überprüfen und bereinigen Sie von Zeit zu Zeit Ihre Benutzerkonten. Jeder Benutzer sollte nur die minimal erforderlichen Berechtigungen haben, um seine Arbeit zu erledigen, und wenn Sie nicht mehr mit jemandem zusammenarbeiten, stellen Sie sicher, dass Sie dessen Konto entfernen. Wenn Sie beispielsweise mit einer Webentwicklungsagentur zusammengearbeitet haben, um Ihre Website zu erstellen, und das Projekt abgeschlossen ist, möchten Sie wahrscheinlich deren Konto löschen, es sei denn, in Zukunft sind ständige Aktualisierungen erforderlich.

7. Verwenden Sie einen sicheren Benutzernamen und ein sicheres Passwort?

Hacker verwenden oft Bots, um Tausende verschiedener Kombinationen aus Benutzername und Passwort auszuprobieren, bis sie die richtige finden (dies wird als Brute-Force-Angriff bezeichnet). Je einfacher Ihr Passwort zu erraten ist, desto wahrscheinlicher ist es, dass ein Hacker auf Ihren Shop zugreifen kann.

Ein gutes Passwort besteht aus Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen und ist mindestens 20 Zeichen lang. Stellen Sie sicher, dass zumindest jeder Admin-Benutzer diese Art von Passwort implementiert.

Wenn es um Benutzernamen geht, vermeiden Sie gängige Titel wie „Administrator“ oder „Admin“. Erstellen Sie stattdessen für jede Person einen eigenen Benutzernamen.

8. Haben Sie darüber nachgedacht, Ihre Anmelde-URL zu ändern?

Standardmäßig kann auf jede WordPress-Anmeldeseite unter Ihrer URL /wp-admin zugegriffen werden. Wenn Sie zusätzliche Sicherheitsmaßnahmen ergreifen möchten, können Sie die URL ändern, um es Angreifern schwerer zu machen, diese URL zu erraten. Sie können dies tun, indem Sie Ihre .htaccess-Datei bearbeiten oder, wenn Sie den Code nicht ändern möchten, ein Plugin wie WP Hide Login verwenden.

9. Haben Sie die Zwei-Faktor-Authentifizierung für Administratoren aktiviert?

Die Zwei-Faktor-Authentifizierung fügt Ihrer Anmeldeseite eine zusätzliche Sicherheitsebene hinzu. Um sich anzumelden, müssen Sie nicht nur etwas wissen (einen Benutzernamen und ein Passwort), Sie müssen auch etwas physisch besitzen (Ihr mobiles Gerät). Dadurch wird es deutlich unwahrscheinlicher, dass ein Hacker in Ihren Shop eindringen kann.

Jetpack macht die Zwei-Faktor-Authentifizierung einfach. Wenn Sie sich bei Ihrer Website anmelden, erhalten Sie einen speziellen, einmaligen Code auf Ihrem Telefon, den Sie eingeben müssen, um den Anmeldevorgang abzuschließen. Sie können sogar verlangen, dass alle Benutzer dies einrichten. Erfahren Sie mehr über die Zwei-Faktor-Authentifizierung.

10. Blockieren Sie Brute-Force-Angriffe?

Wie wir bereits besprochen haben, treten Brute-Force-Angriffe auf, wenn Hacker Bots verwenden, um Kombinationen aus Benutzernamen und Passwörtern immer wieder zu testen, bis sie das richtige finden. Dies gefährdet nicht nur Ihre Geschäfts- und Kundendaten, sondern kann auch Ihre Website verlangsamen.

Modul, das die Gesamtzahl der auf einer Website blockierten böswilligen Angriffe anzeigt

Jetpack blockiert diese Angriffe jedoch automatisch, bevor sie Ihre Website erreichen, sodass Sie sich keine Sorgen machen müssen.

11. Scannen Sie Ihre Website auf Malware?

Was passiert, wenn jemand auf Ihre Website zugreift und Malware einfügt? Sie sollten es sofort wissen, damit Sie diese Malware entfernen und das Problem so schnell wie möglich beheben können. Aber Hacker sind hinterhältig – es ist nicht immer sofort offensichtlich, dass sie eingedrungen sind.

Jetpack Scan warnt Sie sofort vor verdächtigen Aktivitäten, und da das Scannen auf Jetpack-Servern stattfindet, können Sie auf Ihre Website zugreifen, selbst wenn sie ausfällt. Es bietet auch One-Click-Fixes für die meisten bekannten Bedrohungen.

12. Haben Sie einen Spamfilter eingerichtet?

Spam-Kommentare sind nicht nur lästig; Sie lassen Sie auch unprofessionell aussehen und können Links enthalten, die Ihre Kunden auf mit Malware gefüllte Websites weiterleiten. Aber das Sortieren von Hunderten von Kommentaren pro Woche ist zeitaufwändig und frustrierend.

Diagramm, das blockierten Spam auf einer WordPress-Site zeigt

Hier kommt Jetpack Anti-Spam ins Spiel! Es entfernt automatisch Spam aus Kommentaren und Formularen, sodass Sie es nicht einmal sehen müssen. Sie sparen Zeit, schützen Ihre Website und bieten gleichzeitig eine bessere Benutzererfahrung.

13. Überwachen Sie Ihre Website auf Ausfallzeiten?

Wenn Ihre Website ausfällt, könnte dies ein Hinweis auf einen Hack sein. Und je länger es ausfällt, desto mehr Umsatz verlieren Sie. Sie wollen es so schnell wie möglich wieder zum Laufen bringen!

Jetpack bietet eine kostenlose Ausfallzeitüberwachung, die Ihre Website alle fünf Minuten von Standorten auf der ganzen Welt aus überprüft. Wenn Ihre Website ausfällt, erhalten Sie sofort eine Benachrichtigung, damit Sie das Problem sofort beheben können.

14. Haben Sie regelmäßige Offsite-Backups eingerichtet?

Wenn Ihrer Website etwas passiert, ist der beste Schutz, den Sie haben können, ein vollständiges Backup, das Sie schnell und einfach wiederherstellen können. Auch wenn Ihr Host Backups anbietet, ist es wichtig, dass Sie auch Ihre eigenen erstellen. Wieso den? Denn wenn Ihr Server kompromittiert wird, können auch alle dort gespeicherten Backups kompromittiert werden.

Sicherung läuft in einem WooCommerce-Shop

Jetpack Backup ist eine hervorragende Lösung. Es gibt zwei Planoptionen:

  1. Tägliche Backups, die einmal täglich eine Kopie Ihrer Website speichern.
  2. Echtzeit-Backups , die jedes Mal eine Kopie Ihrer Website speichern, wenn Sie eine Seite aktualisieren, einen neuen Beitrag veröffentlichen oder einen Verkauf tätigen. Diese sind besonders nützlich für Online-Shops, da Sie sich nie Sorgen machen müssen, Bestellinformationen zu verlieren.

Jetpack speichert Sicherungsdateien an mehreren Orten, völlig getrennt von Ihrer Website. Das bedeutet, dass Ihre Backups nicht betroffen sind, wenn Ihr Server kompromittiert ist. Und in den meisten Fällen können Sie sogar ein Backup wiederherstellen, wenn Ihre Website vollständig heruntergefahren ist!

Wie man sich im Worst-Case-Szenario erholt

Wenn Ihr Online-Shop Malware enthält und Sie Jetpack Security verwenden, erhalten Sie eine Benachrichtigung, damit Sie sich sofort um das Problem kümmern können. Ihr erster Schritt sollte sein, Ihr Aktivitätsprotokoll zu überprüfen, in dem Sie eine vollständige Liste aller Vorgänge auf Ihrer Website sehen können. Sie können diese Informationen verwenden, um festzustellen, wann der Hack stattgefunden hat, indem Sie nach verdächtigen Aktivitäten wie unbekannten Logins und bearbeiteten Seiten suchen.

Aktivitätsprotokoll, das alles zeigt, was auf einer WordPress-Seite passiert ist

Dann ist Jetpack Backup der schnellste Weg zur Wiederherstellung. Mit nur wenigen Klicks kann Ihre Website mit minimaler Ausfallzeit wieder betriebsbereit sein. Alles, was Sie tun müssen, ist, ein Backup von vor dem Hack auszuwählen und darauf zu warten, dass es wiederhergestellt wird. Ja, das ist es!

Sobald eine saubere Version Ihres Shops eingerichtet ist und ausgeführt wird, verwenden Sie Jetpack Scan, um sicherzustellen, dass keine verbleibende Malware auf Ihrer Website vorhanden ist. Jetpack löst die meisten bekannten Bedrohungen für Sie, sodass Sie sich höchstwahrscheinlich keine Gedanken über die Fehlerbehebung machen müssen, wenn etwas gefunden wird.

Nehmen Sie sich schließlich die Zeit, Ihre Website zu sichern, indem Sie alle Passwörter ändern und überprüfen, ob Ihre Designs, Plugins und Kerndateien auf dem neuesten Stand sind.

Brauchen Sie Hilfe? Jetpack Security umfasst vorrangigen Support durch ein erfahrenes technisches Team, das Sie in die richtige Richtung weisen kann.

Halten Sie Ihren WooCommerce-Shop sicher

Wenn Sie sich die Zeit nehmen, Ihren WooCommerce-Shop vollständig zu sichern, wird sichergestellt, dass Ihre Kunden vertrauensvoll einkaufen können und Sie sich keine Sorgen um Ihre Daten oder Ihren Ruf machen müssen.

Und eine der besten Möglichkeiten, dies zu tun, ist die Kombination von Jetpack Security und WooCommerce – es macht einfach Sinn! Es handelt sich um zwei etablierte, angesehene WordPress-Plugins, die synchron arbeiten, um Ihre Website zu schützen und Funktionen hinzuzufügen. Zusammen bedeuten sie weniger bewegliche Teile, weniger externe Plugins und mehr Sicherheit für Sie als Geschäftsinhaber.

Häufig gestellte Fragen

Kann eine WooCommerce-Website gehackt werden?

Ja, wie jede Website kann ein WooCommerce-Shop gehackt werden. WordPress und WooCommerce enthalten jedoch Funktionen, die zum Schutz Ihrer Inhalte und Kundendaten beitragen. Und wenn Sie ein paar grundlegende Sicherheitsmaßnahmen getroffen haben – wie die Auswahl eines guten Hosts, die Aktualisierung der Dinge und die Installation des besten Sicherheits-Plugins – können Sie sich beruhigt zurücklehnen, da Sie wissen, dass Ihre Website in guten Händen ist.

Benötigen Sie SSL für eine WooCommerce-Website?

Ein SSL-Zertifikat verschlüsselt die Informationen (wie Kreditkartendaten und Adressen), die auf Ihrer Website übermittelt werden, und schützt sie vor Angreifern. Wenn ein Hacker auf diese Informationen zugreift, kann dies Ihr Unternehmen einem rechtlichen Risiko aussetzen und Ihrem Ruf schaden. Und ein SSL-Zertifikat schützt nicht nur Sie und Ihre Kunden, es ist auch wichtig für Ihr Suchmaschinen-Ranking.

Während ein SSL-Zertifikat für jede Website empfohlen wird, ist es für Online-Shops aufgrund der Art der Daten, die sie zur Verarbeitung von Transaktionen sammeln, noch wichtiger.

Welches SSL-Zertifikat ist das beste für WooCommerce-Websites?

Die meisten großen Hosting-Anbieter schließen ein SSL-Zertifikat in ihre Pläne ein, während andere es gegen eine zusätzliche Gebühr zur Verfügung stellen. In der Regel sind diese mit nur wenigen Klicks einfach zu installieren.

Wenn Ihr Hoster dies jedoch nicht anbietet, empfehlen wir Let's Encrypt. Es ist ein vertrauenswürdiger Dienst, der kostenlose SSL-Zertifikate anbietet, um ein sichereres Web zu unterstützen. Hinweis: Viele der in Hostingpaketen enthaltenen SSL-Zertifikate stammen von Let's Encrypt.

Erfahren Sie mehr über die Installation eines SSL-Zertifikats in Ihrem WooCommerce-Shop.

Wie erzwinge ich HTTPS auf einer WooCommerce-Website?

Wenn Sie Ihrem Shop erfolgreich ein SSL-Zertifikat hinzufügen, ändert es Ihre URL von http://example.com in https://example.com. Das „s“ in „https“ steht für SSL.

Wenn Sie HTTPS in Ihrem Shop erzwingen, wird ein Besucher, der die „http“-Version Ihrer Website eingibt, automatisch zur „https“-Version umgeleitet. Dadurch wird sichergestellt, dass alles für jeden einzelnen Käufer richtig verschlüsselt wird.

Sie können HTTPS entweder erzwingen, indem Sie Ihrer .htaccess-Datei ein paar Codezeilen hinzufügen, oder indem Sie ein WordPress-Plugin verwenden. Kinsta bietet dafür eine großartige Anleitung.

Ist WooCommerce sicherer als Shopify?

Shopify ist eine gehostete Plattform, die die Sicherheit für Sie übernimmt. Dies hat zwar seine Vorteile – Sie müssen sich keine Gedanken über die Implementierung von Sicherheitsmaßnahmen machen – bedeutet aber auch, dass Sie praktisch keine Kontrolle über Ihren eigenen Schutz haben.

Und das bedeutet auch nicht, dass Shopify sicherer ist. Hacker und Bots diskriminieren schließlich nicht. Sie versuchen es einfach mit einer Site nach der anderen, bis sie eine finden, auf die sie zugreifen können. Wenn Sie also geeignete Sicherheitsmaßnahmen ergreifen, ist Ihr Geschäft genauso sicher – und in vielen Fällen sicherer – als andere auf jeder Plattform.

Es ist auch wichtig zu beachten, dass sowohl WordPress als auch WooCommerce von einem Team unterstützt werden, das sich leidenschaftlich dafür einsetzt, Ihnen zum Erfolg zu verhelfen. Sie arbeiten ständig daran, die Plattform sicher zu halten, weshalb die regelmäßige Aktualisierung Ihrer Software so wichtig ist.

Dieser Leitfaden von WooCommerce enthält weitere Details zum Vergleich mit Shopify.