9-Punkte-Checkliste für einen sicheren WooCommerce-Shop

WooCommerce ist ein beliebtes E-Commerce-Plugin für WordPress, das über 28 % aller Online-Shops unterstützt. Als öffentlich zugängliche Software kann WordPress angepasst und modifiziert werden, um eine einzigartige WooCommerce-Website zu erstellen. Andererseits sind, wie alle Websites im Internet, auch WordPress-Websites anfällig für Hacker. Und es hat aufgrund vermeidbarer Sicherheitsprobleme nicht wirklich mit der WordPress-Kernwebsite zu tun.

In diesem Beitrag führen wir Sie durch die wichtigsten WooCommerce-Sicherheitstipps, um zu verhindern, dass Ihr E-Commerce-Shop von böswilligen Benutzern kompromittiert wird. Sie können sie auf verschiedene Arten planen und implementieren, aber es gibt eine einfache und effektive Lösung, um die Sicherheit Ihrer Website zu optimieren, die wir auch hier besprechen.

9-Punkte-Checkliste zur Stärkung Ihrer WooCommerce-Sicherheit

Hier ist ein Blick auf die Möglichkeiten, wie Sie Ihre WooCommerce-Sicherheit erhöhen können. Einige dieser Sicherheitsmaßnahmen können Sie leicht selbst implementieren, andere erfordern das Eingreifen von WordPress-Experten.

1. Halten Sie Ihre Plugins auf dem neuesten Stand

Das Aktualisieren Ihrer Plugins und Themes ist unerlässlich – hier ist der Grund:

• Hacker können Schwachstellen in Plugins und Themes ausnutzen und Ihre Website über diese Plugins/Themes angreifen. Es kann ihnen gelingen, auf Geschäfts- und Kundendaten zuzugreifen, um unter anderem im Darknet zu verkaufen, Geld zu überweisen oder Betrug zu begehen.

• Veraltete Plugins sind für 91 % der Sicherheitsverletzungen verantwortlich und machen Updates erforderlich. Darüber hinaus werden täglich Tausende von Websites gehackt. Wenn Hacker Ihren Shop durchdringen, können sie bösartigen Code an ahnungslose Benutzer Ihrer Website weitergeben. Oder sie starten einen DDoS-Angriff, um Ihre Website zu verlangsamen oder herunterzufahren, was zu Ausfallzeiten führt, die durchschnittlich 5.600 US-Dollar pro Minute kosten.

• Plug-in- und Design-Updates enthalten Fehlerkorrekturen und Leistungsverbesserungen. Die neuesten Versionen beheben Probleme, die in früheren Softwareversionen festgestellt wurden, und können sogar neue Funktionen hinzufügen. Durch die Pflege von Plugins/Themen bleiben sie nutzbar und sicher.

Um WordPress-Themes oder Plugins zu aktualisieren, besuchen Sie die Registerkarte „Updates“ in Ihrem WordPress-Adminbereich. Wir empfehlen, dass Sie zuerst die Designs/Plugins auf einer Staging-Site – einem Klon Ihrer Live-Website – aktualisieren, um die Änderungen zu testen, bevor Sie sie auf Ihre Live-Website anwenden. Dies liegt daran, dass das Aktualisieren eines Plugins manchmal zu „fatalen Fehlern“ führen kann, da der Plugin-Code nicht mit dem in den Kern-WP-Dateien verwendeten Code kompatibel ist.

Wenn Sie über einen technischen Hintergrund verfügen, können Sie Ihre Staging-Site einfacher einrichten. Wenn nicht, kann ein Fachmann es für Sie einrichten und sicherstellen, dass Updates problemlos installiert werden können. Sie können sich um Ihre WooCommerce-Sicherheit kümmern und auch mögliche Folgen von Update-Problemen vermeiden.

2. Wählen Sie einen dedizierten WooCommerce-Hosting-Anbieter

Benötigen Sie spezielles Hosting für WooCommerce? Nun, angesichts der Tatsache, dass die durchschnittliche WooCommerce-Site datenbankintensiv ist und hohen Traffic bewältigen muss, ist ein dediziertes WooCommerce-Hosting-Unternehmen besser geeignet als ein normaler Hosting-Service. Unter dem Gesichtspunkt der WooCommerce-Sicherheit kann von einem solchen Anbieter erwartet werden, dass er spezialisierte Unterstützung bietet, die alle erforderlichen Bereiche auf Ihrer Website abdeckt.

Hier sind einige der Sicherheitsfunktionen, die Sie überprüfen sollten, wenn Sie nach einem Hosting-Anbieter suchen:

• SSL-Zertifikate, um eine verschlüsselte Verbindung zu ermöglichen und Hacker daran zu hindern, Namen, Adressen, Passwörter, Kreditkartennummern und andere sensible Daten zu sehen.

• Automatisierte Backups, um Ihre Website im Falle eines Angriffs wieder zum Laufen zu bringen.

• Angriffsüberwachung zur Erkennung und Abwehr von Angriffen in Echtzeit.

• 24/7-Support von sachkundigen WooCommerce-Hosting-Experten auf Abruf, um Ihnen bei Sicherheitsbedenken zu helfen.

• Eine integrierte Staging-Umgebung zum sicheren Testen von Plugins und Änderungen an Ihrem Shop, bevor Sie sie live übertragen.

In Bezug auf die Leistung möchten Sie sich möglicherweise auf die vom Anbieter versprochene Verfügbarkeitsgarantie konzentrieren. Wenn Sie eine große WooCommerce-Website mit vielen Produkten haben und täglich erheblichen Verkehr anziehen, ist nicht weniger als eine Verfügbarkeitsgarantie von 99,9 % ausreichend.

3. Richten Sie eine Firewall mit einem WordPress-Sicherheits-Plugin ein

Selbst wenn Ihr Hosting-Provider Ihnen eine Firewall zur Verfügung stellt, wird durch die Einrichtung einer Firewall auf Website-Ebene eine weitere Sicherheitsebene hinzugefügt, die den unbefugten Zugriff auf Ihr Computernetzwerk verhindert. Sie können ein Plugin verwenden, um eine Firewall einzurichten, und weitere Anpassungen hinzufügen, wenn Sie über fortgeschrittene technische Kenntnisse verfügen. WordFence ist eine vertrauenswürdige Firewall für WordPress. Es ist ein vollständiges WordPress-Sicherheits-Plugin, das eine Reihe von Funktionen bietet, wie zum Beispiel:

• Eine Web Application Firewall (WAF), die schädlichen Datenverkehr erkennt und blockiert

• Schutz vor Brute-Force-Angriffen, die Benutzer nach einer definierten Anzahl falscher Anmeldeversuche blockieren

• Malware-Scanning, um bösartige Software zu identifizieren, die Hacker möglicherweise auf Ihrer Website installiert haben

• Aktiviert Anmeldesicherheit wie reCAPTCHA und Zwei-Faktor-Authentifizierung

Viele der wichtigsten WordFence-Funktionen sind in der kostenlosen Version verfügbar. Das Upgrade auf die Premium-Version kostet 99 US-Dollar pro Jahr und bietet erweiterte Funktionen wie Echtzeit-IP-Blockierung und Firewall-Regeln, die Websites vor neuen Bedrohungen und Malware schützen, sobald das WordFence-Team sie erkennt.

Es ist möglich, die Funktionen, die All-in-One-Sicherheits-Plugins wie WordFence bieten, manuell zu implementieren. Einige sind recht einfach zu machen, haben aber spezielle Anforderungen. Wenn Sie beispielsweise eine eigene Firewall einrichten möchten, benötigen Sie vollen Zugriff auf Ihren Server, was nicht möglich ist, es sei denn, Sie verwenden einen dedizierten Server. Darüber hinaus müssen Sie in der Befehlszeilenschnittstelle arbeiten, was nur dann einfach und angenehm ist, wenn Sie über Kenntnisse in der Webentwicklung verfügen.

4. Machen Sie Ihre Anmeldeseite sicherer

Der Admin-Bereich Ihrer Website ist von Brute-Force-Angriffen bedroht, die versuchen, sich Zugang zu Ihrem WP-Admin zu verschaffen, indem sie verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobieren. Brute-Force-Angriffe oder die Verwendung gestohlener Zugangsdaten machen über 80 % der Verstöße beim Hacken aus. Es gibt einige WooCommerce-Sicherheitsmaßnahmen, die Sie ergreifen können, um die Sicherheit der Administrator-Anmeldeseite für Ihren Shop zu erhöhen:

Ändern Sie Ihren Benutzernamen von „admin“ in etwas anderes

Ein gängiger Trick für Hacker besteht darin, den standardmäßigen WordPress-Administrator-Benutzernamen „admin“ auszunutzen, um zu versuchen, sich bei Ihrem Konto anzumelden. Frühe Versionen von WordPress verwendeten standardmäßig den Benutzernamen „admin“, daher ist es möglich, dass Ladenbesitzer daran gewöhnt sind, ihn zu verwenden. Das Ändern von „admin“ in einen anderen Namen ist notwendig, um das Risiko von Wp-admin-Angriffen zu verringern, und es ist nichts dagegen! Hier sind die Schritte:

1. Gehen Sie zu > Neuen Benutzer hinzufügen
2. Erstellen Sie einen neuen Benutzer mit Ihrem gewünschten Benutzernamen und weisen Sie ihm die Rolle „Administrator“ zu
3. Melden Sie sich vom vorherigen „admin“-Konto ab und beim neuen Konto an
4. Gehen Sie zurück zur Benutzerliste und löschen Sie das alte „admin“-Konto

Zwei-Faktor-Authentifizierung (2FA) aktivieren

Die Zwei-Faktor-Authentifizierung erfordert zwei Methoden, um Ihre Identität zu überprüfen. Es fungiert als zweite Verteidigungslinie, um den Zugriff auf Ihr WordPress-Admin-Konto einzuschränken. Sie können es mit einer Authentifizierungs-App aktivieren, die den Konten, die Sie schützen möchten, 2FA hinzufügt.

Authentifizierungs-Apps generieren einen einmaligen Code, mit dem Sie bestätigen können, dass Sie es sind, der sich bei Ihrem WP-Administratorkonto anmeldet. Sie müssen zuerst ein Authentifizierungsgerät auf Ihrem Smartphone oder Tablet einrichten. Während dieses Vorgangs generiert die App einen geheimen Schlüssel, den Sie auf Ihrem Telefon speichern, indem Sie einen QR-Code scannen oder den Code manuell eingeben, wenn Ihr Telefon keine Kamera hat. Damit verfügen der Server der App und Ihr Telefon über eine Kopie des geheimen Schlüssels. Danach sendet die App jedes Mal, wenn Sie Ihren Benutzernamen und Ihr Passwort eingeben, um sich anzumelden, einen Zugangscode – normalerweise eine sechsstellige Zahl – den Sie eingeben, um sich bei Ihrem Administratorkonto anzumelden.

Hier ist ein Beispiel für die Einrichtung von 2FA mit WordFence:

1. Laden Sie eine Authentifizierungs-App wie Google Authenticator auf Ihr Smartphone oder Tablet herunter
2. Installieren und aktivieren Sie WordFence
3. Rufen Sie in WordFence die Seite „Anmeldesicherheit“ auf
4. Öffnen Sie Ihre Authentifizierungs-App und scannen Sie den QR-Code, der in WordFence angezeigt wird
5. Klicken Sie im Abschnitt „Wiederherstellungscode“ auf „Herunterladen“. Dadurch erhalten Sie eine Reihe von Codes, die Sie verwenden können, falls Sie den Zugriff auf Ihre Authentifizierungs-App verlieren
6. Geben Sie den 6-stelligen Code aus Ihrer Authentifizierungs-App ein
7. Klicken Sie auf „Aktivieren“.

5. Erfordern Sie starke Passwörter für Geschäftskonten

WooCommerce bietet Ihnen die Flexibilität, einen Shop zu erstellen, der zu Ihrem Geschäftsmodell passt. Dazu gehört die Bereitstellung unterschiedlicher Zugriffsebenen innerhalb von Teams. Das Sichern der Store-Konten aller Ihrer Teammitglieder ist eine einfache Möglichkeit, die Sicherheit von WooCommerce zu erhöhen.

Obwohl Mitarbeiter verstehen, dass ihre Passwörter sicher sein sollten, neigen sie dennoch dazu, schwache Passwörter zu verwenden, die in weniger als einer Sekunde gehackt werden können. Eine starke Passwortrichtlinie kann die Notwendigkeit, komplexe Passwörter zu erstellen, wiederholen. Anstatt nur einige Rollen wie Store Manager oder Administrator sichere Passwörter erstellen zu lassen, ist die Durchsetzung einer Passwortkomplexitätsrichtlinie für alle Benutzer die sicherere Option.

Eine Möglichkeit, dies zu erreichen, besteht darin, das iThemes-Sicherheits-Plugin zu verwenden, um Store-Konten zu zwingen, starke Passwörter für sich selbst festzulegen. So können Sie vorgehen:

1. Installieren und aktivieren Sie das Plugin
2. Wählen Sie auf der Einrichtungsseite als Website-Typ „eCommerce“ aus
3. Wählen Sie als Benutzer „Selbst“ aus
4. Wenn das Plugin fragt „Möchten Sie Ihre Benutzerkonten mit einer Passwortrichtlinie sichern?“, stellen Sie den Schalter auf „Ja“.

6. Erstellen Sie eindeutige Passwörter für alle E-Commerce-Plattformen von Drittanbietern

Ein oft übersehener Aspekt der WooCommerce-Sicherheit ist die Anfälligkeit der verschiedenen Konten, die Sie für Dienste verwenden, die mit Ihrem WooCommerce-Shop verbunden sind, für Passwort-Hacks. Die Verwendung desselben Passworts für alle Dienste, die Sie mit Ihrem WooCommerce-Shop verbunden haben, erleichtert die Arbeit eines Hackers. Folgendes sollten Sie stattdessen in Betracht ziehen:

• Legen Sie unterschiedliche Passwörter für alle Ihre Zahlungsgateways wie Stripe und PayPal, Ihr Hosting und alle anderen Drittanbieterdienste fest, die Sie für Ihren WooCommerce-Shop verwenden. Selbst wenn eines Ihrer Passwörter offengelegt wird, sind Ihre anderen Konten sicher.

• Achten Sie darauf, dass sich die Passwörter ausreichend voneinander unterscheiden. Die Wiederverwendung von Passwörtern durch einfaches Ändern oder Hinzufügen einer Ziffer oder eines Zeichens ist unwirksam.

7. Führen Sie regelmäßige Backups Ihres Shops durch

Obwohl Backups Ihre Website nicht vor Hackern schützen, stellen sie sicher, dass Sie Zugriff auf Ihre wertvollen Daten haben, wenn Ihre Website kompromittiert wird. Das Vorhandensein von Sicherungskopien Ihrer Daten kann dazu beitragen, Ihre Website nach einem Cyberangriff oder anderen Ereignissen wie einem Hardwarefehler oder einem Absturz aufgrund einer Verkehrsspitze wieder online zu bringen. Tägliche Backups stellen sicher, dass Ihre Kunden-, Bestell- und Produktinformationen bei unvorhergesehenen Ereignissen wiederhergestellt werden können und dass die Geschäftskontinuität aufrechterhalten wird, um den Verlust von Kunden und Einnahmen zu vermeiden.

Eine praktische Lösung ist die Verwendung eines Echtzeit-WordPress-Backup-Plugins wie BlogVault. Echtzeit-Backup bietet die Möglichkeit, Daten zu einem beliebigen Zeitpunkt wiederherzustellen, und ist besonders nützlich, wenn Sie eine große Datenbank haben, die der ständigen Bedrohung durch sicherheitsrelevante Probleme ausgesetzt ist.

8. Sichern Sie Ihre Datenbank

Ihre WordPress-Datenbank speichert alle Informationen auf Ihrer Website und macht sie zu einem attraktiven Ziel. WordPress verwendet MySQL als Datenbankverwaltungssystem. Der PHP-Code auf deiner WordPress-Seite enthält SQL-Befehle zur Kommunikation mit der Datenbank. Eine Möglichkeit, SQL zu hacken, besteht darin, dass der Hacker einen Teil des SQL-Codes verwendet, um eine Datenbank zu manipulieren und sich Zugang zu wertvollen Informationen zu verschaffen. Diese Art von Angriff ist eine SQL-Injection und bei datenbankgesteuerten Websites üblich.

Glücklicherweise gibt es Möglichkeiten, deine WordPress-Datenbank zu sichern – hier sind zwei, die dir den Einstieg erleichtern:

Ändern Sie das Standardtabellenpräfix

Das Standard-Tabellenpräfix für WooCommerce-Shops ist wp_ . Wenn Sie diese Einstellung auf der Standardeinstellung belassen, wird Ihr Geschäft für SQL-Injektionen geöffnet. Sie können diese Einstellung in PhpMyAdmin ändern, wenn Sie Ihren Shop einrichten, oder ein Plugin wie DB Prefix verwenden. Stellen Sie sicher, dass Sie Ihre WP-Datenbank sichern, bevor Sie Änderungen an Tabellenpräfixen vornehmen. Und wenn Sie einige Wartungs- und Sicherheitsupdates für WordPress geplant haben, können Sie Website-Besucher auf eine Wartungsseite oder eine temporäre Seite leiten.

Sichere deine wp-config-Datei

Die Datei wp-config.php ist die wichtigste Datei in Ihrem WooCommerce-Shop, da sie alle Datenbankinformationen Ihres Shops enthält – einschließlich Admin-Passwörtern. Indem diese Datei von ihrer Standardposition im Stammverzeichnis in ein höheres Unterverzeichnis verschoben wird, wird es für potenzielle Hacker schwieriger, sie zu finden.

Hinweis: Codeable ist mit keiner der im Beitrag erwähnten (Plugin-)Empfehlungen verbunden.

9. Stellen Sie einen geprüften WordPress-Sicherheitsexperten ein

Die effektivste Maßnahme, die Sie ergreifen können, um Ihren WooCommerce-Shop zu schützen, ist die Beauftragung eines WordPress-Sicherheitsexperten. Von der Installation eines einfachen SSL-Zertifikats bis hin zur Implementierung von Firewalls zum Schutz vor Brute-Force-Angriffen auf größere E-Commerce-Websites – durch die Einstellung eines Sicherheitsexperten können Sie sich auf andere Teile Ihres Geschäfts konzentrieren, z. B. die Verwaltung von Bestellungen und die Bestandsverfolgung.

So finden Sie einen WooCommerce-Sicherheitsexperten

Sie haben viele Möglichkeiten, darunter DIY, die Beauftragung einer Agentur oder die Suche nach einem Freiberufler auf den zahlreichen Marktplätzen im Internet. Agenturen, die WordPress-Sicherheitsexperten bereitstellen, packen in der Regel verschiedene Dienste in ein Paket. Wenn Sie sich also für diese Option entscheiden, achten Sie auf Dienste, die Sie möglicherweise nicht benötigen.

Auf Freelancer-Marktplätzen können Sie extra bezahlen, um eine Auswahl an geprüften WP-Entwicklern zu haben, oder Sie müssen sie selbst bewerten. Auf diesen Websites wählen Sie die besten Angebote aus, und es gibt keine Garantie dafür, dass ein Freiberufler auf Projekte bietet, in denen er sich kompetent fühlt, einfach weil die Website diese Anforderung nicht explizit macht.

Die bessere Option ist es, einen Sicherheitsexperten auf Codeable zu finden:

• Codeable ist eine Freelancer-Plattform, die auf WordPress spezialisiert ist.
• Es passt Ihr Projekt an geprüfte WordPress/WooCommerce-Experten an, die an Sicherheitsprojekten gearbeitet haben, die Ihren eigenen ähneln. Dies beseitigt das Rätselraten und hilft sicherzustellen, dass Sie die richtige Person für den Job haben.
• Was Codeable von allgemeinen freiberuflichen Marktplätzen unterscheidet, ist, dass Sie nur mit Experten zusammenarbeiten, die in der Lage sind, Ihr Projekt erfolgreich durchzuführen. Sie können beruhigt sein, weil Sie wissen, dass Sie Zugang zu WooCommerce-Sicherheitsexperten haben, die dem Projekt zugestimmt haben, nachdem sie sorgfältig darüber nachgedacht haben.
• Codeable ist eine großartige Option für kleinere Projekte oder einmalige Aufgaben wie Sicherheitsaudits. Es ist günstiger als die Beauftragung einer Agentur und spart Ihnen viel Zeit für strategische Aktivitäten.
• Der Einstellungsprozess ist einfach und Sie sind nicht verpflichtet, einzustellen, wenn Sie Ihre Meinung zu Ihren WooCommerce-Sicherheits- und Wartungsplänen ändern.

Schützen Sie Ihren WooCommerce-Shop vor neuen Bedrohungen

Mit einem Woocommerce-Sicherheitsplan können Sie effektiv auf bestehende und neue Cybersicherheitsbedrohungen reagieren. Das proaktive Management von WordPress- und eCommerce-spezifischen Sicherheitsproblemen ist unerlässlich, um den Geschäftsbetrieb unterbrechungsfrei zu führen, finanzielle Verluste durch Hacking zu vermeiden und das Vertrauen der Kunden zu wahren.

WordPress-Sicherheitsexperten von Codeable können Ihnen helfen, Ihr Sicherheitsrisiko zu managen.

Reichen Sie Ihr Projekt ein und entschärfen Sie Ihre Sicherheitsbedenken umgehend. Codeable ist kostengünstig und bietet eine Geld-zurück-Garantie, sodass Sie es mit einer kleinen Aufgabe testen und dann entscheiden können, ob Sie es für ein größeres Sicherheitsprojekt verwenden möchten.