5 Sicherheitstipps nach der Markteinführung für WooCommerce-Shops

Wie wir in dieser Einführung in die WooCommerce-Sicherheit besprochen haben, sind nur wenige Schritte erforderlich, um die Grundlagen für einen sicheren, gut geschützten Shop zu schaffen. Aber die meisten der von uns angebotenen Tipps sind Dinge, die Sie tun würden, bevor Sie Ihr Geschäft eröffnen, oder vielleicht unmittelbar danach.

Sicherheit ist nichts, woran man einmal und nie wieder denken kann. Wenn Sie Ihr Geschäft nicht auf dem neuesten Stand halten, auf Sicherheitstrends achten oder Ihre Abwehrmaßnahmen verschärfen, während Sie wachsen und skalieren, könnten Sie sich selbst in eine sehr anfällige Position bringen … und auch Ihre Kunden gefährden.

Lassen Sie uns ein paar weitere Möglichkeiten untersuchen, wie Sie Ihren Shop nach der Einführung sichern können.

1. Blenden Sie die WordPress-Versionsnummer aus

„Okay“, werden Sie vielleicht sagen, „was? Wie schützt mich das ?“

Nun – das tut es nicht, nicht direkt. Aber wenn Sie WordPress manchmal etwas langsam aktualisieren, könnte ein kurzer Blick auf Ihren Quellcode einem potenziellen Angreifer leicht sagen, dass Sie möglicherweise anfälliger für andere Angriffe sind .

Die aktuelle Version von WordPress ist an drei Stellen zu finden:

1. Das Generator-Meta-Tag in Ihrem Header
2. Das Generator-Meta-Tag in Ihrem RSS-Feed
3. Zeichenfolgen abfragen

Wenn Sie also zu den wohlmeinenden Personen gehören, die Ihre Updates ein oder zwei Tage lang testen möchten und die Versionsnummer aus gutem Grund verbergen müssen, können Sie den Code von Frankie Jarrett verwenden, um die Versionsnummer vor allen zu verbergen drei dieser Punkte. Gehen Sie zu seinem Post, um es abzuholen, und fügen Sie es dann in Ihre functions.php-Datei ein .

Auch hier schützt Sie das Ausblenden der Version allein nicht – Sie sollten WordPress, WooCommerce und alle Ihre Plugins und Erweiterungen unbedingt auf dem neuesten Stand halten . Aber wir verstehen auch, dass es oft eine Lücke zwischen Testen und Implementierung gibt, so dass dies dazu beitragen kann, dass Sie in der Zwischenzeit sicher sind.

2. Erzwingen Sie SSL auf Ihren Checkout-Seiten

Sicherheit beginnt mit einer sicheren Verbindung. Wenn Sie diesen Tipp befolgen, können Sie absolut sicher sein, dass Sie Ihre Kunden vor neugierigen Blicken schützen, während sie an der Kasse sensible Rechnungs- und Versandinformationen eingeben.

Wenn die Einstellung „Sicheres Bezahlen erzwingen“ in WooCommerce aktiviert ist, werden alle mit Ihrem Bezahlvorgang verbundenen Seiten gezwungen, bei jedem Laden HTTPS (d. h. eine sichere Verbindung) zu verwenden .

Da nur der Browser eines Kunden und Ihr Geschäft die über eine HTTPS-Verbindung gesendeten Informationen entschlüsseln können, stellt das Aktivieren dieses Kontrollkästchens sicher, dass Ihr Bezahlvorgang sicher ist und niemand mit böswilliger Absicht einen Blick auf Kreditkartennummern oder andere eingehende sensible Informationen werfen kann und aus Ihrem Geschäft.

Diese Einstellung kann in WooCommerce ein- und ausgeschaltet werden, indem Sie zu WooCommerce > Kasse gehen und das zweite Kontrollkästchen ein- oder ausschalten.

Beachten Sie, dass ein gültiges SSL-Zertifikat erforderlich ist, damit diese Einstellung in Ihrem Shop ordnungsgemäß funktioniert . Wenn Sie noch kein SSL-Zertifikat erworben haben, lesen Sie diese Anleitung, um mehr darüber zu erfahren, warum sie wichtig sind und wie Sie eines für wenig oder gar kein Geld bekommen.

Sie können mehr über diese Einstellung in WooCommerce erfahren, indem Sie diese Seite in unseren Dokumenten lesen.

3. Machen Sie Backups und Sicherheitsscans zu einem täglichen Ereignis

In unserem ersten Beitrag zum Thema Sicherheit haben wir empfohlen, vertrauenswürdige Software zu verwenden, um Ihre Website auf potenzielle Schwachstellen, Brute-Force-Angriffe oder Malware zu scannen. Jetzt, da Sie gestartet sind, ist es an der Zeit, die Dinge auf die nächste Ebene zu bringen.

Wenn Ihr Geschäft in Betrieb ist, sollten sowohl Backups als auch Sicherheitsscans täglich durchgeführt werden . Backups sind von entscheidender Bedeutung, da Sie im Falle eines Datenverlusts auf etwas zurückgreifen können, während Sicherheitsscans einen solchen Verlust (oder eine Infektion) von vornherein verhindern.

Sie können die Häufigkeit von Scans, Backups und Benachrichtigungen nach Belieben festlegen, aber wir empfehlen mindestens ein tägliches Backup und einen täglichen Scan . Einige Lösungen bieten Echtzeit-Backups und häufigere Scans – der Brute-Force-Anmeldeschutz von Jetpack ist ebenfalls in Echtzeit – aber Sie können die Häufigkeit nach Belieben nach oben oder unten skalieren.

Wenn Sie immer noch auf der Suche nach einer zuverlässigen, effektiven Sicherungs- und Sicherheitslösung sind, werden Jetpack Premium-Pläne mit Sicherungen geliefert – und WooCommerce-Kunden können sofort 15 % sparen . Holen Sie sich Jetpack, damit Sie vom ersten Tag an beruhigt sein können.

4. Ändern Sie das in Ihren WordPress-Datenbanken verwendete Standardpräfix

So seltsam es auch scheinen mag, es gibt einige böse Leute da draußen, die Angriffe auf Websites zu ihrem eigenen Vergnügen inszenieren. Während Sie vielleicht denken, dass Ihr Shop zu 100 % sicher ist, gibt es ein paar kleinere Schwachstellen, die diese Spammer und Hacker finden und ausnutzen werden, wenn sie die Chance dazu haben.

Eine bekannte potenzielle Schwachstelle entsteht durch die Verwendung von Standardeinstellungen für Datenbanktabellen während der Einrichtung und Installation von WordPress. Durch das Ändern dieser Einstellungen kann verhindert werden, dass bösartiger Code in Ihren Server eingeschleust wird.

Das Standardpräfix für die Datenbanktabellen, die zum Speichern von WordPress-Informationen verwendet werden, ist wp_. Da die meisten Ladenbesitzer dieses Präfix während des Setups nicht ändern (oder nicht einmal die Möglichkeit dazu haben, abhängig von ihrem Host/Installationsverfahren), könnte die Verwendung der Standardeinstellung sie einem Risiko für einen SQL-Injection-Angriff aussetzen (unter anderem ) , alles nur, weil Hacker genau wissen, wie diese Standardtabellen heißen.

Inzwischen haben Sie natürlich WordPress und WooCommerce wahrscheinlich schon eingerichtet. Aber es ist noch nicht zu spät, diese Einstellungen zu ändern. Ein oder zwei SQL-Abfragen, die in phpMyAdmin ausgeführt werden, werden Sie in kürzester Zeit auf den richtigen Weg bringen.

Werfen Sie einen Blick auf dieses detaillierte und unglaublich hilfreiche Schritt-für-Schritt-Tutorial von Digging Into WP, um zu erfahren, wie Sie Ihre Datenbanktabellenpräfixe in etwas viel Komplexeres – und viel, viel Sichereres – ändern können .

SQL-Abfragen sind nicht Ihr Ding? Es gibt ein paar kostenlose Plugins, die dasselbe bewirken, aber seien Sie vorsichtig – es kann gefährlich sein, uneingeschränkten Zugriff auf Ihre SQL-Datenbank zuzulassen . Deinstallieren Sie zumindest ein Plugin wie dieses, wenn Sie damit fertig sind, damit keine Möglichkeit für zukünftige unbeabsichtigte Umbenennungen besteht.

5. Befreien Sie sich von Ihrem „Admin“-Konto

Dieser letzte Ratschlag mag für einige von Ihnen lästig oder für andere vielleicht sogar wie Allgemeinwissen erscheinen. Aber es ist entscheidend, also wollten wir uns die Zeit nehmen, es hier zu betonen.

Die Verwendung des standardmäßig in WordPress integrierten Administratorkontos wird nicht empfohlen, wenn Sie einen Online-Shop betreiben . Ähnlich wie bei den Datenbanktabellenpräfixen wissen Hacker, dass dieses Konto (sehr wahrscheinlich) standardmäßig existiert, was ihnen eine bessere Gelegenheit bietet, sich mit Brute Force einzudringen.

Sogar ähnlich klingende Konten wie „testadmin“, „administrator“ oder „owner“ setzen Ihr Geschäft einem Risiko aus – sie sind genauso leicht zu erraten. Wie die Attacking WordPress-Seite auf HackerTarget.com erklärt (keine Sorge, es ist eine Ressource für Ratschläge, keine Anleitung zum Hacken), sobald ein Hacker weiß, dass ein Konto existiert, kann er schnell ein Tool verwenden, um Ihr Passwort zu erraten :

[…]. 500 Passwörter wurden gegen das „testadmin“-Konto getestet (das bei der Benutzeraufzählung entdeckt wurde). Diese 500 Passwörter wurden in 1 Minute und 16 Sekunden getestet! Während der Test lief, reagierte die Site immer noch; Ein Webserver-Administrator hätte keine Ahnung, dass der Angriff stattfand, ohne dass irgendeine Art von Überwachungssystem für Sicherheitsprotokolle vorhanden war.

Die Moral von der Geschichte: Ihre Administratorkonten sollten einen eindeutigen Namen haben und es ist unwahrscheinlich, dass sie von jemandem mit böswilligen Absichten erraten werden . Verwenden Sie einen eindeutigen Spitznamen, einen vollständigen Namen mit mehreren Anfangsbuchstaben dazwischen oder etwas anderes, das nicht leicht zu erraten ist (z. B. Ihren Vor- und Nachnamen oder den Namen Ihres Geschäfts).

Und denken Sie daran, sichere Passwörter zu verwenden , damit sich jemand selbst dann nicht anmelden kann, wenn er den Namen Ihres Kontos errät. Wenn Sie eine Auffrischung darüber benötigen, was sicher ist und was nicht, lesen Sie Abschnitt 2 in diesem Beitrag.

Nehmen Sie die Sicherheit ernst, sobald Ihr Geschäft online ist

Obwohl es viele Dinge gibt, die Sie tun können, um einen Shop vor dem Start sicher zu machen, sollte die Sicherheit für Shop-Inhaber ein ständiges Anliegen sein – keine „einmalige“ Sache . Indem Sie diese Tipps befolgen und Ihren Shop und WordPress auf dem neuesten Stand halten, sind Sie in einer hervorragenden Position, um Ihre Kunden – und Ihr Team – sicher und gesund zu halten.

Haben Sie Fragen zu den in diesem Beitrag empfohlenen Sicherheitstipps? Oder noch besser, eigene fortgeschrittene Tipps, die Sie teilen können? Wir freuen uns über Ihr Feedback und Ihre Gedanken in den Kommentaren unten.