Wenn Sie einen Online-Shop betreiben, werden Sie während der Weihnachtszeit wahrscheinlich einen starken Anstieg des Traffics feststellen. Da neue Kunden ihre Zahlungsinformationen und persönlichen Adressen auf Ihrer Website eingeben, ist es wichtiger denn je, Ihren Online-Shop in Vorbereitung auf die Feiertage abzusichern.

November und Dezember sind die geschäftigsten Einkaufsmonate des Jahres, was Ausfallzeiten im Zusammenhang mit einem Hack oder einer Sicherheitsverletzung teurer macht als zu jeder anderen Jahreszeit. Die Betriebszeit Ihrer Website war noch nie so wertvoll wie nie zuvor, und deshalb ist dies der perfekte Zeitpunkt, um eine Sicherheitsüberprüfung Ihres Online-Shops durchzuführen.

Wichtige Fragen für Ihre Website-Sicherheit

Am Ende Ihres Website-Sicherheitsaudits sollten Sie diese 10 Fragen beantworten können:

• 1. Ist mein Shop auf der richtigen Plattform?
• 2. Befindet sich mein Shop auf dem richtigen Webhost?
• 3. Ist mein Shop PCI-DSS-konform?
• 4. Sammle ich zu viele Daten über meine Kunden?
• 5. Verschlüssele ich die Kommunikation zwischen meinen Kunden und meinem Geschäft?
• 6. Sind meine Kundenkonten sicher?
• 7. Ist die Software meines Online-Shops auf dem neuesten Stand?
• 8. Besuche ich regelmäßig das Frontend meiner Website?
• 9. Verwende ich ein CDN und eine WAF?
• 10. Schütze ich meine Verbindung, wenn ich im öffentlichen Raum arbeite?

Ein 10-Punkte-Sicherheitsaudit für Websites

Machen Sie sich keine Sorgen, wenn Sie nicht wissen, wie Sie einige oder alle dieser Fragen beantworten sollen. Am Ende dieses Beitrags erfahren Sie, wie Sie all diese Fragen beantworten können.

Im weiteren Verlauf dieses Beitrags möchten Sie sich möglicherweise Notizen zu den Ergebnissen Ihres Audits sowie zu den zu ergreifenden Maßnahmen machen. Dieses Audit ist auch ein ausgezeichneter Service für Ihre Webdesign-Kunden (zu jeder Jahreszeit).

Beginnen wir mit Ihrem Website-Sicherheitsaudit in Vorbereitung auf die Weihnachtszeit.

1. Ist mein Shop auf der richtigen Plattform?

Shopify, Magento und WordPress sind drei der beliebtesten Plattformen, die Menschen zum Erstellen ihrer Shops verwenden. Keine dieser Plattformen wäre eine beliebte E-Commerce-Lösung, wenn sie nicht sicher wäre. Alle drei Plattformen haben ihre Stärken und Schwächen, daher sollten Sie ein wenig recherchieren, um herauszufinden, welche für Ihre Bedürfnisse am besten geeignet ist.

Eine kurze Prüfung Ihrer aktuellen Plattform kann die folgenden Fragen beinhalten:

• 1. Veröffentlicht die Plattform häufig Updates, um Sicherheitslücken zu schließen?
• 2. Beschäftigt/setzt die Plattform ein Team ein, das sich der Sicherstellung der Einhaltung der Sicherheitsstandards widmet?
• 3. Hat die Plattform eine Historie von groß angelegten Datenschutzverletzungen oder offen gelassenen Schwachstellen?
• 4. Welchen Ruf hat die Plattform als sicher?

Denken Sie daran, wie einfach es wäre, Ihren Shop auf eine andere Plattform oder einen anderen Host zu verschieben. Wenn Sie Shopify verlassen müssen, können Sie Shopify zu WooCommerce migrieren. Es wird jedoch nicht so einfach sein, einen WordPress-Shop auf einen neuen Webhost zu verschieben. WordPress ermöglicht auch mehr Anpassung und Flexibilität für die Tools, die Sie verwenden können.

2. Befindet sich mein Shop auf dem richtigen Webhost?

Es ist keine gute Idee, Ihre Website auf das gleiche Shared Hosting wie den Blog Ihres Freundes zu stellen. Wieso den? Eine E-Commerce-Website erhöht die Komplexität, die ein höheres Fachwissen erfordert, um richtig abzusichern. Sie haben keinen Shop gegründet, weil Sie davon geträumt haben, Cybersicherheitsexperte zu werden, also sollten Sie diese Verantwortung auf Ihren Host übertragen.

Die Investition in eine E-Commerce-fokussierte Hosting-Lösung wie Managed WooCommerce Hosting oder Managed WordPress Hosting von Liquid Web ist der richtige Weg. Vollständige Offenlegung, Liquid Web ist unsere Muttergesellschaft, aber es ist wirklich ein großartiges Hosting für Sie. Gehen Sie zum Preis-Shop und finden Sie ein anderes Hosting-Unternehmen, das mit diesem Wert zu diesem Preis konkurriert. Mit einem verwalteten E-Commerce-Host sparen Sie viel Zeit und Mühe bei der Verwaltung Ihrer Website – Zeit, die Sie stattdessen nutzen können, um Ihr Geschäft auszubauen.

3. Ist mein Shop PCI-DSS-konform?

Wenn Sie Kreditkartenzahlungen akzeptieren, müssen Sie die Datensicherheitsstandards der Payment Card Industry (PCI-DSS) erfüllen. Laut dem offiziellen PCI Security Standards Council: „ Wenn Sie Zahlungskarten akzeptieren oder verarbeiten, gelten die PCI-Datensicherheitsstandards für Sie.“ Diese Standards umfassen über 300 verschiedene Sicherheitsanforderungen, aber hier ist ein Überblick über die Best Practices für PCI-DSS:

PCI-Datensicherheitsstandard

Wenn Sie sich dafür entscheiden, die Debitkartennummern von Personen zu verwenden, können Sie durch die Erfüllung dieser Anforderungen einen böswilligen Angreifer daran hindern, ihr Bankkonto zu belasten. Ich möchte Sie dringend bitten, sich von Experten beraten zu lassen, um sicherzustellen, dass Sie die PCI-DSS-Anforderungen erfüllen.

4. Sammle ich zu viele Daten über meine Kunden?

Je mehr Informationen Sie über Ihre Kunden sammeln, desto mehr Informationen können bei einer Sicherheitsverletzung kompromittiert werden. Heutzutage können wir kaum eine Woche vergehen, ohne zu hören, dass ein Unternehmen Opfer einer Datenschutzverletzung wurde, bei der Kundendaten preisgegeben wurden. Beim Doordash-Verstoß wurden beispielsweise die Telefonnummern, E-Mail-Adressen, Privatadressen und gehashten Passwörter von Kunden kompromittiert. Diese Kombination von Informationen könnte alles sein, was benötigt wird, um einen betrügerischen Kredit aufzunehmen.

Sie sollten nie mehr Informationen über Ihre Kunden sammeln, als Sie benötigen. Wenn Sie digitale Produkte verkaufen, die sich nicht automatisch verlängern, warum sollten Sie dann eine Postanschrift sammeln und speichern?

Sie sollten auch die Verwendung eines Zahlungsgateways wie Stripe in Betracht ziehen. Mit Zahlungsgateways können Sie Kreditkartenzahlungen auslagern, sodass Ihr Geschäft Online-Zahlungen akzeptieren kann, ohne Kreditkartennummern zu verarbeiten oder zu speichern. Stripe hilft Ihnen auch dabei, PCI-DDS-kompatibel zu werden.

Leider wird es immer wieder Angreifer im Netz geben und es wird nicht an Meldungen über kompromittierte Seiten mangeln. Wenn Sie die von Ihnen über Ihre Kunden gesammelten Informationen einschränken, wird die Menge der Informationen, die während einer Sicherheitsverletzung offengelegt werden, begrenzt. Sie können keine sensiblen Kundendaten verlieren, die Sie nicht haben.

5. Verschlüssele ich die Kommunikation zwischen meinen Kunden und meinem Geschäft?

SSL verschlüsselt die Kommunikation, die Ihre Kunden in ihren Browser eingeben und an Ihre Site senden. Wenn bei SLL jemand seinen Kontonamen und sein Passwort eingibt, werden diese geschützt, wenn diese Informationen zur Bestätigung an den Server Ihrer Site gesendet werden. Die Verschlüsselung des Benutzernamens und des Kennworts erschwert es einem Angreifer, den Benutzernamen und das Kennwort bei der Übertragung von seinem Browser zu Ihrem Server abzufangen.

Wir werden nicht zu viel Zeit damit verbringen, da wir davon ausgehen, dass jeder bereits ein SSL-Zertifikat auf seiner Website verwendet. Sie können unser WordPress https-Training besuchen, wenn Sie mit SSL nicht vertraut sind. Wenn Sie einen auf E-Commerce spezialisierten Host verwenden, verwendet Ihre Website wahrscheinlich bereits SSL.

6. Sind meine Kundenkonten sicher?

Ein Brute-Force-Angriff ist die häufigste Angriffsart auf Ihre Kundenkonten. Brute Force ist eine Art von Angriff, bei dem ein Hacker versucht, eine zufällige Kombination von Benutzernamen und Passwörtern zu erraten, bis er das richtige findet. Der Grund, warum Brute-Force-Angriffe so beliebt sind, ist, dass die Zugangsbarriere sehr niedrig ist. Mit einer schnellen Google-Suche finden Sie viele kostenlose Tools zum Knacken von Passwörtern.

Die gute Nachricht ist, dass die Verwendung eines WordPress-Sicherheits-Plugins wie iThemes Security Pro auf Ihrer WordPress-Site es einfach macht, Angriffe auf das Login Ihres Kunden erfolgreich zu verhindern.

Basierend auf Recherchen des Google-Sicherheitsblogs sollten Sie diese 5 Regeln befolgen, um 100% der Brute-Force-Angriffe zu stoppen:

Sie denken vielleicht, dass Sie es Ihren Kunden nie schwerer machen würden, sich anzumelden. Ich verstehe wirklich, woher Sie kommen, aber lassen Sie mich eine kurze Geschichte erzählen, die Ihre Meinung ändern könnte.

Ich hatte ein Familienmitglied, dessen Konten gehackt wurden. Denken Sie daran, dass der Hacker nur die Produkte herunterladen konnte, die das Familienmitglied kostenlos gekauft hat. Keine ihrer persönlichen Daten wurden gespeichert (siehe #4), also waren sie nichts raus. Dieses Familienmitglied war jedoch immer noch verärgert. Das Unternehmen, bei dem das Konto verletzt wurde, gab ihnen eine vollständige Rückerstattung und versicherte ihnen, dass ihr Konto sicher ist, sobald sie ihr Passwort aktualisieren.

Als ich dies hörte, beschloss ich, meinen besten Eindruck von Sherlock Holmes zu machen und eine Untersuchung einzuleiten. Ich konnte feststellen, dass der Hacker wahrscheinlich die E-Mail-Adresse und das Passwort des Familienmitglieds in einem der mehreren Dumps für Datenschutzverletzungen gefunden hat. Mein Familienmitglied verwendet seit Jahren dieselbe Kombination aus Passwort und Benutzername. Ich zeigte ihnen auf haveibeenpwned.com alle Datenbankverletzungen, an denen ihre E-Mail-Adresse beteiligt war, und ermutigte sie, ihr Passwort für alle ihre Konten zu aktualisieren, bevor auch diese Konten gehackt wurden.

Glauben Sie, dass sie ihre Wahl eines schwachen Passworts oder das Unternehmen für die Kompromittierung ihres Kontos verantwortlich gemacht haben, nachdem sie erfahren haben, dass ihr Passwort für jeden verfügbar war? Wenn Sie sagten, dass Sie die Firma beschuldigt hätten, hätten Sie Recht. Wenn sie die Geschichte des Hacks erzählen, denken Sie, dass sie eher negativ über das Unternehmen oder ihre schlechten Passwortpraktiken sprechen? Obwohl die Schuld allein ihre eigenen waren, dachten sie immer noch, dass die Verantwortung beim Unternehmen liegt, ihr Konto zu schützen.

Was können wir also daraus lernen? Es liegt an uns als Ladenbesitzer, starke Passwörter und eine Zwei-Faktor-Authentifizierung zu verlangen, um Kundenkonten zu schützen. Denn wenn das Konto eines Kunden gehackt wird, sind wahrscheinlich Ladenbesitzer schuld.

Die gute Nachricht ist, dass das iThemes Security Pro-Plugin über eine neue passwortlose WordPress-Login-Funktion verfügt, mit der Sie von Benutzern die Verwendung starker Passwörter und Zwei-Faktor-Authentifizierung verlangen können, ohne jemals ein Passwort oder einen zusätzlichen Authentifizierungscode eingeben zu müssen . Sie können jetzt die gesamte Sicherheit bieten, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

7. Ist die Software meines Online-Shops auf dem neuesten Stand?

Software-Updates sind nicht nur für neue Funktionen oder Fehlerbehebungen gedacht. Updates können auch Sicherheitspatches für bekannte Sicherheitslücken enthalten. Das Ausführen veralteter Software mit bekannten Exploits ist einer der häufigsten Gründe für das Hacken von Websites. Es ist entscheidend für die Sicherheit Ihrer WordPress-Site, dass Sie eine Update-Routine haben. Sie sollten sich mindestens einmal pro Woche bei Ihren Websites anmelden, um Aktualisierungen durchzuführen.

Mit der Versionsverwaltungsfunktion des iThemes Security Pro-Plugins können Sie automatische WordPress-Updates aktivieren, um sicherzustellen, dass Sie die neuesten Sicherheitspatches erhalten. Das Aktualisieren Ihrer Software ist die einfachste Maßnahme zum Schutz Ihres Online-Shops.

8. Besuche ich regelmäßig das Frontend meiner Website?

Wann haben Sie das letzte Mal das Frontend Ihrer Website durchlaufen oder sich sogar Ihre Homepage angesehen? Als vielbeschäftigte Site-Besitzer melden wir uns normalerweise direkt im Backend unserer Sites an, um neue Produkte und Inhalte hinzuzufügen und Site-Updates durchzuführen. Wenn Sie die Seiten und Produkte Ihrer Website durchgehen, können Sie Anzeichen einer Infektion erkennen. Sie sollten auf diese 3 Anzeichen von Infektionen achten, wenn Sie das Frontend Ihrer Site inspizieren oder wenn Sie fragen, ob meine WordPress-Site gehackt wurde.

1. Überprüfen Sie Ihre Homepage auf Änderungen – Das Hauptziel einiger Hacks ist es, eine Website zu trollen oder bekannt zu werden. So ändern sie Ihre Homepage nur in etwas, das sie lustig finden oder hinterlassen eine gehackte Visitenkarte.
2. Suchen Sie nach bösartigen Pop-ups oder Spam – Werden auf Ihrer Website Produkte beworben, die Sie nicht verkaufen?
3. Unerwartete Weiterleitungen finden – Klicken Sie auf einen Ihrer Produktlinks, um nur zu einem bösartigen Shop weitergeleitet zu werden, der versucht, die Daten Ihrer Kunden abzugreifen?

Die Verwendung der Funktion zur Erkennung von Dateiänderungen von iThemes Security Pro kann Ihnen dabei helfen, auf unerwartete Änderungen an Ihrer Site aufmerksam zu machen. Es ist wichtig, über einen erfolgreichen Angriff auf Ihre Website informiert zu werden. Je früher die Verletzung erkannt wird, desto mehr können Sie den angerichteten Schaden mindern.

9. Verwende ich ein CDN und eine WAF?

Die Verwendung eines Content Delivery Network (CDN) wie Cloudflare CDN kann dazu beitragen, Ihren Shop vor DDoS-Angriffen zu schützen. Das CDN befindet sich auf einem anderen Server als Ihre Site und kann Anfragen an Ihre Site überprüfen, bevor sie Ihre Site erreichen. Ein Denial-of-Service-Angriff (DDos) liegt vor, wenn ein Angreifer versucht, Ihre Website mit einer Flut von Internetverkehr zu stören oder zum Einsturz zu bringen. Abhängig von Ihrem Hosting-Plan ist möglicherweise nicht viel zusätzlicher Verkehr erforderlich, um Ihre Website zum Absturz zu bringen.

Ein CDN kann auf verschiedene Weise zur Abwehr eines DDoS-Angriffs beitragen. Das erste, was ein CDN tut, ist, aktiv zu überwachen und zu erkennen, dass Ihre Website angegriffen wird, was entscheidend ist. Sie können einen Angriff nicht stoppen, den Sie nicht erkennen können. Sobald die bösartigen IPs identifiziert wurden, verhindert das CDN, dass Anfragen von den IPs jemals auf Ihre Site gelangen.

Sie sollten auch die Verwendung einer Web Application Firewall (WAF) in Betracht ziehen. Eine WAF ist in der Lage, bösartigen Datenverkehr zu erkennen und herauszufiltern, bevor er Ihre Website erreicht. Im Gegensatz zu einer PHP-Webanwendungs-Firewall befindet sich eine WAF wie die Cloudflare-WAF nicht auf demselben Server wie Ihre Site. Die gesamte Sicherheitsfilterung erfolgt also außerhalb der Website und verursacht keine zusätzliche Last oder verlangsamt Ihre Website.

10. Schütze ich meine Verbindung, wenn ich im öffentlichen Raum arbeite?

Einer der großen Vorteile eines Online-Shops ist, dass Sie überall arbeiten können. Leider ist öffentliches WLAN als sehr unsicher bekannt, was öffentliche Bibliotheken, Hotels, Cafés und Flughäfen zu idealen Standorten für Hacker macht, um die Kommunikation abzufangen und Passwörter zu sammeln.

Ich habe einmal mit einem iThemes Security Pro-Kunden zusammengearbeitet, der nicht herausfinden konnte, wie sein Administratorkonto immer wieder gehackt wurde, selbst nachdem er sein Passwort geändert hatte. Nach einigem Hin und Her fand ich heraus, dass sie gerne von ihrer lokalen Bibliothek aus arbeiten und dass sie mit dem WLAN verbunden waren, ohne ein virtuelles privates Netzwerk (VPN) zu verwenden.

Über ein virtuelles privates Netzwerk können Sie sicher mit Ihrer Bank oder Ihrem Online-Shop kommunizieren, indem Sie Ihren Internetverkehr verschlüsseln. Da der Kunde von iThemes Security Pro kein VPN nutzte, war sein Datenverkehr nicht verschlüsselt und sein Passwort wurde immer wieder von einem böswilligen Akteur abgefangen. Nachdem wir vorgeschlagen hatten, es mit einem VPN in der örtlichen Bibliothek zu versuchen, berichteten sie uns, dass die Verwendung des VPN den Hacks ein Ende setzte.

Wenn Sie weitere Beweise für die Unsicherheit des öffentlichen WLANs benötigen, finden Sie hier einen großartigen Artikel von USA Today, in dem ein Journalist über seine Erfahrungen mit Hackerangriffen während der Nutzung von WLAN an Bord schrieb: Ich wurde mitten in der Luft gehackt, als ich eine Apple-FBI-Geschichte schrieb.

Zusammenfassung: Best Practices für Online-Sicherheit

Die meisten Angriffe auf Ihren Online-Shop können mit ein wenig Aktion Ihrerseits verhindert werden. Jetzt ist ein guter Zeitpunkt, um ein Sicherheitsaudit durchzuführen, um sicherzustellen, dass Ihre Website für die Weihnachtszeit sicher ist!

Ein WordPress-Sicherheits-Plugin kann helfen, Ihre WordPress-Website zu schützen

iThemes Security Pro, unser WordPress-Sicherheits-Plugin, bietet über 50 Möglichkeiten, Ihre Website zu sichern und vor gängigen WordPress-Sicherheitslücken zu schützen. Mit WordPress-Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passwortdurchsetzung und mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.

Holen Sie sich iThemes Security Pro

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.