So schützen Sie Ihre WooCommerce-Site (Schritte + Sicherheitstools)

Veröffentlicht: 2021-09-30
how to protect your woocommerce site

Möchten Sie Ihren WooCommerce-Shop über die üblichen WordPress-Sicherheitsmaßnahmen hinaus sichern?

Sie haben Recht damit. WooCommerce-Sicherheit ist ein anderes Ballspiel, da Sie mit sensiblen Daten wie Zahlungen und persönlichen Benutzerinformationen umgehen.

Online-Shops sind ein lukratives Ziel für Hacker, und da die meisten Geschäftsinhaber Sicherheit nicht ernst nehmen, werden sie auch zu einem leichten Ziel. Noch beunruhigender ist, dass 60 % der Online-Unternehmen, die mit einer Datenschutzverletzung konfrontiert sind, innerhalb von 6 Monaten ihr Geschäft aufgeben.

Einmal gehackt, ist es ein harter und teurer Weg zur Wiederherstellung. Der beste Weg nach vorne ist also, mit präventiven und proaktiven Maßnahmen vorbereitet zu sein.

In dieser Anleitung zeigen wir, wie Sie Ihre WooCommerce-Website von allen Seiten schützen, damit Hacker keine Chance haben, einzudringen.

Ist WooCommerce sicher?

Ja, WooCommerce ist eine sichere Plattform für E-Commerce-Shops. Es verfügt über zahlreiche integrierte Sicherheitsmaßnahmen, um Ihre Website und ihre Daten zu schützen. Das Plugin wird außerdem von einem Expertenteam unterstützt und regelmäßig gewartet, um sicherzustellen, dass es den ständig steigenden Sicherheitsstandards entspricht.

Es kann Sie jedoch nicht vor externen Sicherheitsbedrohungen wie Schwachstellen in Designs und Plugins von Drittanbietern, Brute-Force-Angriffen und DDoS-Angriffen schützen. Sie müssen selbst Maßnahmen ergreifen, um Ihre Website vor diesen Risiken zu schützen.

Warum WooCommerce-Sicherheit so wichtig ist

Jede Website ist Cyber-Bedrohungen und dem Risiko ausgesetzt, gehackt zu werden. Und alle Websites müssen umfangreiche Sicherheitsmaßnahmen ergreifen, um ihre Website zu schützen.

Allerdings gibt es eine Liste von Gründen, warum WooCommerce-Shops einem höheren Risiko ausgesetzt sind.

  • Umgang mit sensiblen Benutzerdaten: Kunden geben Zahlungsinformationen, Kreditkartendaten, Lieferadressen und persönliche Daten weiter, die Sie vertraulich behandeln müssen. Wenn diese Informationen gestohlen werden, können sie auf dem Schwarzmarkt verkauft werden und Ihre Kunden können Opfer von Marketing-Spam und Betrug werden.
  • Kritische Geschäftsdaten: Wenn Sie Zahlungen für Produkte einziehen, können Sie es sich nicht leisten, dass Bestellinformationen wie Artikel, Versand- und Kontaktdaten gelöscht werden oder verloren gehen. Kunden können Sie als Betrüger markieren, wenn Sie Zahlungen entgegennehmen und nicht liefern.
  • Betrugs- und Betrugsrisiko: Hacker könnten Ihre Website kapern und betrügerische Waren verkaufen, Ihren Datenverkehr umleiten und Kunden täuschen.

Kunden erwarten von Ihnen, dass Sie die richtigen Sicherheitsmaßnahmen ergreifen. Wenn Unternehmen mit einer Datenschutzverletzung konfrontiert werden, verlieren sie all das Vertrauen, das sie bei ihren Kunden aufgebaut haben.

Am Ende riskieren Sie, Kunden, Ihren Ruf und Ihr Geschäft zu verlieren. Da so viel auf dem Spiel steht, sollte Sicherheit im Idealfall oberste Priorität haben.

Nachdem Sie nun wissen, wie wichtig WooCommerce-Sicherheit ist, wollen wir uns mit den Schritten befassen, die Sie unternehmen müssen, um sicherzustellen, dass Ihre E-Commerce-Site sicher ist.

Wie mache ich meine WooCommerce-Site sicher?

Cyber-Bedrohungen entwickeln sich ständig weiter und Hacker finden neue Wege, um schnell in Websites einzudringen. Die traditionellen Sicherheitsmaßnahmen reichen also nicht mehr aus.

Hier sind 7 WooCommerce-Sicherheitstipps, um Ihren Online-Shop sofort zu sichern.

  1. Verwenden Sie einen seriösen Host
  2. Aktivieren Sie wichtige Sicherheitstools
  3. Schützen Sie das WooCommerce-Login
  4. Sicheres WooCommerce-Dashboard
  5. Verwenden Sie sichere Checkout-Formulare
  6. Verwalten Sie WooCommerce-Designs und -Plugins
  7. Bewahren Sie ein Echtzeit-WooCommerce-Backup auf

Nachfolgend haben wir detailliert beschrieben, wie Sie diese Maßnahmen umsetzen können. Außerdem verraten wir dir, worauf du bei der WooCommerce-Sicherheit besonders achten musst.

1. Verwenden Sie einen seriösen Host

Ihr Webhosting-Anbieter ist der erste Anlaufpunkt, da dort die Dateien und die Datenbank Ihrer Website gespeichert sind.

Ohne angemessene Hosting-Sicherheit könnte Ihre gesamte Website Hackern und der Öffentlichkeit ausgesetzt sein.

Mit einem günstigen Hosting-Plan können Sie zwar ein paar Cent sparen, aber das ist es einfach nicht wert. Idealerweise möchten Sie einen Webhost, der sich um Sicherheit, Funktionalität und Hosting-Anforderungen kümmert, die für WooCommerce spezifisch sind.

Bluehost ist das beste Webhosting-Unternehmen und wird auch offiziell von WordPress.org empfohlen.

bluehost woocommerce plans

Bluehost bietet Hosting-Pläne an, die für WooCommerce-Shops entwickelt wurden. Ihre WooCommerce-Pläne beginnen bei nur 12,95 $ pro Monat. Sie erhalten außerdem einen kostenlosen Domainnamen und ein SSL-Zertifikat. Darüber hinaus erhalten Sie mit diesem Plan:

  • WordPress und WooCommerce vorinstalliert
  • Storefont-Design vorinstalliert
  • Vollständig anpassbarer Online-Shop
  • Sichere Zahlungsgateways
  • Kostenloses, geschwindigkeitssteigerndes CDN
  • Automatischer täglicher Malware-Scan
  • Kostenloses tägliches Website-Backup
  • Überwachung von Ausfallzeiten
  • Website-Verkehrsanalyse

Mit dem Bluehost WooCommerce-Plan wird ein Großteil Ihrer Sicherheitsdetails erledigt.

Außerdem erhalten Sie genügend Bandbreite und Speicherplatz, um Ihren WooCommerce-Shop ohne Schluckauf zu betreiben.

Weitere Informationen zum WooCommerce-Hosting finden Sie in unserer Zusammenfassung der besten WooCommerce-Hosting-Pläne, um zu vergleichen, was auf dem Markt verfügbar ist.

2. Aktivieren Sie wesentliche Sicherheitstools

Hacker sind ständig auf der Jagd und versuchen, sich in Websites zu hacken. Sie tun dies, indem sie bösartige Scanner und Bots programmieren, um anfällige Websites zu finden.

Der beste Weg, dies zu bekämpfen, ist der Einsatz von Sicherheitstools mit Malware-Scanning, Firewalls und Datenverschlüsselung.

1. Verwenden Sie ein WordPress-Sicherheits-Plugin

Zunächst müssen Sie ein Sicherheits-Plugin auf Ihrer Website aktivieren. Diese Plugins kombinieren normalerweise eine Firewall, einen Malware-Scanner und einen Malware-Reiniger.

Es gibt viele Sicherheits-Plugins, aber nicht alle bieten Ihnen den Schutz, den Sie benötigen. Sie benötigen ein Plugin, das potenzielle Bedrohungen automatisch scannt, überwacht und blockiert, bevor sie auf Ihre Website zugreifen können.

Das Top-WooCommerce-Sicherheits-Plugin auf dem Markt ist Sucuri.

sucuri dashboard

Sobald Sie dieses All-in-One-Sicherheits-Plugin zu Ihrer Website hinzufügen, wird Sucuri:

  • Fügen Sie eine robuste Firewall hinzu, um schädlichen Datenverkehr herauszufiltern
  • Scannen und überwachen Sie regelmäßig auf Spam und bösartigen Code
  • Suchen Sie bei Suchmaschinen und anderen Behörden nach schwarzen Listen
  • Überwachen Sie die Verfügbarkeit der Website
  • Erkennen Sie Änderungen an DNS (Domain Name System) und SSL
  • Senden Sie Ihnen sofortige Sicherheitswarnungen per E-Mail, SMS, Slack und RSS

Mit Sucuri können Sie auch empfohlene Sicherheitsmaßnahmen von Ihrem Dashboard hinzufügen.

apply and revert hardening

Diese Härtungsmaßnahmen können Sie mit einem Klick anwenden. Dazu gehören technische Schritte wie das Blockieren von PHP-Dateien in Verzeichnissen, in denen sie nicht sein müssen.

Sucuri bietet Ihnen ein robustes Sicherheits-Setup, aber es kommt zu einem hohen Preis von 199,99 $ pro Jahr. Wenn das Ihr Budget übersteigt, können Sie andere Sicherheits-Plugins ausprobieren wie:

  1. iThemes-Sicherheit
  2. Kugelsichere Sicherheit
  3. SiteLock
  4. MalCare

Stellen Sie bei der Auswahl eines Sicherheits-Plugins sicher, dass es Ihnen alle Funktionen bietet, die Sie zum Schutz Ihres WooCommerce-Shops benötigen. Die Investition lohnt sich, da Malware-Bereinigung und -Wiederherstellung viel teurer sind.

2. Installieren Sie das SSL-Zertifikat

Ihre WordPress-Website überträgt jedes Mal Daten zwischen Browsern und Servern, wenn ein Besucher Ihre Website besucht. Ein SSL-Zertifikat verschlüsselt diese Daten, sodass Hacker, wenn es ihnen gelingt, die Daten während der Übertragung zu stehlen, nichts damit anfangen können, da sie wie Kauderwelsch aussehen.

Wenn Sie SSL aktivieren, sehen Sie ein Vorhängeschloss neben Ihrer URL in der Adressleiste des Browsers. Ihre Website verwendet auch HTTPS, ein sicheres Protokoll zur Datenübertragung.

https-padlock-with-ssl

Einige Webhosting-Anbieter kümmern sich für Sie um SSL oder lassen es zu einem angemessenen Preis von Ihnen kaufen.

Sie können SSL-Zertifikate auch von Anbietern erhalten wie:

  • Lets Encrypt – Kostenlose und budgetfreundliche Zertifikate
  • SSL.com – Umfassender Schutz ab 36,75 $ pro Jahr
  • DigiCert – Hochsicherheitszertifikate zu unterschiedlichen Preisen

Eine weitere gute Option ist die Verwendung des Really Simple SSL-Plugins. Es macht es unglaublich einfach, ein SSL-Zertifikat selbst zu installieren.

3. Schützen Sie das WooCommerce-Login

Einer der am meisten anvisierten Bereiche Ihrer WooCommerce-Site ist Ihre Anmeldeseite. Hacker verwenden eine Methode namens Brute-Force-Angriffe, um Ihre Anmeldeinformationen zu erraten und sich einfach anzumelden.

Dies ist also einer der wichtigsten Bereiche, die es zu sichern gilt, und es gibt viele Möglichkeiten, dies zu tun.

1. Stets sichere Zugangsdaten erzwingen: Hacker kennen gängige Benutzernamen wie „admin“ oder Ihren eigenen Namen, sodass sie ihn leicht erraten können. Stellen Sie sicher, dass Sie einen eindeutigen Admin-Namen und ein sicheres Passwort mit Buchstaben, Zahlen und Symbolen verwenden, die das Knacken erschweren.

strong password

Wenn Sie Ihr Passwort erstellen, zeigt WordPress eine Warnung für schwache Passwörter an. Sie können der Stärkestufe folgen, um sicherzustellen, dass Sie ein sicheres Passwort erstellen.

2. Passwörter regelmäßig ablaufen lassen: Bei jedem Online-Konto sollten Sie Ihr Passwort regelmäßig ändern. Sie können ein Plugin wie Expire User Passwords verwenden.


Beispiel für abgelaufenes Passwort

Es zwingt automatisch jeden Benutzer auf Ihrer Website, Passwörter regelmäßig zu ändern, bevor sie sich wieder anmelden können.

Anmeldeversuche begrenzen: Sie können die Anzahl der Versuche begrenzen, die ein Benutzer hat, um die richtigen Anmeldeinformationen einzugeben und sich anzumelden. Das bedeutet, dass Hacker nur 3 Versuche haben, bevor sie weitermachen müssen.

Lost password in WordPress

3. Verwenden Sie die 2-Faktor-Authentifizierung: Dies fügt Ihrem Login einen 2-stufigen Verifizierungsprozess hinzu, bei dem Sie einen einmaligen Passcode angeben müssen, der Ihnen in Echtzeit über eine SMS, E-Mail oder Authentifizierungs-App gesendet wird.

2fa-code-sucuri

Dies macht es Hackern extrem schwer, sich Zugang zu verschaffen, da sie sich nicht verifizieren können.

4. Zugriff auf Anmeldeseite einschränken: Sie können Ihre Anmeldeseite ausblenden und nur vertrauenswürdigen Benutzern Zugriff darauf gewähren. Alle anderen Benutzer werden automatisch für die Anzeige dieser Seite gesperrt.

Wenn Sie Sucuri verwenden, können Sie auf der Registerkarte Zugriffskontrolle Ihres Dashboards IP-Adressen auf der Whitelist hinzufügen.

weiße Liste in sucuri

Wenn Sie dieses Kontrollkästchen aktivieren, erlaubt Sucuri automatisch nur Ihren vertrauenswürdigen Benutzern den Zugriff auf die Anmeldeseite.

5. HTTP-Authentifizierung hinzufügen: Die HTTP-Authentifizierung verbirgt Ihre Anmeldeseite und zeigt eine leere Seite mit einem Anmeldefeld darüber an. Ein Benutzer muss zuerst die HTTP-Anmeldeinformationen eingeben, um auf die Anmeldeseite zuzugreifen.


http-Authentifizierung

Um dies zu Ihrer Website hinzuzufügen, melden Sie sich bei Ihrem Webhosting-Konto an, greifen Sie auf cPanel zu und suchen Sie nach „Directory Privacy“ .

Datenschutz im Verzeichnis

Suchen Sie in der Ordnerliste den Ordner wp-admin und bearbeiten Sie ihn.

wpadmin-Datenschutz bearbeiten

Aktivieren Sie auf der nächsten Seite zunächst die Option „Passwortschutz für dieses Verzeichnis“ . Jetzt fordert cPanel Sie auf, einen Benutzernamen und ein Passwort hinzuzufügen.

Passwort zum Verzeichnis hinzufügen

Stellen Sie sicher, dass Sie Ihre Einstellungen speichern, bevor Sie diese Seite verlassen. Jetzt ist Ihr WordPress-Admin-Verzeichnis passwortgeschützt.

Wenn Sie Ihre wp-admin-Seite öffnen, sehen Sie eine Anmeldeaufforderung, um den gerade erstellten Benutzernamen und das Passwort einzugeben.

4. Sicheres WooCommerce-Dashboard

Wenn sich ein hartnäckiger Hacker immer noch in Ihr WordPress-Admin-Panel einloggen kann, können Sie es ihm erschweren, irgendetwas damit anzufangen.

Wenn sie verdächtige Aktivitäten ausführen, wird Ihr Sicherheits-Plug-in dies protokollieren und Sie warnen. Abgesehen davon können Sie diese Maßnahmen hinzufügen:

1. Wenden Sie Benutzerrollenberechtigungen an

Wenn Sie mehrere Benutzer haben, die an Ihrer WordPress-Site arbeiten, können Sie die Berechtigungen, die sie haben, entsprechend ihrer Rolle einschränken.

Wenn es einem Hacker gelingt, das Konto Ihres Teammitglieds zu kapern, sind seine Möglichkeiten eingeschränkt.

Mit WordPress können Sie Rollen erstellen für:

  • höchster Vorgesetzter
  • Administrator
  • Editor
  • Autor
  • Mitwirkender
  • Teilnehmer

Die mächtigsten Rollen mit All-Access-Pässen sind Super-Admin und Admin. Wir empfehlen, so wenig Administratoren wie möglich zu haben.

2. Inaktive Benutzer automatisch abmelden

Ein weiterer Trick, den Hacker verwenden, besteht darin, Browsersitzungen zu entführen und Cookies zu stehlen. Dadurch können sie über ein aktives Benutzerkonto auf Ihre Website zugreifen, ohne dass Sie es wissen.

Der beste Weg, dies zu umgehen, besteht darin, inaktive Benutzer regelmäßig abzumelden.

Viele Sicherheits-Plugins verfügen über eine Abmeldefunktion für inaktive Sitzungen, oder Sie können das Plugin für inaktive Abmeldung verwenden.

3. Deaktivieren Sie den Plugin- und Theme-Editor

Wenn ein Hacker in Ihre Website eingebrochen ist, verwendet er das Plugin und den Design-Editor, um direkt auf den Code Ihrer Website zuzugreifen.

Plugin-Editor deaktivieren

In den meisten Fällen benötigen Sie diesen Editor nicht, sodass Sie ihn einfach deaktivieren können. Wenn Sie Sucuri verwenden, können Sie diese Maßnahme mit nur einem Klick unter den WordPress-Härtungsmaßnahmen hinzufügen.

Um es selbst zu deaktivieren, empfehlen wir, dieser Anleitung von WPBeginner zu folgen: So deaktivieren Sie Theme- und Plugin-Editoren aus dem WordPress-Admin-Panel.

5. Verwenden Sie sichere Checkout-Formulare

Wenn ein Formular auf Ihrer Website gesendet wird, werden die Kundendaten zur Verarbeitung an Ihre MySQL-Datenbank gesendet. Wenn Ihr Formular ungesichert ist, kann ein Hacker schädlichen Code in Ihr Formularfeld eingeben. Dadurch wird Ihre Datenbank infiltriert und Ihre Website wird mit Malware infiziert.

Sie können sicherstellen, dass dies nicht geschieht, indem Sie sichere Webformulare verwenden. WPForms ist der führende WordPress-Formularersteller mit integrierter Sicherheit für jedes von Ihnen erstellte Formular.

anti spam protection in WPForms

Ob Kontakt- oder Bestellformular, der Spam-Schutz ist bereits aktiviert.

Und wenn Sie zusätzliche Schutzebenen hinzufügen möchten, können Sie mit WPForms CAPTCHA auf Ihren Formularen aktivieren.

Advanced noCaptcha and Invisible Captcha

Ein Benutzer muss ein kleines Rätsel lösen oder ein Kästchen ankreuzen, um zu beweisen, dass er ein Mensch ist. Dies kann Bots daran hindern, Ihr Formular zu senden.

6. Verwalten Sie WooCommerce-Designs und Plugins

Plugins und Themes werden von Drittentwicklern erstellt, daher ist es wichtig, dass Sie nur vertrauenswürdige Software verwenden. Als Besitzer eines Online-Shops sollten Sie sich niemals für nulled Plugins und Themes entscheiden. Sie kommen fast immer mit vorinstallierter Malware, die Ihre Website infiziert, sobald Sie sie installieren

Darüber hinaus werden Plugins, Themes und sogar Ihre WordPress-Kerninstallation regelmäßig aktualisiert. Sie werden sie in Ihrem WordPress-Dashboard sehen, sobald sie verfügbar sind:

updates in wordpress

Updates enthalten normalerweise Fehlerkorrekturen, neue Funktionen und Verbesserungen der Software. Aber es gibt Zeiten, in denen Entwickler Schwachstellen und Sicherheitsprobleme finden. Sie beheben sie und veröffentlichen eine neue aktualisierte Version der Software. Diese werden als Sicherheitspatches bezeichnet.

Sie können sehen, ob ein Update einen Sicherheitspatch enthält, indem Sie die Details des Updates anzeigen.

view version details of update

Wenn Sie sehen, dass es sich um ein Sicherheitsupdate handelt, führen Sie es sofort aus, um auf die neueste Version zu aktualisieren. Dadurch vermeiden Sie jegliches Risiko durch die Schwachstelle.

security update

Wenn Sie befürchten, dass Updates Ihre Website beschädigen könnten, können Sie das Update auf einer Staging-Website testen und es dann auf Ihrer Live-Website ausführen.

7. Bewahren Sie ein Echtzeit-WooCommerce-Backup auf

Backups sind Ihr Sicherheitsnetz und ein absolutes Muss. Wenn etwas schief geht, können Sie die WordPress-Sicherungskopie verwenden, um Ihre Website wiederherzustellen.   Für WooCommerce-Shops empfehlen wir nicht, kostenlose Backups oder Webhost-Backups zu verwenden. Die Funktionen, die sie bieten, sind einfach nicht genug.

Erstens muss Ihre Backup-Lösung WooCommerce unterstützen. Es gibt einige Tools, die die WooCommerce-Datenbanktabelle nicht sichern.

Als nächstes benötigen Sie automatisierte Echtzeit-Backups. Dadurch wird sichergestellt, dass jede neu aufgegebene Bestellung sofort gespeichert wird, sodass Sie keine Transaktionsinformationen verlieren.

Und eine andere Sache, nach der man Ausschau halten sollte, ist die inkrementelle Technologie. Dies bedeutet, dass nur die Änderung gesichert und der Sicherungskopie hinzugefügt wird, anstatt jedes Mal eine vollständige Sicherung auszuführen.

Damit wird die Leistung und Geschwindigkeit Ihrer Website niemals durch einen umfangreichen Backup-Prozess beeinträchtigt, der im Hintergrund ausgeführt wird.

Abgesehen davon sind hier einige Funktionen, von denen Sie profitieren werden:

  • Offsite-Speicherung
  • Speicherung an mehreren Standorten
  • Verschlüsselte Sicherungen
  • 1-Klick-Wiederherstellung
  • Unabhängiges Dashboard

UpdraftPlus ist das beste Backup-Plugin für WordPress-Sites. Wir empfehlen jedoch die Verwendung eines Backup-Plugins, das inkrementelle Echtzeit-Backups zusammen mit einem 365-Tage-Archiv bietet. Das bekommst du mit Jetpack Backups oder BlogVault.

Sie haben Pläne für WooCommerce-Sites und stellen sicher, dass Ihre WooCommerce-Dateien und -Datenbanken immer gesichert werden.

Weitere Optionen finden Sie in unserem Vergleich der besten WordPress-Backup-Plugins.

Das ist alles, was wir heute für Sie haben. Wir hoffen, dieser Beitrag hat Ihnen alles gegeben, was Sie zum Sichern Ihrer WooCommerce-Site benötigen.

Weitere Informationen zur WooCommerce-Sicherheit finden Sie in unseren Ressourcen unter:

  • Der vollständige WordPress-Sicherheitsleitfaden (für Anfänger geeignet)
  • Die 5 besten WordPress-Schwachstellen-Scanner zum Auffinden von Bedrohungen
  • Die 9 besten Aktivitätsprotokoll-Plugins zum Verfolgen und Prüfen Ihrer WordPress-Site

Diese Beiträge geben Ihnen mehr Möglichkeiten, Schwachstellen zu schließen und Ihre Website zu schützen, damit Sie Ihr Geschäft beruhigt betreiben können.