Zurück zur Übersicht

Schütze deinen Shop vor Hacking-Angriffen

10.08.2016

[aktualisiert am 27. August 2020]

Jaja, ich weiß, immer dieses leidige Thema Sicherheit. Wie weh es tun kann, wenn der Shop tatsächlich gehackt wird, weiß man vermutlich immer erst, wenn man es einmal erlebt hat.

Oftmals wird der Angriff erst erkannt, wenn der Hoster das komplette Paket sperrt, und nicht selten ist es dann leider auch zu spät, um einfach rasch auf eine ältere Datensicherung zurückzugehen. Oft ist es auch viel zu aufwändig - und unsicher - Schadcode zu beseitigen, so dass einem nur noch das komplette Neuaufsetzen des Shops - und der anderen betroffenen Websysteme, wie Website und Blog - übrig bleibt. Ein riesiger Aufwand, von Daten- und Vertrauensverlusten sowie Umsatzeinbußen, weil der Shop eine Weile offline ist, ganz zu schweigen.

Ich will dir keine Angst machen. Aber ich möchte dich sensibilisieren, denn Vorbeugen ist besser als Heilen. Und es gibt einige Dinge, die mit wenig Aufwand umgesetzt sind und das Risiko enorm senken.

1 Regelmäßige Updates

Es ist wirklich kein Geheimnis - bekannte Web- und Shop-Systeme brauchen regelmäßige Updates. Dazu habe ich ja erst kürzlich etwas geschrieben, als bei OXID ein Sicherheitsleck gefunden wurde. Jedes Update schließt Sicherheitslücken. Je älter diese Lücken sind, desto größer ist die Wahrscheinlichkeit, gehackt zu werden.

Daher empfehlen wir, mindestens einmal jährlich den OXID Shop auf den aktuellsten Stand zu bringen. Das bringt ja auch noch andere Vorteile mit sich.

2 Admin-Bereich durch zusätzliches Login schützen

Auch OXID hat im kürzlich veröffentlichten Sicherheits-Workaround empfohlen, ein zusätzliches Login vor den Adminbereich zu legen. Dabei poppt vor dem eigentlichen Login-Formular noch ein weiteres Anmeldefenster auf, das den gesamten Adminbereich (auf einer höheren Ebene) schützt. So ist sichergestellt, dass nicht "hinten herum" Sicherheitslücken im Adminbereich genutzt werden können, um Schadsoftware einzuschleusen oder Daten zu manipulieren, ohne sich einzuloggen.

Dazu wird eine .htaccess sowie eine .htpasswd Datei ins /admin Verzeichnis des Shops gelegt. Es gibt für diese Dateien Tutorials und auch Generatoren im Web. Geh trotzdem nur dann daran, wenn du dich damit ein wenig auskennst. Bei manchen Hostern kannst du dir auch den Verzeichnisschutz mit wenigen Klicks erstellen lassen. Frag dort einfach nach.

Wenn wir OXID Updates durchführen, sichern wir den Adminbereich immer gleich mit, falls das noch nicht geschehen ist.

3 Vorsicht beim Versenden von Passwörtern

Schon seit ziemlich langer Zeit verwenden wir ein verschlüsseltes Formular, mit dem unsere Kunden uns ihre Zugangsdaten übermitteln können. Trotzdem erhalten wir immer wieder Zugangsdaten frei lesbar per Mail. Vielen ist nicht bewusst, dass E-Mails auf ihrer Reise diverse Server passieren, dort zwischengespeichert werden müssen, und von Unberechtigten mitgelesen werden können.

Versende niemals die 3-er Kombination - Webadresse/Tool, Anmeldename und Passwort - zusammen, nicht im Messenger, nicht in WhatsApp und auch nicht per E-Mail. Auch aufgeteilt auf zwei nacheinander versendete E-Mails ist nicht besonders sicher. Besser ist es, ein verschlüsseltes Formular zu verwenden oder Anmeldenamen und Passwort auf zwei verschiedene Arten zu übermitteln. Neben E-Mail gibt es da ja noch zahlreiche Alternativen, z. B. SMS, Fax, Messenger, Telefon ...

4 Sichere Passwörter verwenden

Noch ein Wort zu Passwörtern im Allgemeinen. Viele verwenden hier viel zu kurze oder zu schwache Kombinationen, oder das gleiche Passwort für alle Plattformen.

Deine Passwörter verwahrst du sicher in einem speziellen Passwort-Tool. Wir nutzen dafür z. B. KeePass. Es hat eine integrierte Synchronisation, so dass mehrere Benutzer gleichzeitig damit arbeiten können, generiert automatisch sichere Passwörter und bewertet auch die Sicherheit bestehender Passwörter. So brauchst du dir fortan nur noch ein einziges Passwort (für dieses Tool) merken.

5 Jedem Mitarbeiter sein Passwort

Bleiben wir mal noch bei Passwörtern. Die sind eine der größten Schwachstellen jeglicher Software und IT-Systeme.

Wenn mehrere Mitarbeiter am Shop arbeiten, lege möglichst für jeden einen eigenen Administrator-Benutzer an. Jeder Mitarbeiter kann dann selbst sein Passwort ändern, und wenn ein Mitarbeiter ausscheidet, ist es leichter, den Benutzer zu löschen als für alle das Passwort zu ändern.

6 Vergib temporäre Zugänge

Wenn du einen Dienstleister beauftragst oder z. B. einen Praktikanten im Einsatz hast, der vorübergehend auf dein Shopsystem zugreifen darf, lege ihm eigene Zugangsdaten an. Gib ihm nicht gleich den Hauptzugang zu allem.

Du kannst diesen temporären Benutzer ja auch immer wieder verwenden, indem du ihn deaktivierst, wenn er nicht benötigt wird. So kannst du jederzeit den Zugriff erlauben oder verweigern, ohne deinen eigenen Zugriff zu blockieren.

Das geht sogar bei deinem WLAN. Viele Router bieten die Möglichkeit, Gastzugänge einzurichten, die sich nach eine Weile selbst wieder deaktivieren.

7 Nutze aktuelle Anti-Viren-Software

Die meisten Hosting-Server sind heute via Anti-Viren-Software geschützt. Was oft vergessen wird: Auch oder gerade der lokale Rechner muss auch abgesichert werden. Viele Passwörter werden auf ungesicherten Rechnern mittels sogenannten Trojanern ausgespäht. Das sind kleine Programme, die unbemerkt im Hintergrund laufen, und alle Dateneingaben protokollieren und an den Hacker versenden. So gelangt er mit Leichtigkeit an diverse sensible Daten - eben auch Zugangsdaten.

So einen Trojaner kann man sich ganz schnell auf einer infizierten Website einfangen ...

Wir nutzen bereits seit Jahren Kaspersky Total Security. Es ist zwar nicht kostenlos, aber auch nicht teuer, und wirklich stark in der Abwehr.

Auch der Browser sollte geschützt werden, und zwar unabhängig von der Anti-Viren-Software. Das kleine Firefox-Addon "Secure Login" z. B. lädt den Benutzer in einem Login-Formular erst nach vollständigem Laden der Seite und einer Benutzeraktion, was das automatische "Lauschen" nach Zugangsdaten sehr erschwert.

8 Adminbereich umbenennen und verschlüsseln

Der Administrationsbereich lässt sich bei so ziemlich allen OXID Shops aufrufen, indem man /admin an die Shop-Adresse anhängt. Somit kann jeder, der sich ein bißchen auskennt und etwas Langeweile hat, das Login-Formular aufrufen und ein bissel damit "herumexperimentieren".

Verwendest du als Benutzernamen z. B. "admin" (Standard) und ein schwaches Passwort, so ist es wohl nur eine Frage der Zeit, bis es jemand in den heiligen Bereich schafft. Wenn du oben Punkt 2 umgesetzt hast, hast du das schon wesentlich sicherer gemacht: Dann müssen zwei Logins überwunden werden.

Noch sicherer wird es, wenn du die Adresse, unter der der Adminbereich zu erreichen ist, anpasst. Das geht sogar erstaunlich einfach und schnell - in zwei Schritten (ca. 10 Minuten Aufwand) ist das komplett umgesetzt.

Wie es ganz genau geht, habe ich hier beschrieben.

Kategorien: Recht & Sicher | Schlagworte: OXID eShop, Sichere Passwörter, Sicherheit, Tutorial

Lust auf mehr?

Grips-Letter abonnieren und nichts mehr verpassen.

Der Grips-Letter erscheint alle 1 - 2 Wochen. Du kannst dich jederzeit wieder abmelden. Deine Daten werden nicht weiter gegeben. Hier erfährst du mehr über den Grips-Letter. Hier findest du unsere Datenschutzerklärung.

Kommentare

Stephan Hendel von http://www.gabler-hendel.de sagt:

02.04.2019 um 11:20 Uhr

Falls Ihr Shop dennoch gehacked werden sollte, können Sie über folgenden Link erfahren, was Sie hiergegen juristisch tun können https://www.gabler-hendel.de/missbrauch-des-eigenen-webshops/

Antworten

Arnold Richter von http://www.druckerpatronenhandel.de sagt:

17.10.2018 um 09:51 Uhr

Haben Kunden Kaspersky auf Ihrem Rechner und die Funktion Sicheren Zahlungsverkehr in Kaspersky aktiviert ist dies ein Problem bei Oxid wenn die Kunden mit Paypal bezahlen wollen - dann kommen Sie nicht zurück auf die Shopseite und und können den Kauf nicht bestätigen. Immer wieder rufen Kunden an die nicht bestellen können die Kaspersky installiert haben und diese Funktion aktiviert ist.

Antworten

Bettina Ramm sagt:

17.10.2018 um 13:29 Uhr

Hallo Arnold, ja, wir merken das auch in letzter Zeit vermehrt, dass Kaspersky seine Aufgaben wirklich sehr ernst nimmt, und teilweise echt massiv (ärgerlich) tief in die Freiheit des Nutzers eingreift. Wir hatten noch nie ein Sicherheitsproblem, seit wir es nutzen, aber dafür doch massive Einschränkungen in unseren Rechten, was wir selbst auf dem Rechner dürfen und oft auch auf Kosten der Performance :) Hier ist eine gute Administration echt wichtig, denn beinahe alles lässt sich im Programm deaktivieren oder zumindest weniger scharf einstellen - man muss nur wissen, wie. Für Shopbetreiber ist es natürlich ärgerlich, da sie so direkt betroffen sind ohne eine offensichtliche Handlungsmöglichkeit. Ich glaube, alles was einem da bleibt, ist den Kunden deutlich darauf hinzuweisen, dass der Sichere Zahlungsverkehr in diesem Fall keine gute Idee ist ...

Beitrag kommentieren

Wie alle anderen Websites verwendet auch unsere Cookies. Wenn du unsere Website verwendest, stimmst du dem zu.

Folgende Cookies zulassen:

Alle akzeptieren

Mehr Infos


Welche Cookies werden gesetzt?

Notwendig
PHPSESSID Behält die Einstellungen der Seite des Benutzers bei allen Seitenanfragen bei.
robin_marketing_popup Sorgt dafür, dass das Marketing-Popup nicht bei jedem Seitenwechsel erneut aufpoppt.
dwa_cookie_noticed Speichert die Einwilligungen zu den Cookies für ein Jahr. Dieser Cookie kann zurückgesetzt werden, wenn die Einwilligung entzogen werden soll.
Statistik
_pk_id Matomo - Cookie zum Speichern einiger Details über den Benutzer, z. B. der eindeutigen Besucher-ID (anonymisiert), notwendig zum Zählen wiederkehrender Besucher. - Speicherdauer 13 Monate
_pk_ses Matomo-Cookie zur Speicherung Sessionabhängiger Nutzerdaten - Speicherdauer 30 Minuten