Schütze deinen Shop vor Hacking-Angriffen

10.08.2016 (letztes Update 21.04.2023)

Jaja, ich weiß, immer dieses leidige Thema Sicherheit. Wie weh es tun kann, wenn der Shop tatsächlich gehackt wird, weiß man vermutlich immer erst, wenn man es einmal erlebt hat.

Oftmals wird der Angriff erst erkannt, wenn der Hoster das komplette Paket sperrt, und nicht selten ist es dann leider auch zu spät, um einfach rasch auf eine ältere Datensicherung zurückzugehen. Oft ist es auch viel zu aufwändig - und unsicher - Schadcode zu beseitigen, so dass einem nur noch das komplette Neuaufsetzen des Shops - und der anderen betroffenen Websysteme, wie Website und Blog - übrig bleibt. Ein riesiger Aufwand, von Daten- und Vertrauensverlusten sowie Umsatzeinbußen, weil der Shop eine Weile offline ist, ganz zu schweigen.

Ich will dir keine Angst machen. Aber ich möchte dich sensibilisieren, denn Vorbeugen ist besser als Heilen. Und es gibt einige Dinge, die mit wenig Aufwand umgesetzt sind und das Risiko enorm senken.

1 Regelmäßige Updates

Es ist wirklich kein Geheimnis - bekannte Web- und Shop-Systeme brauchen regelmäßige Updates. Dazu habe ich ja erst kürzlich etwas geschrieben, als bei OXID ein Sicherheitsleck gefunden wurde. Jedes Update schließt Sicherheitslücken. Je älter diese Lücken sind, desto größer ist die Wahrscheinlichkeit, gehackt zu werden.

Daher empfehlen wir, mindestens einmal jährlich den Shop auf den aktuellsten Stand zu bringen. Das bringt ja auch noch andere Vorteile mit sich.

!! Ein Update sollte immer erst im Testsystem durchgeführt werden, so verhindert man Ausfallzeiten und Stress, falls etwas schief geht.
Hast du einen Shopware 6 oder OXID eShop sprich uns gerne an, wenn du Unterstützung beim Testsystem oder den Updates benötigst.
Die Übersicht der aktuellen Versionen & Features gibts für Shopware und OXID.

Shop-Update anfragen

2 Admin-Bereich durch zusätzliches Login schützen

Auch Shopware und OXID empfehlen, ein zusätzliches Login vor den Adminbereich zu legen. Dabei poppt vor dem eigentlichen Login-Formular noch ein weiteres Anmeldefenster auf, das den gesamten Adminbereich (auf einer höheren Ebene) schützt. So ist sichergestellt, dass nicht "hinten herum" Sicherheitslücken im Adminbereich genutzt werden können, um Schadsoftware einzuschleusen oder Daten zu manipulieren, ohne sich einzuloggen.

Dazu wird eine .htaccess sowie eine .htpasswd Datei angelegt und systemabhängig konfiguriert. Es gibt für diese Dateien Tutorials und auch Generatoren im Web. Geh trotzdem nur dann daran, wenn du dich damit ein wenig auskennst, bei Fehlern läuft dein Shop sonst nicht mehr.

Wenn wir Shop Updates durchführen, sichern wir den Adminbereich immer gleich mit, falls das noch nicht geschehen ist.

Besonderheiten gibt es hier bei Shopware, da hier bestimmte Aufrufe immer freigeschaltet bleiben müssen. Wir helfen dir gern bei der Einrichtung des Schutzes. Melde dich einfach bei uns!

3 Vorsicht beim Versenden von Passwörtern

Schon seit ziemlich langer Zeit verwenden wir ein verschlüsseltes Formular, mit dem unsere Kunden uns ihre Zugangsdaten übermitteln können. Trotzdem erhalten wir immer wieder Zugangsdaten frei lesbar per Mail. Vielen ist nicht bewusst, dass E-Mails auf ihrer Reise diverse Server passieren, dort zwischengespeichert werden müssen, und von Unberechtigten mitgelesen werden können.

Versende niemals die 3-er Kombination - Webadresse/Tool, Anmeldename und Passwort - zusammen, nicht im Messenger, nicht in WhatsApp und auch nicht per E-Mail. Auch aufgeteilt auf zwei nacheinander versendete E-Mails ist nicht besonders sicher. Besser ist es, ein verschlüsseltes Formular zu verwenden oder Anmeldenamen und Passwort auf zwei verschiedene Arten zu übermitteln. Neben E-Mail gibt es da ja noch zahlreiche Alternativen, z. B. SMS, Fax, Messenger, Telefon ...

4 Sichere Passwörter verwenden

Noch ein Wort zu Passwörtern im Allgemeinen. Viele verwenden hier viel zu kurze oder zu schwache Kombinationen, oder das gleiche Passwort für alle Plattformen.

Deine Passwörter verwahrst du sicher in einem speziellen Passwort-Tool, z. B. KeePass, Password Safe, Dashlane. Es hat eine integrierte Synchronisation, so dass mehrere Benutzer gleichzeitig damit arbeiten können, generiert automatisch sichere Passwörter und bewertet auch die Sicherheit bestehender Passwörter. So brauchst du dir fortan nur noch ein einziges Passwort (für dieses Tool) merken.

5 Jedem Mitarbeiter sein Passwort

Bleiben wir mal noch bei Passwörtern. Die sind eine der größten Schwachstellen jeglicher Software und IT-Systeme.

Wenn mehrere Mitarbeiter am Shop arbeiten, lege möglichst für jeden einen eigenen Administrator-Benutzer an. Jeder Mitarbeiter kann dann selbst sein Passwort ändern, und wenn ein Mitarbeiter ausscheidet, ist es leichter, den Benutzer zu löschen als für alle das Passwort zu ändern.

6 Vergib temporäre Zugänge

Wenn du einen Dienstleister beauftragst oder z. B. einen Praktikanten im Einsatz hast, der vorübergehend auf dein Shopsystem zugreifen darf, lege ihm eigene Zugangsdaten an. Gib ihm nicht gleich den Hauptzugang zu allem.

Du kannst diesen temporären Benutzer ja auch immer wieder verwenden, indem du ihn deaktivierst, wenn er nicht benötigt wird. So kannst du jederzeit den Zugriff erlauben oder verweigern, ohne deinen eigenen Zugriff zu blockieren.

Das geht sogar bei deinem WLAN. Viele Router bieten die Möglichkeit, Gastzugänge einzurichten, die sich nach eine Weile selbst wieder deaktivieren.

7 Nutze aktuelle Anti-Viren-Software

Die meisten Hosting-Server sind heute via Anti-Viren-Software (Kaspersky, McAfee, Norton) geschützt. Was oft vergessen wird: Auch oder gerade der lokale Rechner muss auch abgesichert werden. Viele Passwörter werden auf ungesicherten Rechnern mittels sogenannten Trojanern ausgespäht. Das sind kleine Programme, die unbemerkt im Hintergrund laufen, und alle Dateneingaben protokollieren und an den Hacker versenden. So gelangt er mit Leichtigkeit an diverse sensible Daten - eben auch Zugangsdaten.

So einen Trojaner kann man sich ganz schnell auf einer infizierten Website einfangen ...

Z.B. Kaspersky ist zwar nicht kostenlos, aber auch nicht teuer, und wirklich stark in der Abwehr.

Auch der Browser sollte geschützt werden, und zwar unabhängig von der Anti-Viren-Software. Das kleine Firefox-Addon "Secure Login" z. B. lädt den Benutzer in einem Login-Formular erst nach vollständigem Laden der Seite und einer Benutzeraktion, was das automatische "Lauschen" nach Zugangsdaten sehr erschwert.

8 Adminbereich umbenennen und verschlüsseln

Der Administrationsbereich lässt sich bei so ziemlich allen Shopsystemen aufrufen, indem man /admin an die Shop-Adresse anhängt. Somit kann jeder, der sich ein bißchen auskennt und etwas Langeweile hat, das Login-Formular aufrufen und ein bissel damit "herumexperimentieren".

Verwendest du als Benutzernamen z. B. "admin" und ein schwaches Passwort, so ist es wohl nur eine Frage der Zeit, bis es jemand in den heiligen Bereich schafft. Wenn du oben Punkt 2 umgesetzt hast, hast du das schon wesentlich sicherer gemacht: Dann müssen zwei Logins überwunden werden.

Noch sicherer wird es, wenn du die Adresse, unter der der Adminbereich zu erreichen ist, anpasst. Das geht sogar bei einigen Systemen, z.B OXID, erstaunlich einfach und schnell - in zwei Schritten (ca. 10 Minuten Aufwand) ist das komplett umgesetzt.

Wie es ganz genau geht, habe ich hier beschrieben.

Sharing is caring - teile den Beitrag

Ähnliche Beiträge

• OXID eShop Tutorial: Kundennummer in der Bestellungsliste anzeigen + danach suchen
• Simsalabim - sicherer OXID-Adminbereich in 3 Schritten
• Tausche Passwort gegen Schokoriegel
• Service- und Infomenü im Footer von Shopware anlegen
• Kolbenfueller.de - Papeterie Ballin - hochwertige Schreibgeräte nun im neuen Shopware-Shop

Beitrag kommentieren