Schloss vor QuellcodeJaja, ich weiß, schon wieder dieses leidige Thema Sicherheit. Wie weh das tun kann, wenn der Shop tatsächlich gehackt wird, weiß man vermutlich immer erst, wenn man es einmal erlebt hat.

Ich will keine Horror-Szenarien malen und nichts liegt mir ferner als Paranoia, dennoch will ich natürlich sensibilisieren, denn ich weiß aus der Praxis – es kommt relativ häufig vor. Und es gibt einige kleine Dinge, die man tatsächlich tun kann, die das Risiko enorm senken! Vorbeugen ist besser als heilen – hier gilt das sehr, denn einen gehackten Shop wieder zu säubern ist riesiger Aufwand und manchmal sogar gar nicht wirklich möglich. Von Daten- und Vertrauensverlusten sowie Umsatzeinbußen, weil der Shop eine Weile offline geht, ganz zu schweigen.

1 Regelmäßige Updates

Es ist wirklich kein Geheimnis – bekannte Web- und Shop-Systeme brauchen regelmäßige Updates. Dazu habe ich ja erst kürzlich etwas geschrieben, als bei OXID ein Sicherheitsleck gefunden wurde. Jedes Update schließt Sicherheitslücken, je älter diese Lücken sind, desto größer ist die Wahrscheinlichkeit, gehackt zu werden.

Daher empfehlen wir, mindestens einmal jährlich den OXID Shop auf den aktuellsten Stand zu bringen. Das bringt ja auch noch andere Vorteile mit sich.

Tipp: Bei uns gibt es das OXID Update zum Festpreis, und ab Herbst auch ein Service-Paket, in dem das jährliche Update bereits enthalten ist. Fragen Sie uns einfach.

2 Admin-Bereich durch zusätzliches Login schützen

Auch OXID hat im kürzlich veröffentlichten Sicherheits-Workaround empfohlen, ein zusätzliches Login vor den Adminbereich zu legen. Dabei poppt vor dem eigentlichen Login-Formular noch ein anderes Anmeldefenster auf, das den gesamten Adminbereich (auf einer höheren Ebene) schützt. So ist sichergestellt, dass nicht „hinten herum“ Sicherheitslücken im Adminbereich genutzt werden können, um Schadsoftware einzuschleusen oder Daten zu manipulieren, ohne sich einzuloggen.

Sie benötigen dazu eine .htaccess sowie eine .htpasswd Datei, die ins /admin Verzeichnis des Shops gelegt werden. Es gibt für diese Dateien Tutorials und auch Generatoren im Web, dennoch sollten Sie diese nur verwenden, wenn Sie sich auskennen. Bei manchen Hostern kann man den Verzeichnisschutz, wie er dort oft heißt, auch über die Administrationsoberfläche erstellen. Für alle anderen machen wir das gerne zum kleinen Preis (ServiceTicket 30 Minuten).

3 Vorsicht beim Versenden von Passwörtern

Schon seit ziemlich langer Zeit verwenden wir ein verschlüsseltes Formular, mit dem unsere Kunden uns ihre Zugangsdaten übermitteln können. Trotzdem erhalten wir immer wieder Zugangsdaten frei lesbar per Mail. Vielen ist nicht bewusst, dass E-Mails auf ihrer Reise diverse Server passieren, dort zwischengespeichert werden müssen, und von Unberechtigten mitgelesen werden können.

Versenden Sie niemals die Adresse, den User und das Passwort zusammen (außer wenn sie dabei verschlüsselt, also unlesbar für Dritte gemacht werden, wie bei unserem Formular)! In getrennten E-Mails ist ein bißchen besser, aber noch nicht wirklich gut. Besser ist es, die Passwörter auf völlig anderem Wege zu übermitteln als den Rest, z. B. per Skype, SMS, Telefon, Fax.

4 Sichere Passwörter verwenden

Noch ein Wort zu Passwörtern im Allgemeinen. Viele verwenden hier viel zu kurze oder zu schwache Kombinationen.

Sie können sich keine Passwörter merken? Dann verwenden Sie ein Tool wie z. B. KeePass. Es hat eine integrierte Synchronisation, so dass mehrere Benutzer gleichzeitig damit arbeiten können, generiert automatisch sichere Passwörter und bewertet auch die Sicherheit bestehender Passwörter. Und sich brauchen sich fortan nur noch ein einziges Passwort merken.

5 Jedem Mitarbeiter sein Passwort

Bleiben wir mal noch bei Passwörtern. Die sind eine der größten Schwachstellen jeglicher Software und IT-Systeme.

Wenn mehrere Mitarbeiter am Shop arbeiten, legen Sie daher für jeden einen eigenen Administrator-Benutzer an. Jeder Mitarbeiter kann dann selbst sein Passwort ändern, und wenn ein Mitarbeiter ausscheidet, ist es leichter, den Benutzer zu löschen als für alle das Passwort zu ändern.

6 Vergeben Sie temporäre Zugänge

Legen Sie auch neue Benutzer an, wenn jemand vorübergehend auf Ihr Shopsystem zugreifen muss, und geben Sie nicht gleich Ihren Haupt-Admin heraus. Wenn Sie also z. B. einen Entwickler mit Support beauftragt haben oder der Praktikant Daten einpflegen muss.

Sie können diesen temporären Benutzer ja auch immer wieder verwenden, indem Sie ihn deaktivieren, wenn er seine „Pflicht“ getan hat und wieder aktivieren und gleichzeitig ein neues Passwort setzen, wenn Sie ihn erneut benötigen.

7 Aktuelle Anti-Viren-Software nutzen

Die meisten Hosting-Server sind heute via Anti-Viren-Software geschützt. Was oft vergessen wird: Auch oder gerade der lokale Rechner muss auch abgesichert werden. Viele Passwörter werden auf ungesicherten Rechnern mittels sogenannten Trojanern ausgespäht. Das sind kleine Programme, die unbemerkt im Hintergrund laufen, und alle Dateneingaben protokollieren und an den Hacker versenden. So gelangt er mit Leichtigkeit an diverse sensible Daten – eben auch Zugangsdaten.

So einen Trojaner kann man sich ganz schnell auf einer infizierten Website einfangen …

Wir empfehlen Kaspersky Total Security, das wir schon seit Jahren nutzen. Es ist zwar nicht kostenlos, aber auch nicht teuer, und wirklich stark in der Abwehr.

Auch der Browser sollte geschützt werden, und zwar unabhängig von der Anti-Viren-Software. Das kleine Firefox-Addon „Secure Login“ z. B. lädt den Benutzer in einem Login-Formular erst nach vollständigem Laden der Seite und einer Benutzeraktion, was das automatische „Lauschen“ nach Zugangsdaten sehr erschwert.

8 Adminbereich umbenennen und verschlüsseln

Der Administrationsbereich lässt sich bei so ziemlich allen OXID Shops aufrufen, indem man /admin an die Shop-Adresse anhängt. Somit kann jeder, der sich ein bißchen auskennt und etwas Langeweile hat, das Login-Formular aufrufen und ein bissel damit „herumexperimentieren“.

Verwenden Sie als Benutzernamen z. B. „admin“ (gerne verwendet) und ein schwaches Passwort, so ist es wohl nur eine Frage der Zeit, bis es jemand in den heiligen Bereich schafft. Wenn Sie oben Punkt 2 umgesetzt haben, haben Sie das ja schon wesentlich sicherer gemacht: Dann müssen zwei Logins überwunden werden.

Es lässt sich aber noch verbessern, indem Sie die Adresse, unter der der Adminbereich zu erreichen ist, anpasst. Das geht sogar erstaunlich einfach und schnell – in zwei Schritten (ca. 10 Minuten Aufwand) ist das komplett umgesetzt.

Wie es ganz genau geht, habe ich vor ein paar Tagen hier beschrieben.

kostenloses eBook SEO für OXID eShop

10 SEO Tipps für Ihren OXID eShop - kostenlos

Suchmaschinen-Optimierung für OXID eShop ist kein Buch mit sieben Siegeln, wenn man einige Dinge weiß und beachtet. Wie Sie SEO optimal und mit geringem Aufwand in Ihrem Shop umsetzen, verrät Ihnen unser kostenloses eBook (PDF).

Hier können Sie das eBook direkt herunterladen.

 

Thema: Recht & Sicher | Stichworte: , ,