Jeden Tag greifen Millionen von Menschen auf das Internet zu, um Dinge zu kaufen. Die Menschen geben online mehr Geld aus als jemals zuvor. Der Online-Verkauf boomt, und er wird von hier aus nur noch größer werden. Wenn Sie einen Online-eCommerce-Shop erstellen möchten, kommen Sie an WordPress nicht vorbei. Aber ist WordPress sicher für den eCommerce? Gehe ich ein Risiko?
Laut Statista haben eCommerce-Shops im Jahr 2018 weltweit mehr als 2’800 Milliarden Dollar erwirtschaftet. Dann kam Corona und …. wir sind gespannt auf die Zahlen 2021. Aber weniger wurde es garantiert nicht. eCommerce ist gekommen um zu bleiben, auch nach Corona.
Allein die Cyber Monday-Verkäufe 2020 generierten mehr als 7,9 Milliarden US-Dollar und übertrafen damit die Umsätze des Black Friday (6,2 Milliarden US-Dollar) und des Thanksgiving Day (3,7 Milliarden US-Dollar). In Deutschland wurde für Black Friday und Cyber Monday mehr als 3 Mrd Euro erwartet…
Und diese Zahl wird sich bis 2021 radikal auf fast das Doppelte erhöhen. Wenn Sie ein süßes Stück von diesem großen Kuchen mit nach Hause nehmen wollen, müssen Sie eine großartige eCommerce-Website haben.
Obwohl es einige großartige Plugins wie WooCommerce oder Easy Digital Downloads gibt, um Ihre erste WordPress eCommerce-Website zu erstellen, bleibt die eigentliche Frage – Ist WordPress sicher für eCommerce-Websites? Die Antwort ist Nein. Die Out of the Box-Installation von WordPress ist nicht sicher genug. Sie müssen Sicherheitsmaßnahmen ergreifen, wenn Sie ein großes eCommerce-Geschäft betreiben. Vor allem, wenn Sie ein großes eCommerce-Geschäft mit vielen Kunden, Produkten und Verkäufen haben – Hacker können in Ihre Daten eindringen, wenn Sie unvorsichtig mit der Sicherheit von WordPress sind. Daher betrachten wir in diesem Artikel wie Sie Ihre Webseite Sicher machen.
Warum sollten Sie Ihre eCommerce/WooCommerce-Website sichern?
WooCommerce ist das meistgenutzte WordPress-Plugin für die Erstellung von eCommerce-Shops. Es gibt keinen echten Konkurrenten. Dennoch finden unabhängige Sicherheitsfirmen hin und wieder neue Schwachstellen im WooCommerce-Plugin.
- Sucuri fand bereits 2015 eine Object Injection-Schwachstelle in WooCommerce, die es jedem ermöglichte, jede beliebige Datei auf dem verwundbaren Server herunterzuladen.
- Außerdem wurde eine SQLi-Schwachstelle im YITH WooCommerce Wishlist-Plugin entdeckt, die es Angreifern ermöglicht, SQL (Structured Query Language) aus der Ferne auf Ihrer Datenbank auszuführen.
- WordPress WooCommerce XSS-Schwachstelle ermöglicht das Hijacking eines Kundenkontos mit einem manipulierten Bild
Wie sichert man eine WordPress eCommerce Website?
Halten Sie Ihre WordPress-Kerninstallation und Plugins immer auf dem neuesten Stand
Einer der Hauptgründe, warum eine WordPress-Website kompromittiert wird, ist, dass die Websites nicht die neueste Version der Plugins verwenden. Ob Sie WooComerrce, Easy Digital Downloads oder ein anderes Plugin für Ihre eCommerce-Website verwenden – Sie müssen die Plugins auf dem neuesten Stand halten.
Da WordPress mit einem großartigen Update-Mechanismus gesegnet ist, dauert es nur ein paar Klicks, um WordPress zu aktualisieren. Der Bericht von Sucuri aus dem Jahr 2018 offenbarte, dass
Im Jahr 2017 verwendeten 39,3 % der gehackten WordPress-Seiten veraltete Installationen. Im Jahr 2018 war der Prozentsatz leicht auf insgesamt 36,7 % gesunken. Wo stehen Sie?
Die primären Angriffe zielten auf veraltete WordPress-Plugins und Themes mit bekannten und unbekannten Sicherheitslücken.
Diese Daten zeigen, dass WordPress mit seiner Auto-Update-Funktion einen hervorragenden Job gemacht hat.
Der einzige Bereich, der Aufmerksamkeit erfordert, sind die externen Komponenten der Plattform (z. B. Plugins). Hacker zielen auf externe Themes und Plugins ab, um die Sicherheit Ihrer eCommerce-Website auszunutzen. Sie können prüfen, wie Sie WordPress-Updates automatisieren können, um das gesamte Update-Szenario bezüglich WordPress zu automatisieren.
Plugins wie Companion Auto Update aktualisieren WordPress Core, Plugins und Themes automatisch – ohne menschliches Zutun.
Die Aktualisierung von WordPress stellt sicher, dass Sie immer vor Schwachstellen, Sicherheitslücken und XSS Cross Site Scripting-Angriffen geschützt sind.
Strict SSL verwenden
SSL (Secure Sockets Layer) ist eine Sicherheitstechnologie zur Herstellung einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Die gesicherte Verbindung stellt sicher, dass alle Daten, die zwischen Webserver und Browser übertragen werden, privat und integer bleiben. Dies verhindert im Wesentlichen jede Art von Abhören und reduziert auch die Möglichkeit der Datenmanipulation.
SSL fügt eine zusätzliche Sicherheitsebene für Ihre Website hinzu. Sie können versuchen, SSL auf Ihrer Website zu installieren, um die Vorteile des kostenlosen SSL- und CDN-Angebots von Cloudflare zu nutzen.
Sichern Sie Ihre Datenbank
Sie sollten regelmäßige Datenbanksicherungen durchführen, um sicherzustellen, dass Ihre WordPress eCommerce-Website in einem sicheren Zustand ist. Lesen Sie unser Tutorial zum Automatisieren von WordPress-Datenbank-Backups, um sicherzustellen, dass Sie immer eine frische Kopie Ihrer Datenbanksicherung haben.
Datenbank-Backups sind sehr wichtig für Ihre eCommerce-Website. Selbst wenn etwas kaputt geht, können Sie mit einem Datenbank-Backup einen funktionierenden Zustand wiederherstellen. Mit dem Plugin von Updraft haben Sie eine Top Lösung, zu einem fairen Preis.
Prüfen Sie Ihre Website auf Sicherheitslücken
Sie müssen Ihre WordPress-Site von Zeit zu Zeit mit einem Online-Scanner auf Sicherheitslücken überprüfen. Dieser zeigt Ihnen vorhandene Schwachstellen Ihrer Website an.
Wenn Sie sich nicht sicher sind, wie Sie Ihre eCommerce-Site absichern sollen, dann sollten Sie sich unsere umfassende WordPress-Sicherheitscheckliste ansehen, um sicherzustellen, dass Sie die wesentlichen Sicherheitsmaßnahmen für Ihre Website getroffen haben.
WP-Admin umbenennen und Kein User Admin
Jeder der eine Webseite mit WordPress erstellt, logged sich mit Webseite.ch/wp-admin ein in das Backend. Dies weiss jeder noch halb so intelligente Hacker und daher wird diese Seite mittels “Brutal Force” Attacken am meisten angegangen. Heisst, die Seite wird mit einem Programm attackiert, welches ein Passwort nach dem anderen ausprobiert, in der Hoffnung irgend wann zum Erfolg zu kommen. Wenn Sie die Login Seite umbenennen, wird dieses schon massiv schwieriger für die Hacker und wenn Sie auch noch den User Admin löschen und dafür einen anderen User zum Administrator machen, muss nicht nur das Passwort, sondern auch der Benutzername gehackt werden. Kleiner Aufwand, grosse Wirkung.
WordPress Firewall
Für unsere Kunden empfehlen wir das Plugin von Wordfence. Dies beinhaltet eine Endpoint-Firewall und einen Malware-Scanner, die von Grund auf für den Schutz von WordPress entwickelt wurden. Deren Threat Defense Feed rüstet Wordfence mit den neuesten Firewall-Regeln, Malware-Signaturen und bösartigen IP-Adressen aus, die es braucht, um deine Website sicher zu halten. Abgerundet durch eine Reihe zusätzlicher Funktionen ist Wordfence die umfassendste Sicherheitsoption auf dem Markt. Sicherlich eine Überlegung Wert.
Abschließende Überlegungen
Sicherheit ist immer einer der kritischsten Faktoren für den Erfolg Ihres Unternehmens. Wenn Ihre Kunden Ihrer Marke/Ihrem Unternehmen nicht vertrauen, ist es wahrscheinlicher, dass sie kein Geld auf Ihrer Seite ausgeben würden. Sie sollten eine Geschäfts-E-Mail einzurichten, um das Vertrauen Ihrer Kunden in Ihr Unternehmen zu erhöhen und nicht mit einer @gmail Adresse Arbeiten. Dies is in der Regel bei Ihrem Webhosting inklusive und wenn nicht wechseln Sie zu cyon.ch!
Die Implementierung von SSL, die Erstellung von Datenbank-Backups und die Behebung von Sicherheitslücken machen Ihre WordPress eCommerce-Website sicher für den täglichen Gebrauch. Falls Sie Hilfe dabei brauchen, stehen wir Ihnen gerne zur Verfügung und am liebsten bevor etwas passiert. Kontaktieren Sie uns.
Checkliste WordPress sicher für e-Commerce machen
Zusammenfassend sind hier einige wichtige Punkte, in der Form einer Checkliste welche für die Sicherheit von WordPress Webseiten berücksichtigt werden sollten:
- Verwenden Sie immer die aktuelle Version von WordPress und installieren Sie alle verfügbaren Sicherheitsupdates.
- Verwenden Sie starke und eindeutige Passwörter für alle Benutzerkonten auf Ihrer Webseite, insbesondere für das Hauptadministratorkonto.
- Verwenden Sie ein Sicherheits-Plugin, um die Sicherheit Ihrer Webseite zu verbessern und Angriffe zu verhindern.
- Erstellen Sie regelmäßig Backups Ihrer Webseite, um im Falle eines Angriffs oder eines anderen Problems eine Sicherung zu haben.
- Beschränken Sie den Zugriff auf das Verwaltungsbereich (Dashboard) Ihrer Webseite auf vertrauenswürdige Benutzer und verwenden Sie eine zweistufige Authentifizierung, um den Zugriff zu verstärken.
- Verwenden Sie HTTPS, um die Übertragung von Daten zwischen dem Server und dem Browser zu verschlüsseln.
- Entfernen Sie unbenutzte Plugins und Themes, da diese möglicherweise Sicherheitslücken aufweisen.
- Ändern Sie regelmäßig die Passwörter für alle Benutzerkonten und verwenden Sie ein Passwort-Manager-Tool, um sicherzustellen, dass starke Passwörter verwendet werden.
- Verwenden Sie einen Sicherheits-Scanner, um regelmäßig die Sicherheit Ihrer Webseite zu überprüfen und potenzielle Sicherheitsprobleme zu identifizieren.
- Seien Sie vorsichtig beim Installieren von Plugins und Themes von Drittanbietern und stellen Sie sicher, dass sie von einer vertrauenswürdigen Quelle stammen und regelmäßig aktualisiert werden.