Letzte SeedProd Nachrichten

WordPress-Tutorials, -Tipps und -Ressourcen für das Wachstum Ihres Unternehmens

wie man eine Woocommerce-Website sichert

Wie Sie Ihre WooCommerce-Website sichern (für Anfänger geeignet) 

Geschrieben von: Autorenavatar Stacey Corrin
Autorenavatar Stacey Corrin
Stacey schreibt seit über 10 Jahren über WordPress und digitales Marketing und noch viel länger über andere Themen. Darüber hinaus ist sie fasziniert von Webdesign, Benutzererfahrung und SEO.
     Bewertet von: Gutachter-Avatar Turner John
Gutachter-Avatar Turner John
John Turner ist der Mitbegründer von SeedProd. Er verfügt über mehr als 20 Jahre Geschäfts- und Entwicklungserfahrung und seine Plugins wurden über 25 Millionen Mal heruntergeladen.

WooCommerce ist standardmäßig sicher, aber das bedeutet nicht, dass Ihr Shop vollständig geschützt ist. Ohne ein paar zusätzliche Schritte kann Ihre Website immer noch anfällig für Dinge wie gefälschte Registrierungen, unerwünschte Bots oder sogar Aussperrungen sein.

Als ich diese Probleme zum ersten Mal bemerkte, war ich mir nicht sicher, was ich übersehen hatte. Ich dachte, alles sei richtig eingerichtet. Aber ein gutes Äußeres reicht nicht aus, wenn das Backend Ihrer Website nicht bewacht wird.

Den meisten Anfängern ist nicht bewusst, wie leicht automatisierte Angriffe Schwachstellen ausfindig machen können. Veraltete Plugins, schwache Anmeldeformulare oder fehlende SSL-Zertifikate laden unauffällig zu Problemen ein.

In diesem Leitfaden zeige ich Ihnen, wie Sie Ihren WooCommerce-Shop mit praktischen, anfängerfreundlichen Schritten schützen können, die tatsächlich funktionieren.

Inhaltsübersicht

Warum Ihre WooCommerce-Website sichern?

WooCommerce betreibt über 4,6 Millionen Live-Shops. Diese Art von Popularität macht es zu einem häufigen Ziel für Hacker und Bots, die nach Schwachstellen suchen.

Wenn Ihr Shop nicht ordnungsgemäß gesichert ist, riskieren Sie mehr als nur technische Kopfschmerzen. Sie könnten das Vertrauen Ihrer Kunden verlieren, Umsatzeinbußen erleiden oder Ihre Website könnte von Suchmaschinen und Browsern als unsicher eingestuft werden.

Sicherheitsprobleme können zu gefälschten Bestellungen, gesperrten Konten und Ausfallzeiten führen, was Ihrem Ruf und Ihrem Gewinn schadet.

Die gute Nachricht ist, dass Sie kein Sicherheitsexperte sein müssen, um Ihr Geschäft zu schützen. Mit ein paar einfachen Schritten können Sie die häufigsten Sicherheitslücken schließen und einen reibungslosen Geschäftsbetrieb gewährleisten.

Schritte zur Sicherung Ihrer WooCommerce-Website

Es gibt kein Patentrezept für die Sicherheit von Geschäften, aber ein paar einfache Schritte können viel bewirken. Fangen Sie oben an und arbeiten Sie sich nach unten durch. Jede einzelne Maßnahme trägt dazu bei, dass Ihr Shop sicher und vertrauenswürdig bleibt.

1. Verwenden Sie einen starken Hosting-Anbieter

Bei einem guten Hosting geht es nicht nur um Geschwindigkeit oder Speicherplatz. Es ist die erste Ebene der Sicherheit.

Wenn Ihr Hoster keinen grundlegenden Schutz bietet, ist alles andere, was Sie eingerichtet haben, gefährdet. Ich habe schon erlebt, dass Websites wegen Schadsoftware, die auf Serverebene hätte blockiert werden müssen, oder Backups, die nicht vorhanden waren, als sie am dringendsten benötigt wurden, zusammengebrochen sind.

Darauf achte ich jetzt immer:

  • Kostenloses SSL
  • Tägliche Offsite-Backups
  • Malware-Scans
  • Aktive Firewalls
Verwenden Sie einen starken Hosting-Anbieter, um WooCommerce-Website zu sichern

Ich habe mit SiteGround und Bluehost zuverlässige Ergebnisse erzielt. Sie kümmern sich um das Wesentliche hinter den Kulissen, sodass Sie sich auf Ihr Geschäft konzentrieren können.

Ich gehe hier auf die Vor- und Nachteile ein: Wie man WordPress-Hosting auswählt

2. Verwenden Sie immer SSL (HTTPS)

SSL schützt die Daten, die Ihre Kunden mit Ihrer Website austauschen, wie Passwörter, Zahlungsinformationen und Kontaktangaben. Es hält alles verschlüsselt, so dass niemand es abfangen kann.

Die meisten guten Hoster bieten kostenloses SSL über Let's Encrypt an, aber manchmal müssen Sie es manuell in Ihrem Hosting-Dashboard einschalten. Wenn das nicht funktioniert, kann das kostenlose Plugin Really Simple SSL dies für Sie erledigen.

Wenn Sie in der Adressleiste Ihres Browsers kein Vorhängeschloss-Symbol sehen, ist etwas nicht richtig eingestellt, und Ihre Besucher werden es bemerken.

Vorhängeschloss-Symbol in der Adressleiste des Browsers zeigt an, dass SSL auf einer sicheren WooCommerce-Website aktiv ist

Eine vollständige Anleitung finden Sie in meinem Leitfaden zum Hinzufügen von SSL zu Ihrer WordPress-Site

3. WordPress, Plugins und Themes auf dem neuesten Stand halten

Die meisten Hacks passieren, weil etwas veraltet ist. Das kann ein Plugin, Ihr Theme oder sogar WordPress selbst sein.

Aktualisierungen enthalten oft Sicherheitsbehebungen, so dass das Auslassen dieser Aktualisierungen bedeutet, dass bekannte Probleme für Angreifer offen bleiben.

Ich lasse die automatischen Updates für WooCommerce, mein Theme und die WordPress-Plugins, auf die ich am meisten angewiesen bin, aktiviert. Einmal pro Woche überprüfe ich kurz, ob ich nichts vergessen habe.

WordPress-Dashboard mit WooCommerce-Plugin-Aktualisierungsbildschirm

Wenn ich ein Plugin oder Thema nicht mehr verwende, entferne ich es vollständig. Auch deaktivierte Plugins können ein Risiko darstellen.

Es dauert nur ein paar Minuten, aber es macht einen großen Unterschied für die Sicherheit Ihrer Website.

4. Starke Passwörter und Zwei-Faktor-Authentifizierung verwenden

Schwache Passwörter sind eine der einfachsten Möglichkeiten für Bots, in Ihre Website einzudringen. Wenn Sie etwas Einfaches verwenden oder sich immer noch als "admin" anmelden, ist es an der Zeit, etwas zu ändern.

Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene für Ihre Anmeldung. Nachdem Sie Ihr Passwort eingegeben haben, müssen Sie einen zweiten Code eingeben, der in der Regel an Ihr Telefon oder Ihre E-Mail geschickt wird.

Anmeldeaufforderung für die Zwei-Faktor-Authentifizierung, die zusätzlich zum Passwort einen Code erfordert

Selbst wenn ein Hacker Ihr Passwort stiehlt, kann er ohne diesen zweiten Verifizierungsschritt nicht auf Ihre Website zugreifen. Dies ist eine der besten Methoden, um unbefugten Zugriff und Brute-Force-Angriffe zu verhindern.

Plugins wie WP 2FA, Duo und Wordfence Login Security machen die Einrichtung von 2FA ganz einfach, selbst wenn Sie technisch nicht versiert sind.

5. Anmeldeversuche begrenzen + CAPTCHA hinzufügen

Brute-Force-Angriffe finden statt, wenn Bots versuchen, in Ihre Website einzudringen, indem sie Ihren Benutzernamen und Ihr Passwort tausende Male erraten. Diese automatischen Versuche können Ihre Anmeldeseite überwältigen und erfolgreich sein, wenn Ihre Passwörter schwach sind.

Ich verwende das Plugin Limit Login Attempts Reloaded, um wiederholte Anmeldeversuche nach ein paar Fehlversuchen zu blockieren. Es ist schnell einzurichten und macht einen großen Unterschied.

Ich füge auch CAPTCHA zu Anmeldeseiten, Kassenformularen und Kontaktformularen hinzu, um Bots daran zu hindern, gefälschte Konten zu erstellen oder Spam zu versenden.

Cloudflare Turnstile funktioniert gut, weil es im Hintergrund läuft und echte Benutzer nicht verlangsamt. WPForms bietet auch integrierte CAPTCHA, wenn Sie es für Ihre Formulare verwenden.

WPForms reCAPTCHA Einstellungen Bildschirm zeigt Anti-Spam-Optionen für WordPress Formen

Sie werden es kaum bemerken, aber es filtert leise den Müll heraus, bevor er Sie erreicht.

6. Installieren Sie ein Sicherheits-Plugin

Ein gutes Sicherheits-Plugin arbeitet im Hintergrund, um Bedrohungen fernzuhalten, auch wenn Sie nicht angemeldet sind. Es kann verdächtigen Datenverkehr blockieren, nach Malware scannen und Sie warnen, wenn etwas ungewöhnlich aussieht.

Ich habe Wordfence, Sucuri und iThemes Security auf verschiedenen Websites verwendet. Alle haben kostenlose Versionen, die einen soliden Schutz bieten, und Sie können später immer noch ein Upgrade durchführen, wenn Sie mehr Funktionen benötigen.

Sie brauchen nicht alle, wählen Sie einfach eines aus und bringen Sie es zum Laufen. Die meisten Plugins führen Sie mit einem einfachen Assistenten durch die Einrichtung, und sobald es aktiv ist, sehen Sie Anmeldeberichte, Scanergebnisse und andere hilfreiche Updates.

Einen direkten Vergleich finden Sie in meiner Liste der besten WordPress-Sicherheits-Plugins.

7. Verwenden Sie eine benutzerdefinierte WooCommerce-Anmelde-URL

Die meisten WordPress-Websites verwenden die Standard-Anmeldeseite unter /wp-login.php oder /wp-admin, und Bots wissen genau, wo sie zu finden ist. Die Erstellung einer benutzerdefinierten Anmeldeseite hilft, automatisierte Angriffe abzuwehren, und verleiht Ihrem Shop ein professionelleres Erscheinungsbild.

Ich verwende SeedProd, um eine benutzerdefinierte Anmeldeseite zu erstellen, die zum Rest meiner Website passt. Sie ist einfach zu gestalten und funktioniert genau wie der reguläre Anmeldebildschirm, ohne an einer so offensichtlichen Stelle zu sein.

SeedProd-Editor, der eine benutzerdefinierte Vorlage für die WooCommerce-Anmeldeseite anzeigt

Wenn Sie eine einrichten möchten, erfahren Sie in dieser Anleitung , wie Sie Ihre WordPress-Admin-URL ändern können.

Setzen Sie ein Lesezeichen für Ihren neuen Anmeldelink, damit Sie den Zugang nicht verlieren.

8. Sichern Sie Ihre WooCommerce-Kasse

Die Kassenseite ist der Ort, an dem die Kunden ihre sensibelsten Informationen preisgeben. Wenn sie unsicher aussieht oder sich nicht sicher anfühlt, verlassen die Kunden die Seite, bevor sie ihren Kauf abgeschlossen haben.

Ich halte mich immer an vertrauenswürdige Zahlungsanbieter wie Stripe oder PayPal. Sie kümmern sich um die Einhaltung der Vorschriften, einschließlich Verschlüsselung und Betrugsprävention, sodass ich mir keine Sorgen um die Speicherung von Zahlungsdaten auf meiner Website machen muss.

Sie können sogar eine eigene Kassenseite mit zusätzlichen Funktionen erstellen.

Beispiel für eine mit SeedProd gestaltete WooCommerce-Kassenseite

Aber stellen Sie sicher, dass Ihre Checkout-Seite:

  • Verwendet HTTPS
  • Beinhaltet Trust Badges von Ihrem Zahlungsanbieter
  • Passt zum übrigen Design Ihrer Website

Vermeiden Sie Weiterleitungen oder Layout-Änderungen, die Besucher dazu veranlassen könnten, die Seite zu überdenken.

Tipps zur Einrichtung finden Sie hier: Wie man Stripe-Zahlungen in WordPress akzeptiert

9. Sichern Sie Ihre Website regelmäßig

Auch bei hoher Sicherheit kann immer noch etwas schief gehen. Ein fehlerhaftes Plugin-Update, ein einfacher Fehler oder ein Malware-Angriff kann Ihren Shop ohne Vorwarnung offline nehmen.

Aus diesem Grund gehören Backups zu meinen wichtigsten Sicherheitsvorkehrungen. Ich warte nicht, bis etwas kaputt geht, um mit der Datensicherung zu beginnen.

Ich verwende Duplicator, ein beliebtes WordPress-Backup-Plugin, um vollständige Backups zu erstellen. Es packt alles, Dateien, Datenbank und Einstellungen, in eine herunterladbare Datei.

Die Schnittstelle des Duplicator-Plugins zeigt die Einstellungen für die WordPress-Sicherungsdatei und den Speicherplatz

Ich speichere Backups immer extern, z. B. in Google Drive oder Dropbox, damit sie sicher sind, auch wenn mein Hosting-Server Probleme hat.

Für stark frequentierte Geschäfte sind tägliche Sicherungen am besten. Kleinere oder neuere Websites können in der Regel mit wöchentlichen Backups auskommen, solange sie regelmäßig durchgeführt werden.

Eine gute Sicherung bedeutet, dass Sie schnell wiederhergestellt werden können, ohne neu beginnen zu müssen.

Die vollständigen Schritte finden Sie in meiner Anleitung zum Sichern Ihrer WordPress-Website.

10. Die richtigen Benutzerrollen festlegen

Nicht jeder braucht vollen Zugriff auf Ihr WordPress-Dashboard. Die Vergabe von Admin-Rechten an die falsche Person, selbst wenn dies nur aus Versehen geschieht, kann zu ernsthaften Problemen wie gelöschten Inhalten oder Sicherheitsproblemen führen.

Ich weise die Rolle des Administrators nur Personen zu, denen ich voll und ganz vertraue und die alles verwalten. Für das Ladenpersonal verwende ich die Rolle "Shop Manager".

Sie gibt ihnen die Kontrolle über Bestellungen und Produkte, ohne dass sie Plugins oder Website-Einstellungen ändern können. Wenn jemand nur bei den Inhalten hilft, ist die Rolle des Redakteurs besser geeignet.

WordPress enthält standardmäßig mehrere Benutzerrollen, die jeweils eigene Berechtigungen haben. Wenn Sie von Anfang an die richtige Rolle wählen, wird Ihre Website sicherer und einfacher zu verwalten.

Beispiel für Benutzerrollen in WordPress

Ich überprüfe auch regelmäßig meine Benutzerliste. Wenn ich Konten sehe, die seit einiger Zeit nicht mehr benutzt wurden, entferne ich sie. Das ist eine der einfachsten Möglichkeiten, den Zugang einzuschränken.

Wenn Sie noch einen Schritt weiter gehen möchten, können Sie Teile Ihrer WordPress-Website mit einem Passwort schützen, um den Zugriff noch weiter einzuschränken.

11. wp-admin ausblenden + XML-RPC deaktivieren

Illustration eines geschützten WordPress-Anmeldebildschirms und einer zur Verhinderung von Angriffen blockierten XML-RPC-Funktion.

Zwei der häufigsten Ziele für automatisierte Angriffe sind die Anmeldeseite und eine WordPress-Funktion namens XML-RPC.

XML-RPC ist ein System, das WordPress verwendet, um Anwendungen und Dienste aus der Ferne mit Ihrer Website kommunizieren zu lassen, z. B. die WordPress Mobile App oder das Jetpack-Plugin. Leider wird es von Hackern oft ausgenutzt, um Ihre Website mit bösartigen Anfragen zu überlasten oder um einzubrechen.

Wenn Sie Ihre Anmeldeseite ausblenden und XML-RPC deaktivieren, wenn Sie es nicht verwenden, ist Ihre Website wesentlich schwerer angreifbar.

Ich verwende iThemes Security, um den Login-Bereich auszublenden und XML-RPC zu deaktivieren, ohne den Code zu verändern.

12. Überwachen Sie Ihre Website auf verdächtige Aktivitäten

Bei der Sicherheit geht es nicht nur darum, einmal etwas einzurichten. Man muss ein Auge darauf haben, was hinter den Kulissen passiert.

Ich erhalte E-Mail-Benachrichtigungen bei wichtigen Ereignissen wie fehlgeschlagenen Anmeldeversuchen oder Dateiänderungen. Sowohl Wordfence als auch Sucuri bieten dies an und benachrichtigen Sie sofort, wenn etwas Ungewöhnliches passiert.

Beispiel für eine E-Mail-Warnung bei fehlgeschlagenem Login-Versuch in WooCommerce

Es hilft auch, Ihren Traffic zu beobachten. MonsterInsights ist ein beliebtes Google-Analytics-Plugin für WordPress, mit dem Sie Ihre Besucher leicht verfolgen können. Es hilft, plötzliche Spitzen oder seltsame Verweisquellen zu erkennen, die auf Bot-Angriffe oder Spam hindeuten könnten.

Zur Absicherung lasse ich meine Website etwa einmal im Monat durch Google Safe Browsing und VirusTotal laufen. Diese Tools scannen nach Malware oder schwarzen Listen, sodass Sie bei Bedarf schnell handeln können.

13. Verstehen der PCI-Konformität

Wenn Sie Kreditkartenzahlungen akzeptieren, muss Ihr Geschäft die PCI-Vorschriften einhalten. Diese Standards schützen Zahlungsdaten und sorgen für die Sicherheit der Kunden.

Die gute Nachricht ist, dass Zahlungsanbieter wie Stripe und PayPal PCI Level 1-konform sind. Sie übernehmen den Großteil der Sicherheitsanforderungen für Sie.

Das bedeutet, dass Sie keine sensiblen Zahlungsinformationen auf Ihrer Website speichern müssen, was Ihr Risiko senkt.

Dennoch ist es wichtig, WooCommerce, Plugins und die Website auf dem neuesten Stand und sicher zu halten, um konform zu bleiben.

Bonus: Hinzufügen einer Seite mit Datenschutzrichtlinien und Nutzungsbedingungen

Eine Seite mit Datenschutzrichtlinien und Nutzungsbedingungen in Ihrem Shop schafft Vertrauen bei Ihren Kunden. Es zeigt, dass Sie ihre Daten ernst nehmen und die Regeln befolgen.

In den meisten Ländern sind diese Seiten gesetzlich vorgeschrieben, wenn Sie personenbezogene Daten erfassen oder Zahlungen abwickeln. Selbst wenn Sie gerade erst anfangen, schützt das Hinzufügen dieser Seiten Sie und Ihr Unternehmen.

Sie können diese Seiten ganz einfach mit WordPress-Vorlagen oder Plugins erstellen oder sie mit Online-Tools generieren.

Beispiel für eine WordPress-Datenschutzseite mit einfacher Rechtssprache und klarer Struktur

Eine anfängerfreundliche Anleitung finden Sie in meinem Beitrag über die Erstellung einer WordPress-Datenschutzrichtlinie.

FAQs zur Sicherheit von WooCommerce

Ist WooCommerce standardmäßig sicher?
WooCommerce selbst wurde mit Blick auf die Sicherheit entwickelt. Dennoch müssen Sie Aktualisierungen verwalten, ein sicheres Hosting verwenden und kontrollieren, wer auf Ihre Website zugreifen kann, damit alles sicher bleibt.
Brauche ich ein Sicherheits-Plugin, wenn ich ein sicheres Hosting habe?
Ja. Das Hosting schützt Ihren Server, aber ein Sicherheits-Plugin hilft, Ihre Anmeldung zu schützen, scannt nach Malware und überwacht verdächtige Aktivitäten auf Ihrer eigentlichen WordPress-Website.
Wie kann ich wissen, ob meine WooCommerce-Website gehackt wurde?
Zu den Anzeichen gehören unerwartete Änderungen an Ihrer Website, plötzlicher Rückgang des Datenverkehrs, verdächtige neue Benutzerkonten oder Warnungen von Ihrem Sicherheits-Plugin. Regelmäßige Überwachung und Sicherheitsscans können Ihnen helfen, Probleme frühzeitig zu erkennen.
Kann ich meinen WooCommerce-Shop auch ohne Plugins sichern?
Während einige grundlegende Schritte wie sichere Passwörter und die Verwendung eines guten Hosts keine Plugins erfordern, fügen Sicherheits-Plugins wertvolle Schutzfunktionen wie Malware-Scans, Firewall-Regeln und Login-Überwachung hinzu, die manuell nur schwer zu replizieren sind.

Letzte Tipps für die Sicherheit Ihres Geschäfts

Um Ihren WooCommerce-Shop zu sichern, brauchen Sie kein technisches Studium oder stundenlange Arbeit. Wenn Sie sich auf einige wenige Schlüsselbereiche konzentrieren, wie die Wahl eines zuverlässigen Hostings, die Verwendung von SSL, die Aktualisierung der Software und die Verwaltung des Benutzerzugriffs, können Sie die häufigsten Bedrohungen abwehren.

Ich verwende SeedProd gerne, weil es mir hilft, professionelle WooCommerce-Seiten schnell und problemlos zu erstellen. Wenn Sie das mit einem soliden Sicherheits-Plugin und regelmäßigen Backups kombinieren, wird Ihr Shop viel sicherer sein.

Wenn Sie schon hier sind, finden Sie vielleicht auch die folgenden WooCommerce-Anleitungen hilfreich:

Vielen Dank fürs Lesen! Wir würden uns freuen, Ihre Meinung zu hören. Bitte hinterlassen Sie einen Kommentar mit Ihren Fragen und Ihrem Feedback.

Sie können uns auch auf YouTube, X (früher Twitter) und Facebook folgen, um weitere hilfreiche Inhalte für Ihr Unternehmen zu erhalten.

Autorenavatar
Stacey Corrin Autorin
Stacey schreibt seit über 10 Jahren über WordPress und digitales Marketing und noch viel länger über andere Themen. Darüber hinaus ist sie fasziniert von Webdesign, Benutzererfahrung und SEO.

Offenlegung: Unser Inhalt wird von den Lesern unterstützt. Das heißt, wenn Sie auf einige unserer Links klicken, erhalten wir möglicherweise eine Provision. Wir empfehlen nur Produkte, von denen wir glauben, dass sie einen Mehrwert für unsere Leser darstellen.