Der f\u00fcr die Datenverarbeitung Verantwortliche legt fest, zu welchen Zwecken und mit welchen Mitteln personenbezogene Daten verarbeitet werden. Wenn dein Unternehmen\/deine Organisation also entscheidet, „warum“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es der f\u00fcr die Verarbeitung Verantwortliche. Die Mitarbeiter\/innen, die in deinem Unternehmen personenbezogene Daten verarbeiten, tun dies, um deine Aufgaben als Datenverantwortlicher zu erf\u00fcllen.<\/p><\/blockquote>\n
Eine Sicherheitsl\u00fccke in einer Website kann ein Unternehmen in existenzielles Bedr\u00e4ngnis bringen. Wer w\u00fcrde seine Kreditkartendaten einer unsicheren Website anvertrauen wollen? Und welcher Schaden w\u00fcrde f\u00fcr den Ruf deiner Marke entstehen, wenn die Daten deiner Kunden gestohlen und f\u00fcr illegale Zwecke verwendet w\u00fcrden?<\/p>\n
Kurz gesagt: Sicherheit ist f\u00fcr eine erfolgreiche E-Commerce-Website und ein erfolgreiches Unternehmen genauso wichtig wie die Leistung<\/a>. Vor diesem Hintergrund haben wir in diesem Artikel eine Liste von Sicherheitsma\u00dfnahmen und Best Practices zusammengestellt, die jeder E-Commerce-Betreiber anwenden sollte, um auf lokalen und internationalen M\u00e4rkten wettbewerbsf\u00e4hig zu bleiben und ernsthafte rechtliche Konsequenzen und Sch\u00e4den f\u00fcr sein Online-Gesch\u00e4ft zu vermeiden.<\/p>\n
<\/div><\/kinsta-auto-toc>\n 13 wichtige Sicherheitsrisiken f\u00fcr E-Commerce-Websites<\/h2>\n
Laut dem Trustwave Global Security Report 2020<\/a> sind traditionelle Einzelh\u00e4ndler und E-Commerce-Umgebungen<\/strong> mit rund 24% der gesamten Sicherheitsvorf\u00e4lle im Jahr 2019 die am st\u00e4rksten von Cybersecurity-Risiken betroffenen Branchen<\/strong>.<\/span><\/p>\n
Dies veranlasst uns, die Bedeutung der Sicherheit f\u00fcr E-Commerce-Websites zu betrachten, herauszufinden, welche Bedrohungen f\u00fcr ein Online-Gesch\u00e4ft drohen und welche Ma\u00dfnahmen die Betreiber von E-Commerce-Websites ergreifen m\u00fcssen, um die Transaktionen und Daten ihrer Kunden zu sch\u00fctzen.<\/p>\n
Um besser zu verstehen, welche Ma\u00dfnahmen und Best Practices ein Online-Unternehmer ergreifen muss, um seine Websites und E-Shops zu sichern, m\u00fcssen wir zun\u00e4chst die gef\u00e4hrlichsten Bedrohungen f\u00fcr E-Commerce-Websites verstehen.<\/p>\n
Auf der Grundlage der OWASP Top 10 Web Application Security Risks<\/a> haben wir die folgende, nicht ersch\u00f6pfende Liste der am weitesten verbreiteten Bedrohungen zusammengestellt, denen E-Commerce-Websites heute ausgesetzt sind.<\/p>\n
OWASP Top Ten f\u00fcr 2021 (Bildquelle: OWASP<\/a>)<\/figcaption><\/figure>\n <\/div><\/kinsta-auto-toc>\n 1. Malware und Ransomware<\/h3>\n
Es gibt viele Arten von Malware<\/a> und verschiedene Stufen von Sicherheitsbedrohungen. Hacker nutzen sie, um Ger\u00e4te zu hacken und Daten zu stehlen. Malware kann schwere finanzielle Sch\u00e4den verursachen und sogar ein ganzes Unternehmen ruinieren.<\/p>\n
Auch wenn die Folgen nicht immer so gravierend sind, k\u00f6nnen deine Kunden die Fehlermeldung „Diese Seite enth\u00e4lt Malware<\/a>“ oder „Diese Seite ist betr\u00fcgerisch“ oder \u00e4hnliches erhalten, was die Sichtbarkeit deiner Seite in den SERPs beeintr\u00e4chtigen und dein Markenimage ernsthaft sch\u00e4digen kann.<\/p>\n
Ransomware<\/a> ist eine Unterart von Malware. Kurz gesagt: Ransomware kapert ein Ger\u00e4t oder eine Website und verweigert den Zugriff auf die Dateien, bis das Opfer ein L\u00f6segeld f\u00fcr den Entschl\u00fcsselungsschl\u00fcssel zahlt.<\/p>\n
Aufgrund des hohen Risikos, das ein Malware-Angriff auf eine E-Commerce-Website haben kann, ist das regelm\u00e4\u00dfige Scannen deiner E-Commerce-Website<\/a> auf Malware-Infektionen f\u00fcr dein Unternehmen unerl\u00e4sslich.<\/p>\n
Unser Video-Leitfaden zu Malware<\/a><\/strong><\/p>\n
<\/kinsta-video>\n 2. Phishing<\/h3>\n
Phishing<\/a> ist eine Art Social-Engineering-Angriff<\/a>, der von Cyberkriminellen genutzt wird, um Malware zu verbreiten – meist \u00fcber E-Mails<\/a>.<\/p>\n
Ein Diagramm eines Phishing-Angriffs (Bildquelle: Cloudflare<\/a>)<\/figcaption><\/figure>\n Es handelt sich um einen Versuch, sensible Informationen wie Benutzernamen, Passw\u00f6rter, Kreditkarten- oder Bankkontodaten oder andere wichtige Daten zu stehlen, um sie in b\u00f6ser Absicht zu nutzen oder zu verkaufen. Normalerweise wird diese Art von Angriff \u00fcber Spam und andere Formen von betr\u00fcgerischen E-Mails oder Sofortnachrichten durchgef\u00fchrt.<\/p>\n
Das Phishing-Warnzeichen von Google (Bildquelle: FixMyWP<\/a>)<\/figcaption><\/figure>\n 3. DDoS-Angriffe<\/h3>\n
DDoS<\/a> ist die Kurzbezeichnung f\u00fcr Distributed Denial of Service. Dabei handelt es sich um einen Angriff<\/a>, bei dem eine Website mit einer gro\u00dfen Anzahl von Anfragen \u00fcberflutet wird, um den Server mit \u00fcberm\u00e4\u00dfigem Internetverkehr zu \u00fcberfordern<\/a> und die Website lahmzulegen. Die Folge ist, dass deine Website offline geht und die Bandbreitenkosten drastisch ansteigen. Dies kann auch zur Sperrung deines Hosting-Accounts f\u00fchren.<\/p>\n
Die MyKinsta-Dashboard-Analyse zeigt den Ressourcenverbrauch<\/figcaption><\/figure>\n 4. SQL-Injektion<\/h3>\n
SQL-Injection<\/a> ist ein Angriff, bei dem ein b\u00f6swilliger Akteur versucht, SQL-Anweisungen in eine Webanwendung zu injizieren. Wenn der Angriff erfolgreich ist, k\u00f6nnen sie auf die Datenbank deiner Website zugreifen und Daten lesen, \u00e4ndern oder l\u00f6schen.<\/p>\n
Ein Beispiel f\u00fcr eine SQL-Injection (Bildquelle: Cloudflare<\/a>)<\/figcaption><\/figure>\n 5. Cross-Site Scripting<\/h3>\n
Cross-Site Scripting<\/a> (XSS) ist ein Angriff, bei dem jemand b\u00f6sartigen Code in eine Website einschleust, der beim Laden der Seite ausgef\u00fchrt wird. Die Injektion erfolgt im Browser des Nutzers und zielt in der Regel darauf ab, sensible Informationen zu stehlen.<\/p>\n
Wie ein Cross-Site-Scripting-Angriff funktioniert (Bildquelle: Cloudflare<\/a>)<\/figcaption><\/figure>\n 6. Man-in-the-middle-Angriffe<\/h3>\n
Ein Man-in-the-Middle- (MitM) oder On-Path-Angriff<\/a> ist ein Cyberangriff, bei dem sich jemand mitten in die Kommunikation zwischen zwei Ger\u00e4ten (z. B. einem Webbrowser und einem Webserver) einschleust, um Informationen abzugreifen und\/oder sich als einer der beiden Agenten auszugeben und b\u00f6swillige Absichten zu verfolgen.<\/p>\n
7. Credential Stuffing<\/h3>\n
Credential Stuffing<\/a> ist ein Cyberangriff, bei dem der Angreifer die Zugangsdaten, die er durch eine Datenpanne bei einem Dienst oder einer Website erhalten hat, verwendet, um sich bei einem anderen Dienst oder einer anderen Website anzumelden. Diese Art von Angriff ist ein h\u00e4ufiges Risiko f\u00fcr Berufst\u00e4tige, die von zu Hause aus arbeiten<\/a>, und f\u00fcr Unternehmen, die von unterwegs arbeiten.<\/p>\n
Wie Credential Stuffing funktioniert (Bildquelle: Cloudflare<\/a>)<\/figcaption><\/figure>\n 8. Zero-Day-Exploits<\/h3>\n
Ein Zero-Day-Exploit<\/a> ist eine ungel\u00f6ste oder bisher unbekannte Sicherheitsl\u00fccke, f\u00fcr die es noch keine L\u00f6sung gibt. Zero-Day bedeutet, dass du null Tage Zeit hast, das Problem zu beheben, bevor es deinem Unternehmen ernsthaften Schaden zuf\u00fcgt.<\/p>\n
So f\u00fchren Hacker einen Zero-Day-Angriff durch (Quelle:<\/b> Norton<\/a>)<\/figcaption><\/figure>\n 9. E-Skimming<\/h3>\n
E-Skimming oder digitales Skimming<\/a> ist das Einschleusen von Schadsoftware in die Website eines Einzelh\u00e4ndlers mit dem Ziel, Zahlungsdaten w\u00e4hrend des Bezahlvorgangs zu stehlen. Dies ist auch als Magecart-Angriff<\/a> bekannt.<\/p>\n
Ein Diagramm, das beschreibt, wie ein MageCart-Angriff funktioniert (Bildquelle: Sucuri<\/a>)<\/figcaption><\/figure>\n 10. Brute-Force-Angriffe<\/h3>\n
Ein Brute-Force-Angriff<\/a> ist eine Versuch-und-Irrtum-Methode, um sensible Daten wie Anmeldedaten, API-Schl\u00fcssel und SSH-Anmeldedaten zu entschl\u00fcsseln. Ist ein Passwort erst einmal geknackt, kann es f\u00fcr den Zugang zu anderen Diensten verwendet werden, wenn du dieselben Anmeldedaten auf mehreren Websites verwendest (siehe Credential Stuffing<\/a>.)<\/p>\n
Die Verwendung von sicheren Passw\u00f6rtern<\/a>, die Aktivierung von Multi-Faktor-Authentifizierungssystemen<\/a> und die Verwendung eines robusten Passwortmanagers<\/a> sind bew\u00e4hrte Methoden, um diese Art von Cyberangriffen zu verhindern.<\/p>\n
11. Hintert\u00fcren<\/h3>\n
Eine Hintert\u00fcr<\/a> bietet eine M\u00f6glichkeit, ein Authentifizierungs- oder Verschl\u00fcsselungssystem zu umgehen, um sich automatisch bei einer Website, einem Ger\u00e4t oder einem Dienst anzumelden. Sobald eine Website oder ein Dienst angegriffen wurde, kann ein b\u00f6swilliger Akteur seine eigenen Hintert\u00fcren erstellen, um auf deine Website zuzugreifen, Daten zu stehlen und m\u00f6glicherweise deine gesamte Website zu zerst\u00f6ren.<\/p>\n
12. Social-Engineering-Angriffe<\/h3>\n
Social-Engineering-Angriffe<\/a> sind besonders gef\u00e4hrlich, weil sie Eigenschaften der menschlichen Natur ausnutzen: Vertrauen in andere, mangelndes Wissen, Unbehagen, wenn man gegen eine Anweisung verst\u00f6\u00dft, N\u00fctzlichkeitsdenken und so weiter. Die Grundlage des Social Engineering ist die psychologische Manipulation von Menschen mit dem Ziel, vertrauliche Informationen wie Passw\u00f6rter, Bankkontodaten und Finanzinformationen preiszugeben.<\/p>\n
Die g\u00e4ngigsten Kan\u00e4le f\u00fcr diese Art von Angriffen sind E-Mails, Chats, Telefonanrufe, soziale Netzwerke, Websites und andere. Der Angreifer kann diese Informationen dann nutzen, um andere Arten von Angriffen wie Cross-Site Request Forgery<\/a> durchzuf\u00fchren.<\/p>\n
Schau dir unseren Video-Leitfaden an, um alles \u00fcber CSRF-Angriffe zu erfahren<\/a><\/strong>
\n<\/kinsta-video><\/p>\n 13. Angriffe auf die Lieferkette<\/h3>\n
Bei einem Supply-Chain-Angriff<\/a> schleust ein Cyber-Angreifer normalerweise b\u00f6sartigen Code in die Software eines Anbieters ein, der mit einem Update verteilt werden soll.<\/p>\n
Obwohl sie nicht so weit verbreitet sind wie andere Backdoor-Angriffe, wurden Supply-Chain-Angriffe k\u00fcrzlich bei mehreren WordPress-Plugins entdeckt<\/a>.<\/p>\n
9 Best Practices zur Sicherung deiner E-Commerce-Website<\/h2>\n
Die Sicherung einer Website kann eine schwierige Aufgabe sein, wenn du nicht \u00fcber die richtigen Werkzeuge und F\u00e4higkeiten verf\u00fcgst, aber das muss keine Aufgabe f\u00fcr engagierte Ingenieure sein. Das Wichtigste ist, dass du dir der Schwachstellen bewusst bist und dich und dein Team \u00fcber die besten Methoden zum Schutz deiner E-Commerce-Website vor den h\u00e4ufigsten Bedrohungen informierst.<\/p>\n
Deine Aufgabe ist eine doppelte: Einerseits bist du f\u00fcr die Sicherung von WordPress und WooCommerce verantwortlich, bestimmst, wer auf die Plattform zugreifen darf, welche Plugins installiert werden m\u00fcssen, das Zahlungsgateway, das Authentifizierungssystem und alles, was mit der Wartung von WordPress, Plugins und Themen zu tun hat. Auf der anderen Seite brauchst du eine sichere und hochmoderne Infrastruktur. Hier kommt es auf die Qualit\u00e4t deines Webhosting-Dienstes an.<\/p>\n
Nat\u00fcrlich kann dich dein Webhosting-Anbieter nicht vor jeder Art von Bedrohung sch\u00fctzen. Es gibt Sicherheitsma\u00dfnahmen, die du und nur du als Website-Betreiber ergreifen kannst. Aber ein sicherer Hosting-Service<\/a>, der die Sicherheit deiner Website ernst nimmt, kann dir sehr helfen. Hier sind die wichtigsten sicherheitsrelevanten Merkmale, auf die du bei einem modernen Webhosting-Dienst achten solltest.<\/p>\n
<\/div><\/kinsta-auto-toc>\n 1. W\u00e4hle eine hochmoderne Hosting-Infrastruktur<\/h3>\n
Die Wahl der Hosting-Infrastruktur ist entscheidend f\u00fcr die Sicherheit deiner Website, den Ruf deiner Marke und letztendlich auch f\u00fcr den Erfolg deines Unternehmens. Du kannst zwischen verschiedenen Arten von Diensten w\u00e4hlen, die sich in Bezug auf die Infrastruktur und die angebotenen Leistungen erheblich unterscheiden:<\/p>\n
\n
- Shared Hosting<\/li>\n
- Dediziertes Hosting<\/li>\n
- VPS-Hosting<\/li>\n
- Cloud-Hosting<\/li>\n
- Verwaltetes WordPress-Hosting<\/li>\n<\/ul>\n
F\u00fcr eine E-Commerce-Website ist es entscheidend, sich auf eine sichere Infrastruktur zu verlassen. Wenn dir dein Gesch\u00e4ft am Herzen liegt, ist ein Shared Hosting<\/a> keine Option f\u00fcr dich, da es m\u00f6glicherweise nicht die Mindestsicherheitsstandards f\u00fcr eine erfolgreiche E-Commerce-Website garantiert.<\/p>\n
Dediziertes Hosting<\/a> kann stark angepasst und f\u00fcr die Sicherheit optimiert werden, erfordert aber m\u00f6glicherweise SysAdmin-Kenntnisse<\/a>, die f\u00fcr ein kleines oder mittleres Unternehmen schwer zu finden sind.<\/p>\n
Wenn du die Kontrolle \u00fcber dein Hosting ben\u00f6tigst, aber nicht \u00fcber gro\u00dfe technische Kenntnisse und\/oder Ressourcen verf\u00fcgst, kannst du dich f\u00fcr ein Virtual Private Server (VPS)-Hosting entscheiden, das irgendwo in der Mitte zwischen Shared Hosting und Dedicated Hosting liegt. Aber ein VPS hat auch einige Nachteile: Er ist m\u00f6glicherweise nicht in der Lage, hohe Verkehrsaufkommen oder Spitzen zu bew\u00e4ltigen, und die Leistung wird immer noch von anderen Websites auf dem Server beeinflusst.<\/p>\n
Ein Cloud-Hosting-Dienst<\/a> kann eine gute Option f\u00fcr dich sein, da er in der Regel \u00fcber verschiedene Sicherheitsma\u00dfnahmen verf\u00fcgt, um deine Websites zu sch\u00fctzen. Allerdings kann es schwierig sein, ihn zu konfigurieren und zu verwalten, wenn du nicht \u00fcber die n\u00f6tigen Kenntnisse verf\u00fcgst.<\/p>\n
Ein gemanagtes WordPress- und WooCommerce-Hosting<\/a> gibt dir Sicherheit, da du nicht f\u00fcr die Serverkonfiguration und -optimierung verantwortlich bist und du einen spezialisierten Supportservice und eine vereinfachte Installation und Wartung der Website hast.<\/p>\n
Ein Cloud-basierter Managed WordPress-Hosting-Dienst vereint die Vorteile beider Welten und kombiniert die schnelle und sichere Infrastruktur von Cloud-Diensten mit der Benutzerfreundlichkeit von Managed WordPress-Hosting-Diensten.<\/strong><\/p>\n
Kinsta-Hosting-Infrastruktur und technischer Stack<\/h4>\n
Wir bei Kinsta sind davon \u00fcberzeugt, dass wir die schnellste und sicherste Managed-WordPress-Hosting-L\u00f6sung geschaffen haben, die derzeit auf der Google Cloud Platform<\/a> verf\u00fcgbar ist.<\/p>\n
Google Cloud Regionen (Quelle: Google<\/a>)<\/figcaption><\/figure>\n Wir bieten C3D- und C2-Compute-optimierte VMs<\/a> in allen Tarifen, von Starter bis Enterprise und dar\u00fcber hinaus, in den Regionen an, in denen sie verf\u00fcgbar sind. Au\u00dferdem nutzen wir die sichere Infrastruktur von Google<\/a>, die eine Firewall auf Unternehmensniveau enth\u00e4lt, um b\u00f6sartigen Datenverkehr herauszufiltern, bevor er auf deine Website gelangt.<\/p>\n
Dar\u00fcber hinaus haben wir einen schnellen und sicheren technischen Stack aufgebaut, der auf Nginx, MariaDB, PHP 8.4, LXD Containern und unserer Integration von Cloudflare Enterprise basiert, die zus\u00e4tzliche Sicherheit bietet, einschlie\u00dflich einer Firewall, DDoS-Schutz und vielem mehr. Dieser Stack ist f\u00fcr alle unsere Kunden verf\u00fcgbar, unabh\u00e4ngig von ihrem Tarif.<\/p>\n
Wir verwenden Linux-Container (LXC) und LXD, um sie auf der Google Cloud Platform (GCP) zu orchestrieren und so eine vollst\u00e4ndige Isolierung f\u00fcr jede einzelne WordPress-Website zu gew\u00e4hrleisten. Auf Kinsta teilt deine Website keine Ressourcen mit anderen Websites, auch nicht mit anderen Websites in deinem Account.<\/strong><\/p>\n
Ein Diagramm der WordPress-Hosting-Infrastruktur von Kinsta<\/figcaption><\/figure>\n In diesem Beitrag erf\u00e4hrst du mehr \u00fcber unsere hochmoderne isolierte Container-Technologie<\/a>.<\/p>\n
2. Verwende eine Web Application Firewall<\/h3>\n
Eine Web Application Firewall<\/a> (WAF) ist ein Schutzschild, das b\u00f6sartige Verbindungen zu deiner Website herausfiltert und deine WordPress-Website sicher macht<\/a>.<\/p>\n
Eine direkte Verbindung zwischen zwei Computern im Internet, z. B. zwischen deinem Computer und einem Webserver, ist nicht sicher, wenn du keine Firewall dazwischen schaltest. Ein b\u00f6swilliger Akteur k\u00f6nnte deine Website mit einer Art Malware<\/a> infizieren oder einen DDoS-Angriff<\/a> starten.<\/p>\n
An dieser Stelle kommt eine Web Application Firewall<\/a> ins Spiel. Sie pr\u00fcft jede einzelne Verbindungsanfrage zu deiner Website und blockiert potenziell b\u00f6sartige Zugriffsversuche.<\/p>\n
Eine WAF ist f\u00fcr deine Website unverzichtbar, egal ob du zum ersten Mal bloggst oder ein erfolgreicher Unternehmer bist. Bei E-Commerce-Websites ist der Einsatz einer Web Application Firewall unerl\u00e4sslich, denn eine ungesch\u00fctzte Website ist eine leichte Beute f\u00fcr Hacker und andere b\u00f6swillige Akteure.<\/p>\n
Ohne eine Web Application Firewall kann ein Hacker leicht die Kontrolle \u00fcber deine Website \u00fcbernehmen, Anmeldedaten \u00e4ndern, Daten stehlen oder zerst\u00f6ren, sie ruinieren und jede Art von illegalen Aktivit\u00e4ten durchf\u00fchren. M\u00f6glicherweise k\u00f6nnte er deine Website sogar ganz ausl\u00f6schen. Dar\u00fcber hinaus w\u00e4re deine Website anf\u00e4lliger f\u00fcr DDoS- und Brute-Force-Angriffe.<\/p>\n
Um deine Website mit einer WAF zu sch\u00fctzen, musst du keine zus\u00e4tzliche Software auf deinem Server installieren und konfigurieren. Verschiedene Cloud-basierte Optionen wie Cloudflare<\/a>, Sucuri<\/a> und WordFence<\/a> lassen sich in wenigen Minuten auf deinem Server einrichten.<\/p>\n
Alle von Kinsta gehosteten Websites sind durch Cloudflare gesch\u00fctzt<\/h4>\n
Zus\u00e4tzlich zu dem IP-basierten Schutz, den wir mit der Google Cloud Platform-Firewall bieten, profitieren alle von Kinsta gehosteten Websites von unserer Cloudflare-Integration<\/a>, die eine Web Application Firewall auf Unternehmensniveau mit benutzerdefinierten Regeln und kostenlosem DDoS-Schutz umfasst.<\/p>\n
Dank unserer Cloudflare-Integration<\/a> musst du keine WAF manuell einrichten, denn deine Website ist automatisch hinter der Firewall von Cloudflare gesch\u00fctzt, unabh\u00e4ngig davon, welchen Tarif du abonnierst.<\/p>\n
Wie eine Web Application Firewall funktioniert (Bildquelle: Cloudflare<\/a>)<\/figcaption><\/figure>\n 3. Installiere ein SSL-Zertifikat<\/h3>\n
SSL ist ein Protokoll<\/a>, das zur Verschl\u00fcsselung und Authentifizierung der Daten verwendet wird, die zwischen einer Client-Anwendung und einem Webserver \u00fcbertragen werden. Wenn du eine E-Commerce-Website betreibst, ist ein SSL-Zertifikat f\u00fcr deine Website und dein Unternehmen unerl\u00e4sslich, da es Datenverschl\u00fcsselung, Website-Authentifizierung, Datenintegrit\u00e4t und das Vertrauen der Nutzer\/innen sicherstellt.<\/p>\n
Au\u00dferdem verbessert ein SSL-Zertifikat das Suchmaschinen-Ranking, da Suchmaschinen SSL-verschl\u00fcsselte Websites bevorzugen. Wenn du eine Chance haben willst, auf der ersten Seite von Google gelistet zu werden, brauchst du ein g\u00fcltiges SSL-Zertifikat<\/a> mit HTTPS-Verschl\u00fcsselung<\/a>.<\/p>\n
SSL-Zertifikate bei Kinsta<\/h4>\n
Wenn deine Website bei Kinsta gehostet wird, musst du dich nicht mit all den technischen Feinheiten befassen, die ein SSL normalerweise erfordert. Unsere Kunden k\u00f6nnen die Vorteile unserer Cloudflare-Integration nutzen, die automatische SLL-Zertifikate f\u00fcr alle WordPress-Websites beinhaltet. Dazu geh\u00f6ren auch Wildcard-SSL-Zertifikate<\/a>, was bedeutet, dass dein SSL auch alle Subdomains abdeckt, die mit deiner Hauptdomain verbunden sind. Und wenn du bereits eines hast, kannst du auch dein eigenes SSL-Zertifikat installieren.<\/p>\n
Cloudflare SSL-Zertifikate sind f\u00fcr alle unsere Kunden kostenlos, unabh\u00e4ngig von ihrem Tarif.<\/strong><\/p>\n
Wenn du einen genaueren Einblick in die Kinsta WordPress SSL-Zertifikate haben m\u00f6chtest, schau dir unsere Online-Dokumente<\/a> an.<\/p>\n
Schau dir unseren Video-Leitfaden zur Auswahl des richtigen SSL-Zertifikats f\u00fcr deine Website an<\/a><\/strong>
\n<\/kinsta-video><\/p>\n 4. Verwende sichere SFTP- und SSH-Verbindungen<\/h3>\n
Um ein manuelles Backup deiner WordPress-Website zu erstellen oder ein Plugin oder Theme manuell hochzuladen, musst du \u00fcber einen FTP-Client<\/a> auf das Dateisystem der Website zugreifen. Ein FTP-Client unterst\u00fctzt in der Regel sowohl FTP- als auch SFTP-Verbindungen, aber du solltest dich nur auf SFTP verlassen<\/a>, das einen sicheren Kanal zur \u00dcbertragung von Dateien \u00fcber SSH<\/a> nutzt. Das macht einen gro\u00dfen Unterschied zu normalen FTP-Verbindungen.<\/p>\n
Einstellung des SFTP-Protokolls in Filezilla<\/figcaption><\/figure>\n Kinsta unterst\u00fctzt nur SFTP\/SSH-Verbindungen<\/h4>\n
Da SFTP eine sicherere Methode ist, unterst\u00fctzt Kinsta nur SFTP-Verbindungen.<\/strong><\/p>\n
Details zu SFTP\/SSH findest du in deinem MyKinsta-Dashboard unter WordPress Websites <\/strong>> Sitename <\/strong>> Umgebung <\/strong>> Info<\/strong>.<\/p>\n
Anmeldedaten f\u00fcr die SFTP-Umgebung in MyKinsta<\/figcaption><\/figure>\n Du solltest niemals identische Anmeldedaten f\u00fcr mehrere Dienste und Website-Umgebungen verwenden. Aus diesem Grund hat bei Kinsta jede einzelne Website-Umgebung – Staging oder Production – eigene Datenbank- und SFTP\/SSH-Zugangsdaten<\/a>.<\/p>\n
5. Unterst\u00fctzte PHP-Versionen verwenden<\/h3>\n
Jede PHP-Version wird normalerweise f\u00fcr zwei Jahre unterst\u00fctzt. Nur unterst\u00fctzte Versionen erhalten Leistungs- und Sicherheitsupdates. Die Verwendung nicht unterst\u00fctzter PHP-Versionen verringert die Leistung und erh\u00f6ht das Risiko von Sicherheitsl\u00fccken.<\/p>\n
Ab August 2024 sind die offiziell unterst\u00fctzten PHP-Versionen PHP 8.1, 8.2 und 8.3.<\/p>\n
Unterst\u00fctzte PHP-Versionen (Quelle PHP.net<\/a>)<\/figcaption><\/figure>\n Zum Zeitpunkt der Erstellung dieses Artikels erhalten alle PHP-Versionen vor 8.1 keine Sicherheitsupdates. Das hei\u00dft, wenn du PHP 8.0 oder fr\u00fcher verwendest, ist deine Website Sicherheitsl\u00fccken ausgesetzt, die nicht behoben werden.<\/strong><\/p>\n
Der WordPress-Kern besteht aus PHP. Auch Plugins basieren auf PHP, und WooCommerce ist da keine Ausnahme. Wenn dein E-Commerce auf WordPress basiert, ist die Verwendung einer unterst\u00fctzten PHP-Version<\/a> entscheidend f\u00fcr den Erfolg deines Online-Shops.<\/p>\n
Die neuesten PHP-Versionen bieten nicht nur mehr Sicherheit, sondern auch eine bessere Leistung. Du kannst die Geschwindigkeit deiner Website erh\u00f6hen<\/a>, indem du einfach auf die neueste PHP-Version umsteigst.<\/p>\n
Kinsta erlaubt nur unterst\u00fctzte PHP-Versionen<\/h4>\n
Wenn du benutzerdefinierte Plugins verwendest, die nicht mit den unterst\u00fctzten PHP-Versionen kompatibel sind, kann dies zus\u00e4tzlichen Entwicklungsaufwand bedeuten. Unsere Hauptverantwortung liegt jedoch darin, maximale Sicherheit f\u00fcr deine Websites und unsere gesamte Infrastruktur zu gew\u00e4hrleisten. Aus diesem Grund erlaubt Kinsta die Verwendung nicht unterst\u00fctzter PHP-Versionen nicht<\/strong>.<\/p>\n
Kinsta-Kunden k\u00f6nnen die PHP-Version ihrer WordPress-Website in MyKinsta \u00e4ndern. Navigiere zu deiner Website-Konfiguration und w\u00e4hle im linken Men\u00fc Tools<\/strong>. Scrolle auf der Seite nach unten und finde die PHP-Engine<\/strong>. Klicke auf die Schaltfl\u00e4che \u00c4ndern<\/strong> und w\u00e4hle die PHP-Version f\u00fcr deine Website aus.<\/p>\n
PHP-Engine in MyKinsta \u00e4ndern<\/figcaption><\/figure>\n 6. Aktiviere die Zwei-Faktor-Authentifizierung<\/h3>\n
Die Verwendung von sicheren Passw\u00f6rtern zum Schutz deiner Website und deines Hosting-Kontos reicht m\u00f6glicherweise nicht aus, um deine E-Commerce-Website zu sch\u00fctzen. Die Verwendung eines Multi-Faktor-Authentifizierungssystems<\/a> wird dringend empfohlen.<\/p>\n
Die Multi-Faktor-Authentifizierung ist ein Authentifizierungssystem, bei dem der Nutzer, der auf den Dienst zugreift, zwei oder mehr Nachweise seiner Identit\u00e4t erbringen muss. Dies kann auf unterschiedliche Weise geschehen: Biometrische Daten wie Fingerabdr\u00fccke, eine Authentifizierungs-App, eine E-Mail, eine SMS, ein Hardware-Token und mehr.<\/p>\n
Wenn es um deine E-Commerce-Website geht, solltest du die Authentifizierungssicherheit erh\u00f6hen, indem du die Zwei-Faktor-Authentifizierung<\/a> (2FA) sowohl auf deinem Hosting-Service als auch auf deiner WordPress-Website aktivierst.<\/p>\n
Aktiviere 2FA mit Kinsta<\/h4>\n
Zus\u00e4tzlich zur Verwendung eines sicheren Passworts f\u00fcr MyKinsta empfehlen wir, die Zwei-Faktor-Authentifizierung zu aktivieren und alle Nutzer\/innen in deinem Unternehmen aufzufordern, dasselbe zu tun. Wenn 2FA aktiviert ist, wird bei allen Anmeldeversuchen bei MyKinsta ein zus\u00e4tzlicher Verifizierungscode von einer Authenticator-App (z. B. Google Authenticator) auf deinem Telefon oder einer Passwortverwaltungs-App verlangt.<\/p>\n
Um 2FA in MyKinsta zu aktivieren, klicke oben rechts auf deinen Namen und w\u00e4hle Benutzereinstellungen<\/strong>. In Mein Konto<\/strong> scrollst du die Seite nach unten zum Abschnitt Zwei-Faktor-Authentifizierung<\/strong>. Klicke auf die Schaltfl\u00e4che „Umschalten“ und scanne den QR-Code in deiner Authentifizierungs-App, gib den 6-stelligen Code ein, den du in der App siehst, und schon bist du fertig.<\/p>\n
Zwei-Faktor-Authentifizierung in MyKinsta<\/figcaption><\/figure>\n Beachte, dass Kinsta die SMS-basierte 2FA nicht mehr unterst\u00fctzt, da sie anf\u00e4llig f\u00fcr telefonbasierte Angriffe<\/a> und weniger sicher ist als ein zeitbasierter Token. Bei einer k\u00fcrzlich erfolgten Datenpanne bei Authy<\/a> wurden 33 Millionen Telefonnummern von Kunden preisgegeben, was die Gefahr von SMS-Phishing- und SIM-Swapping-Angriffen erh\u00f6ht.<\/p>\n
Kinsta unterst\u00fctzt die SMS-Authentifizierung nicht mehr<\/figcaption><\/figure>\n Mehr \u00fcber 2FA auf Kinsta erf\u00e4hrst du in unserer Dokumentation<\/a>.<\/p>\n
Aktiviere 2FA mit WordPress<\/h4>\n
Vielleicht m\u00f6chtest du auch die Zwei-Faktor-Authentifizierung auf deiner E-Commerce-Website aktivieren. WordPress unterst\u00fctzt 2FA nicht von Haus aus, aber du kannst diese Funktion mit einem der folgenden Plugins schnell und einfach zu deiner Website hinzuf\u00fcgen:<\/p>\n
\n
- Zwei-Faktor-Authentifizierung<\/a><\/li>\n
- Google Authenticator<\/a><\/li>\n<\/ul>\n
7. Core-, Plugin- und Theme-Updates<\/h3>\n
Zus\u00e4tzlich zu den WordPress-Kernversionen werden regelm\u00e4\u00dfig neue Sicherheitsupdates ver\u00f6ffentlicht, sobald eine neue Sicherheitsl\u00fccke entdeckt wird. Das Gleiche gilt f\u00fcr Themes und Plugins.<\/p>\n
Um deine WordPress-Website zu sch\u00fctzen, musst du deine gesamte WordPress-Website auf dem neuesten Stand halten, um Sicherheitsl\u00fccken zu vermeiden.<\/p>\n
In deinem WordPress-Dashboard kannst du unter Dashboard<\/strong> > Updates<\/strong> automatische Core-Updates<\/a> f\u00fcr alle WordPress-Versionen oder nur f\u00fcr Wartungs- und Sicherheitsversionen aktivieren.<\/p>\n
Du kannst auch automatische Updates f\u00fcr Themes und Plugins verwalten.<\/p>\n
Automatische Plugin-Updates aktivieren\/deaktivieren<\/figcaption><\/figure>\n Automatische Plugin-Updates aktivieren\/deaktivieren<\/figcaption><\/figure>\n Beachte, dass du ab WordPress 6.6<\/a> die automatischen Updates<\/a> f\u00fcr deine Plugins im Falle eines Fehlers zur\u00fccksetzen kannst.<\/p>\n
Wenn du es vorziehst, kannst du diese Funktion deaktivieren und die Updates selbst durchf\u00fchren, aber die Aktualisierung einer gro\u00dfen Anzahl von Websites kann eine zeitaufw\u00e4ndige und langweilige Aufgabe sein. Deshalb greifen viele Agenturen auf Tools von Drittanbietern zur\u00fcck, mit denen sie die Updates f\u00fcr alle ihre WordPress-Websites von einer einzigen externen Umgebung aus verwalten k\u00f6nnen.<\/p>\n
Kinsta-Kunden m\u00fcssen nicht f\u00fcr Drittanbieterdienste bezahlen, um ihre Updates in gro\u00dfen Mengen zu verwalten, denn sie k\u00f6nnen die Funktion f\u00fcr Massenupdates nutzen, die im MyKinsta-Dashboard verf\u00fcgbar ist.<\/p>\n
WordPress-Updates mit Kinsta<\/h4>\n
Du kannst die Themes und Plugins deiner WordPress-Webseite direkt von MyKinsta aus verwalten. Navigiere in deinem Dashboard zu WordPress-Websites<\/strong> > Sitename<\/strong> > Themes und Plugins<\/strong>. Hier kannst du ein oder mehrere Plugins oder Themes ausw\u00e4hlen und sie einzeln oder in gro\u00dfen Mengen aktualisieren<\/a>.<\/p>\n
Plugins in MyKinsta in gro\u00dfen Mengen aktualisieren<\/figcaption><\/figure>\n Wenn du ein Update von MyKinsta aus durchf\u00fchrst, wird ein vom System erstelltes Backup erstellt, sodass du den Vorgang 2 Stunden lang r\u00fcckg\u00e4ngig machen kannst, falls das Update fehlschl\u00e4gt. Das gibt dir zus\u00e4tzliche Sicherheit und beruhigt dich, wenn du deine Plugins oder Themes aktualisieren musst.<\/p>\n
Ein vom System erstelltes Backup wird erstellt, wenn du deine Plugins aktualisierst<\/figcaption><\/figure>\n Du kannst auch Bulk-Updates f\u00fcr mehrere WordPress-Websites auf einmal durchf\u00fchren. W\u00e4hle in deinem MyKinsta-Dashboard WordPress-Websites<\/strong>. Dort w\u00e4hlst du eine oder mehrere Websites aus, klickst rechts auf die Schaltfl\u00e4che Aktionen<\/strong> und w\u00e4hlst dann die Massenaktion aus, die du durchf\u00fchren m\u00f6chtest. Wenn du Plugins aktualisieren willst, klicke auf den entsprechenden Men\u00fcpunkt. In einem Pop-up-Fenster wird eine Liste der Plugins angezeigt, f\u00fcr die eine Aktualisierung verf\u00fcgbar ist.<\/p>\n
W\u00e4hle die zu aktualisierenden Plugins aus und warte ein paar Sekunden. Ein Pop-up-Fenster teilt dir mit, ob der Vorgang erfolgreich abgeschlossen wurde.<\/p>\n
Wenn die Aktualisierung fehlschl\u00e4gt, navigiere zu Sitename<\/strong> > Backups<\/strong> > System-generated<\/strong> page in MyKinsta und stelle das letzte Backup wieder her.<\/p>\n
Vom System erstellte Backups im MyKinsta-Dashboard<\/figcaption><\/figure>\n Und was noch viel besser ist: Du kannst alle diese Vorg\u00e4nge zuerst in einer Staging-Umgebung<\/a> durchf\u00fchren und dann ohne Risiko auf die Live-Umgebung \u00fcbertragen<\/a>.<\/p>\n
Auf Kinsta kannst du Themes und Plugins f\u00fcr alle deine WordPress-Websites bequem und ohne Risiko von einer einzigen Seite aus aktualisieren. Perfekt f\u00fcr Agenturen, die viele Websites an einem Ort verwalten.<\/strong><\/p>\n
8. Backups<\/h3>\n
Wenn ein Update schief geht oder eine Website aufgrund einer Sicherheitsl\u00fccke kompromittiert oder komplett gel\u00f6scht wird, kann ein Backup dein Leben retten<\/a>. Wenn dein Hoster kein automatisches Backup-System anbietet, kannst du immer auf ein WordPress-Plugin zur\u00fcckgreifen. Wir empfehlen, ein WordPress-Plugin zu verwenden, das inkrementelle Backups<\/a> erstellt: So kannst du ein Backup deiner Website erstellen, ohne Speicherplatz zu verlieren oder die Leistung der Website zu beeintr\u00e4chtigen.<\/p>\n
Ein Webhosting-Service, der sich wirklich um deine E-Commerce-Website k\u00fcmmert, sollte jedoch regelm\u00e4\u00dfige WordPress-Backups anbieten. Kinsta bietet sechs verschiedene Arten von Backups an.<\/strong><\/p>\n
Die sechs Arten von Backups bei Kinsta<\/h4>\n
Wir bieten t\u00e4gliche automatische WordPress-Backups<\/strong> sowie systemgenerierte Backups<\/strong> f\u00fcr alle WordPress-Websites. Diese Backups sowie manuelle Backups<\/strong> sind als Wiederherstellungspunkte in MyKinsta verf\u00fcgbar. Du kannst auch einmal pro Woche manuell ein herunterladbares Backup<\/strong> erstellen.<\/p>\n
Du kannst deine Backups in deinem MyKinsta-Dashboard unter WordPress Websites <\/strong>> Sitename<\/strong> > Backups<\/strong> durchsuchen. Hier kannst du dein Backup<\/a> mit einem einzigen Klick in einer Umgebung deiner Wahl wiederherstellen.<\/p>\n
Wiederherstellung eines Backups in einer Staging-Umgebung in MyKinsta<\/figcaption><\/figure>\n Wenn du deine E-Commerce-Website mehrmals am Tag aktualisierst und mehr Backups ben\u00f6tigst, kannst du ein Add-on f\u00fcr st\u00fcndliche Backups<\/a> erwerben.<\/p>\n
![\"OWASP](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/owasp-top-ten.png\")
![\"Ein](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/phishing-attack-1.png\")
![\"Das](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/09\/phising-attack-ahead.png\")
![\"MyKinsta-Dashboard-Analyse](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/mykinsta-analytics.png\")
![\"Ein](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sql-injection-1.png\")
![\"Cross-Site-Scripting-Angriff\"](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/xss-attack-1.png\")
![\"Credential-Stuffing-Schema\"](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/credential-stuffing.png\")
![\"Wie](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/11\/Untitled-8.jpg\")
![\"MageCart-Diagramm\"](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/magecart-diagram-1.jpg\")
![\"Google](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/google-cloud-regions.jpg\")
![\"Ein](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/11\/Kinsta-WordPress-hosting-architecture.jpg\")
![\"Cloudflare](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/cloudflare-waf.png\")
![\"Einstellung](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sftp.jpg\")
![\"Anmeldedaten](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sftp-credentials-mykinsta.jpg\")
![\"Unterst\u00fctzte](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/supported-php-versions.png\")
![\"PHP-Engine](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/modify-php-engine-mykinsta.jpg\")
![\"Zwei-Faktor-Authentifizierung](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/2fa-mykinsta.jpg\")
![\"Kinsta](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sms-authentication-not-supported.jpg\")
![\"Automatische](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/plugins-screen.jpg\")
![\"Automatische](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/theme-details.jpg\")
![\"Plugins](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/update-plugins.jpg\")
![\"Ein](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/plugin-bulk-update-backup.jpg\")
![\"Vom](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/system-generated-backups.jpg\")
![\"T\u00e4gliche](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/daily-backups.jpg\")