OnlineShop a lá WordPress – Gastbeitrag von Mehmet Karaca
Zuletzt aktualisiert am 16. September 2019 um 08:31 Uhr
Einen Shop mit WordPress aufzusetzen ist kein Hexenwerk. Allerdings sollte man ein paar Dinge berücksichtigen. Mein Kollege Mehmet Karaca von der Agentur Provendum beschreibt in diesem Gastbeitrag, worauf man achten sollte wenn man mit WordPress einen Shop einrichtet.
Viele Kleinunternehmer möchten heutzutage digital durchstarten. Wie Michaela und ich oft erfahren, setzen viele Unternehmen auf WordPress und dessen fertige Shoplösungen. Doch was viele nicht beachten sind die rechtlichen Anforderungen an einen OnlineShop und das Thema WordPress Sicherheit.
Bevor ich mehr über das Thema Sicherheit schreibe und auf die rechtlichen Anforderungen eines OnlineShops in Deutschland eingehe, möchte ich Ihnen einen Rat geben:
Wenn Sie mit WordPress Ihren OnlineShop aufbauen und keine oder wenig HTML & CSS Kenntnisse haben, empfehle ich Ihnen diese drei elementaren Erweiterungen (kostenpflichtig):
- WooCommerce German Market
- Ein Theme von MarketPress.de
- WooCommerce Print Invoice & Delivery Note
Zu diesem Plugin gibt es einen kleinen Beitrag auf „marketpress.de“.
Eine günstigere Alternative zu MarketPress ist „vendidero.de“. Hier finden Sie auch die drei Grundelemente für Ihren OnlineShop.
Für den Punkt 3 Ihrer Grundausstattung gibt es zahlreiche weitere Plugins. Es empfiehlt sich, diese individuell auszuprobieren. Die eine „wahre“ Lösung gibt es dafür nicht.
Ich persönlich habe bislang mit MarketPress sehr gute Erfahrungen machen können. Kleine Anpassungen zum Thema Rechtssicherheit müssen aber ggf. manuell vorgenommen werden.
WordPress – aber bitte sicher!
Haben Sie sich schon mal Gedanken darüber gemacht, wie sicher Ihre WordPress Installation ist?
Nein? Dann besteht Handlungsbedarf.
Wenn Sie mit einem OnlineShop Geld verdienen wollen dann müssen Sie das Vertrauen Ihrer Käufer gewinnen. Keiner würde ein Haus bauen und beim Bau mit dem Dach beginnen! So ist es mit WordPress und einer Shoplösung!
Bevor Sie WordPress installieren, gehen Sie die wp-config.php an. Hier füllen Sie alle wichtigen Informationen aus. Bitte achten Sie darauf, sichere Passwörter zu verwenden! Sichere Passwörter sind nicht: meinnameisthase123 sondern wirklich ein längeres und schwieriges Wort. Fällt Ihnen nichts ein, gibt es ein Tool, das Ihnen auf die Sprünge helfen kann namens passwordsgenerator.net (bitte nicht die Passwörter eins zu eins übernehmen – fügen Sie hinzu, löschen Sie etwas heraus).
Im nächsten Schritt gehen Sie weiter nach unten. Der wichtige Punkt nennt sich hierbei Sicherheitsschlüssel und ist versteckt! Hier der Link, wie Sie Ihren eigenen Code generieren lassen können. Diesen tragen Sie einfach ein und scrollen weiter nach unten.
Der letzte Schritt, den Sie vornehmen müssen, ist die Änderung des Datenbanktabellen-Präfix. Geben Sie hier nur Buchstaben und Zahlen ein. Je individueller desto besser. Ich zum Beispiel tippe dafür blind verschiedene Tasten auf meiner Tastatur – vielleicht hilft es Ihnen auch. Achten Sie bitte darauf, den Unterstrich nach wp_ nicht zu löschen.
Jetzt können Sie schon einmal sicher den WordPress Ordner auf Ihren Server hochladen. Nicht zu empfehlen sind die One-Click-Lösungen der verschiedenen Hoster, da diese oft modifizierte WordPress-Dateien ausliefern.
WordPress – aber bitte sicher – the next please!
Nachdem Sie WordPress hochgeladen und die Installation durchgeführt haben, gehen Sie zurück auf Ihren FTP (noch besser wäre SFTP) Zugang und öffnen Sie die .htaccess-Datei. Dort tragen Sie einfach noch folgenden Zeilencode ein.
# Zugriff auf wp-config.php verbieten <files wp-config.php> Order deny,allow deny from all </files>
Mit diesem kleinen Code verbieten Sie den Zugriff auf die wp-config.php. Als nächstes erstellen Sie mit einem Text-Editor (z.B. TextEdit oder NotePad – Microsoft Word ist KEIN Text-Editor) eine robots.txt-Datei und fügen folgenden Zeilencode hinzu:
Sitemap: http://deinedomain.de/sitemap_index.xml User-agent: Googlebot-Image Disallow: Allow: /* User-agent: duggmirror Disallow: / User-agent: * Disallow: /cgi-bin/ Disallow: /wp-admin/ Disallow: /trackback/ Disallow: /feed/ Disallow: /comments/ Disallow: /category/ Disallow: /tag/ Disallow: */trackback/ Disallow: */feed/ Disallow: */comments/
Speichern Sie die Datei ab und laden Sie diese in Ihr Hauptverzeichnis hoch – fertig. Als nächstes kümmern Sie sich um das Wichtigste Element eines Online-Shops – Das Sicherheitszertifikat.
HTTPS – mit WordPress – ohne S kein WP-Shop!
Sie sollten, wenn Sie einen OnlineShop betreiben, auf jeden Fall zu Ihrem Hostingpaket ein SSL-Zertifikat dazu buchen. Ohne ein SSL-Zertifikat sollte kein OnlineShop geführt werden.
Das SSL-Zertifikat verschlüsselt die sensiblen Daten Ihrer Kunden, macht Ihren Shop noch ein bisschen sichererer und verbessert Ihre Auffindbarkeit in Google.
Sobald Sie SSL für Ihre Domain eingerichtet haben, geben Sie WordPress zu verstehen, dass in Zukunft alles über SSL zu erreichen ist. Sie fügen in Ihre .htaccess-Datei folgenden Code hinzu:
# Weiterleitung HTTPS RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] <strong>Und auf der wp-config.php fügen Sie folgenden Code hinzu:</strong> define('FORCE_SSL_ADMIN', true);
Und ganz am Schluss gehen Sie in Ihrem WordPress Dashboard auf den Punkt Einstellungen > Allgemein und hinterlegen Ihre neue WordPress-Adresse und Website-Adresse.
Jetzt ist Ihre Seite per SSL geschützt und auch die wp-config.php richtig eingestellt. Wenn Sie alles richtig gemacht haben, müsste im Browser Chrome Ihre Website wie folgt aussehen:
Außerdem empfehle ich Ihnen mindestens vier weitere Einträge vorzunehmen. Dafür müssen Sie über FTP den Theme-Ordner Ihres verwendeten Themes öffnen. In diesem Ordner (unter wp-content/themes) sollte eine functions.php zu finden sein.
Dort fügen Sie nach der Zeile 1 – <?php folgende Codes ein:
/* Backend-Editieren verbieten */ define('DISALLOW_FILE_EDIT', true); /* WP-Nummer verstecken */ function no_generator() { return ''; } add_filter( 'the_generator', 'no_generator' ); // Security: Hide Usernames from Classes function andys_remove_comment_author_class( $classes ) { foreach( $classes as $key => $class ) { if(strstr($class, "comment-author-")) { unset( $classes[$key] ); } } return $classes; } add_filter( 'comment_class' , 'andys_remove_comment_author_class' ); // Security: Hide WordPress Version in Sourcecode Head remove_action('wp_head','wp_generator');
So haben Sie eine schöne und saubere Basis und die nötigen Konfigurationen für Ihren Shop geschaffen. Natürlich gibt es noch viele weitere Möglichkeiten, Ihren Shop abzusichern, das hier vorgestellte sollte aber das Minimum sein.
Sie können je nach Hoster Ihre Dateirechte noch anpassen, noch mehr Codes für Ihre WP-Sicherheit eintragen und Ihren WP-Shop noch besser absichern. Bitte verzeihen Sie mir, dass ich hier nicht jeden Code auflisten kann, da es leider von Hoster zu Hoster und von Anwender zu Anwender unterschiedlich ist.
Hier noch ein paar Tipps zum Thema WordPress Sicherheit
- Wählen Sie immer einen sicheren Admin-Benutzernamen und ein sicheres Passwort
- Schützen Sie Ihre Administrationsoberfläche
- Schalten Sie die Login-Fehlermeldungen ab
- Schützen Sie Ihre wp-config.php
- Ändern Sie Ihre Tabellen-Präfix
- Halten Sie Suchmaschinen von Verzeichnissen fern
- Updaten Sie Ihren WP-Shop regelmäßig
- Zwingen Sie WP zu einer sicheren Verbindung via SSL
- Passen Sie Ihre Datei und Ordnerrechte immer manuell mit einem FTP-Programm an
Ich hoffe, dieser kleine Einblick in das Thema WordPress Sicherheit für OnlineShops konnte Ihnen ein bisschen helfen. Im nächsten Artikel werde ich über die Mindestanforderungen an einen deutschen OnlineShop schreiben.