7 Tipps zur Absicherung Eures JTL-Shops

8. November 2021

Darüber schreiben wir

Nach den kürzlich aufgetretenen Sicherheitslücken in JTL Shop 4 und JTL Shop 3 stellen wir Euch hier kurz und bündig 7 Tipps zur Absicherung Eures JTL Shops vor. Je nach Schwierigkeit, sind die Punkte recht schnell umzusetzen, kosten nicht viel Geld und bringen ein Mindestmaß an Sicherheit gegen Angriffe und Datenverlust durch Hacker. Ganz auszuschließen ist dies nicht – insbesondere wenn neue bis dato unbekannte Lücken auftreten – allerdings wird mit diesen 7 Tipps die Sicherheit eures JTL-Shops stark erhöht.

1 – Onlineshop stets aktuell halten

Haltet euer Shopsystem auf dem aktuellsten Stand. In besten Falle solltet ihr die jeweils aktuelle Buildversion (JTL-Shop4 4.06 Build 17) verwenden. Diese Version ist die derzeit aktuellste und hat alle aufgetretenen Sicherheitslücken geschlossen. Noch besser ist ein Upgrade auf JTL Shop 5.1.1. In dieser Shopversion ist die obige Sicherheitslücke nicht aufgetreten.

2 – Adminpfad absichern

Es gibt im JTL-Shop die Möglichkeit, die URL des Adminpfades von zum Beispiel http://meinshop.de/admin auf eine beliebige URL à la http://meinshop.de/irgendein-ordnername zu ändern, um Angreifern das Auffinden des Adminbereichs zu erschweren. Zusätzlich könnte man den Adminpfad (via .htaccess) auch noch mit einem Verzeichnisschutz absichern.

3 – Regelmäßige Passwortanpassung

Um Angreifern generell keine Zugriffsmöglichkeit auf euer Shopbackend zu ermöglichen, empfehlen wir stets sichere Passwörter (mind. 8 Zeichen mit Verwendung von Sonderzeichen) zu verwenden. Ändert die Passwörter regelmäßig. Nutzt keine einfach zu erratenen Passwörter wie 12345, Passwort oder dergleichen. Im Internet gibt es jede Menge Passwort-Generatoren, die schwer zu erratende Passwörter generieren. Mit dem Einsatz eines Passwort-Tools (wie Keypass) verwaltet ihr Eure hochkomplexen Passwörter zudem auf einfache Art und Weise.

Auf die gleiche Art und Weise sollte auch regelmäßig das Datenbank-Passwort zur MySQL-Datenbank und das sync-Passwort zur JTL Wawi geändert werden.

4 – Zwei-Faktor-Authentifizierung verwenden.

Ihr werdet nach Eingabe eures Passwortes aufgefordert, einen Sicherheitscode aus einer Authentifizierungs-App (Google Authenticator) einzugeben. Diese wird vorab auf Ihrem Smartphone installiert. Sofern ein Angreifer, aus welchem Grund auch immer, Euer Admin-Passwort herausgefunden hat, wird er an der Eingabe des Codes scheitern.

5 – Backupstrategie

Erstellt regelmäßig Backups und sichert diese in ein sicheres (externes) Verzeichnis. Hinterlegt keine Backups im Rootverzeichis eures Shops! Beim Durchsuchen verschiedenster Logfiles in den letzten Tagen, ist uns vermehrt aufgefallen das Bots direkt nach Backups in der Shopinstallation suchen.

Beispiel der Zugriffe:

  • http://meinshop.de/backup.zip
  • http://meinshop.de/dump.zip
  • http://meinshop.de/sql.zip
  • http://meinshop.de/meinshopde.zip

Sofern ihr Backups eures Shops anlegt, speichert diese unbedingt außerhalb des Zugriffsbereiches.

6- Einsatz einer Web Application Firewall (WAF)

Analog zu eurem PC könnt ihr auch euren Shop mit einer Firewall schützen. Dies funktioniert mit einer Web Application Firewall (WAF) und gilt als Premium-Lösung für Ihren Shop. Die WAF unterbindet sogenannte SQL-Injections und hilft Schaden abzuwenden. Gerne beraten wir Euch zu Diensten wie Cloudflare (im Profipaket für $20 je Monat mit WAF), Link11 oder ein Hosting bei Profihost mit seinem Cybercrime Paket.

7 – Einsatz von SSL-Zertifikaten

Mittlerweile eigentlich Standard – aber dennoch nicht immer vollends zu Ende konfiguriert ist der Einsatz eines SSL-Zertifikats. Euer Shop sollte in jedem Falle nur über https:// erreichbar sein und auch E-Mails, die der JTL Shop versendet sollten idealerweise SSL-verschlüsselt sein. Durch die Verwendung eines SSL-Zertifikats ist euer Shop werden Informationen (wie Bezahlinformationen, Logindaten etc.) verschlüsselt übertragen und können schlecht bis gar nicht ausgelesen werden. Das SSL-Zertifikat schafft Vertrauen und ist auch ein nicht zuvernachlässigender Rankingfaktor für Google.

Fazit

Einen JTL Shop abzusichern ist nicht schwer und muss auch nicht viel kosten. Mit diesen einfachen Tipps könnt ihr euren JTL Shop ein Stück weit sicherer machen. Ein Angriff auf eure personenbezogenen Daten und eine Manipulation eures Shops ist damit zwar nicht ausgeschlossen, da immer mal wieder neue Lücken auftreten können, aber damit erschwert ihr zumindest einen Missbrauch eures Shops und eurer Kundendaten.

Teile diesen Beitrag

Newsletter abonnieren

Wenn Sie den maßarbyte Newsletter abonnieren möchten, füllen Sie bitte das Formular aus.