magento sicherheit

Magento Sicherheit – So schützt du deinen Shop vor Angriffen

1. Warum Sicherheit bei Magento so entscheidend ist

Magento 2 ist eine der leistungsstärksten E-Commerce-Plattformen und gerade deshalb ein beliebtes Ziel für Angriffe.
Sobald du Kundendaten verarbeitest oder Zahlungen abwickelst, steht dein Shop im Fokus von Bots, Exploit-Scannern und Phishing-Versuchen. Viele Shopbetreiber gehen fälschlicherweise davon aus, dass ein „kleiner Shop“ nicht interessant sei. Doch Automatisierung macht keinen Unterschied, jede veraltete Magento-Instanz wird gefunden und ausgenutzt. Magento Sicherheit ist daher ein unumgängliches Thema für jeden Shopbetreiber.

Ein Sicherheitsvorfall kann nicht nur technische Schäden verursachen, sondern auch massiv Vertrauen kosten und rechtliche Folgen nach sich ziehen. Deshalb sollte Sicherheit bei jedem Magento-Projekt von Beginn an mitgedacht werden.

2. Das Fundament: Immer aktuelle Magento Version

Die meisten Angriffe nutzen bekannte Sicherheitslücken, die bereits gefixt wurden, aber nicht eingespielt sind.
Deshalb ist der wichtigste Punkt jedes Security-Plans: Halte dein Magento Core aktuell.

  • Prüfe regelmäßig die Magento Security Bulletins.
  • Verwende Composer, um Updates kontrolliert einzuspielen.
  • Führe Updates immer zuerst in einer Staging-Umgebung durch.
  • Aktualisiere auch Third-Party-Module und Themes (z. B. Hyvä, Amasty, Aheadworks etc.).

💡 Tipp: Ein „Security Patch Update“ kann innerhalb von 15 Minuten erledigt sein, ein kompromittierter Shop kostet dich Tage und Kundenvertrauen.

3. Admin-Zugang absichern – dein Tor zum Shop

Der Magento-Admin-Bereich ist das beliebteste Einfallstor für Angreifer. Mit ein paar einfachen Schritten reduzierst du das Risiko massiv:

🔹 Admin-URL ändern

Standardmäßig liegt der Backend-Zugang unter /admin.
Ändere ihn z. B. auf /backend-store-987/.
Das erschwert automatisierten Angriffen das Auffinden deines Login-Bereichs.

🔹 Zwei-Faktor-Authentifizierung (2FA) aktivieren

Seit Magento 2.4 ist 2FA standardmäßig aktiviert. Nutze Apps wie Google Authenticator oder Authy und verlange den zweiten Faktor auch von Agenturen oder anderen Usern.

🔹 Admin-Accounts minimieren

Jede zusätzliche Admin-Rolle erhöht das Risiko.
Vergib Rechte sparsam und deaktiviere alte Konten, z. B. von ehemaligen Entwicklern.

4. Server- und Hosting-Sicherheit

Magento ist leistungsfähig aber auch ressourcenhungrig. Viele Sicherheitslücken entstehen nicht in Magento selbst, sondern auf dem Server.

✅ Wichtige Best Practices:

  • Verwende immer HTTPS (SSL/TLS) und erzwinge es per Redirect.
  • Stelle sicher, dass Dateiberechtigungen korrekt gesetzt sind (755 für Ordner, 644 für Dateien).
  • Deaktiviere PHP-Funktionen wie exec() oder shell_exec(), wenn nicht benötigt.
  • Nutze Fail2Ban oder Cloudflare, um Brute-Force-Versuche zu blockieren.
  • Sichere regelmäßig automatische Backups, am besten verschlüsselt und extern gelagert.

💡 Tipp: Managed-Hosting Anbieter wie MGT-Commerce, Hypernode oder MaxCluster bieten vorkonfigurierte Sicherheitslayer für Magento 2.

5. Rechte und Dateisystem kontrollieren

Viele Angriffe beginnen mit einer einzigen manipulierten Datei auf dem Server.
Deshalb solltest du immer wissen, wer wo Zugriff hat.

  • Gib FTP/SSH-Zugang nur an vertrauenswürdige Personen.
  • Nutze SSH Keys statt Passwörtern.
  • Beschränke den Zugriff auf das pub/-Verzeichnis (alles andere nicht öffentlich zugänglich).
  • Verwende eine read-only Deployment-Strategie (z. B. über Git, CI/CD).

Wenn du Magento auf einem Shared Hosting betreibst, solltest du dringend auf ein dediziertes oder virtuelles System umsteigen.

6. Datenbank-Sicherheit und Konfiguration

Die Datenbank enthält sämtliche Kundendaten, Passwort-Hashes und Bestellungen.
Daher gehört auch sie zum Sicherheits-Konzept:

  • Nutze einen eigenen DB-User mit minimalen Rechten.
  • Lass den MySQL-Port nicht öffentlich zugänglich sein (bind-address = 127.0.0.1).
  • Verwende starke Passwörter und regelmäßige Rotation.
  • Verschlüssele regelmäßige Backups (z. B. per GPG).

7. Vertraue nicht blind deinen Extensions

Magento-Shops stehen und fallen mit Erweiterungen. Doch genau darin liegt auch Gefahr: Viele Sicherheitsvorfälle entstehen durch unsichere oder veraltete Module.

🔹 Darauf solltest du achten:

  • Installiere nur Extensions von bekannten Anbietern (Amasty, Mageplaza, Fooman etc.).
  • Lies Changelogs und prüfe regelmäßig auf Sicherheits-Updates.
  • Entferne nicht genutzte Erweiterungen komplett aus dem Code (composer remove).
  • Vermeide Freeware von unbekannten Quellen (GitHub oder Foren), es sei denn du prüfst den Code selbst.

8. Magento Security Scanner & Monitoring

Adobe bietet einen kostenlosen Magento Security Scan Service an.
Er überprüft deine Seite automatisch auf bekannte Lücken und empfiehlt Updates.

Weitere nützliche Tools:

  • Sucuri Website Monitor: meldet Malware und Blacklists.
  • UptimeRobot / Better Uptime: alarmiert bei Downtime oder langen Antwortzeiten.
  • Log-Monitoring: Suche regelmäßig nach verdächtigen Einträgen in var/log oder /server/logs.

💡 Tipp: Logge alle Admin-Logins und benachrichtige dich bei neuen IP-Adressen.

9. reCAPTCHA und Form-Security

Magento 2 bietet nativ Google reCAPTCHA für Formulare (Login, Kontakt, Newsletter). Nutze es unbedingt.
Damit vermeidest du Spam und automatisierte Brute-Force-Angriffe.

Stelle zudem sicher:

  • Das form_key-Feld wird nicht deaktiviert.
  • CSRF-Schutz ist aktiv (standardmäßig ab Magento 2.3).
  • Die Serverzeit und Zeitzone sind korrekt, sonst schlägt der Token-Abgleich fehl.

10. Content Security Policy (CSP)

Die Content Security Policy bietet zusätzlichen Schutz vor Cross-Site Scripting (XSS).
Magento 2 unterstützt CSP nativ seit Version 2.3.5.

In der csp_whitelist.xml kannst du definieren, welche Domains (z. B. CDNs oder Google Fonts) erlaubt sind.
Das reduziert das Risiko, dass bösartige Skripte eingeschleust werden.

11. Beispiel für eine sichere Deployment-Pipeline

Eine saubere CI/CD-Pipeline erhöht Sicherheit und Stabilität.
Ein mögliches Setup:

  1. Code in Git committen
  2. Automatischer Build und Tests in GitLab CI oder GitHub Actions
  3. Deployment nur aus dem Pipeline-Server (kein manuelles FTP)
  4. Post-Deploy Sicherheits-Check und Cache-Warmup

Damit vermeidest du „Wildwuchs“ im Code und hältst Produktionssysteme sauber und nachvollziehbar.

12. Backup & Wiederherstellungsplan

Auch mit perfektem Schutz kann etwas passieren, deshalb sind Backups deine Versicherung.

Empfohlen:

  • Tägliche Datenbank-Backups (min. 7 Tage aufbewahren)
  • Wöchentliche Full-Backups (Code + Media)
  • Externe Speicherung (z. B. AWS S3 oder Backblaze B2)
  • Wiederherstellung testen! Viele Backups sind unbrauchbar, weil sie nie getestet wurden.

13. Magento Sicherheit – Checkliste für Shopbetreiber 2025

BereichMaßnahmeStatus
Magento CoreAktuellste Version installiert
Admin-LoginURL geändert, 2FA aktiv
ServerHTTPS, Firewall, Backups
ExtensionsNur geprüfte Anbieter
CSP & reCAPTCHAAktiviert
BackupsGetestet und extern gespeichert
LogsRegelmäßig überprüft

✅ Fazit

Magento 2 ist sicher, wenn du es sicher betreibst.
Ein aktuelles System, klare Rollen, regelmäßige Backups und verantwortungsbewusster Umgang mit Erweiterungen reichen oft aus, um 95 % aller Angriffe abzuwehren.
Sicherheit ist kein Einmal-Projekt, sondern ein kontinuierlicher Prozess.

Wenn du nicht nur einen schnellen, sondern auch einen sicheren Magento-Shop haben möchtest, unterstütze ich dich gern bei Analyse, Audit und Absicherung.

Du brauchst Unterstützung bei deinem Shop?
👉 Kontaktiere mich!

Vorheriger Beitrag Nächster Beitrag