WooCommerce 9 Sicherheits-Checkliste 2025 — was Shop-Betreiber jetzt tun müssen
WooCommerce 9 sicher betreiben: 12 Punkte von 2FA und PCI-DSS über REST-API-Härtung bis Backup und WAF. Pragmatische Checkliste für Shop-Betreiber 2025.
Bild: Taylor Vick · Unsplash License
WooCommerce ist mit Abstand das meistgenutzte Shop-System im WordPress-Universum — und damit gleichzeitig eines der beliebtesten Angriffsziele im gesamten Web. Seit dem Sprung auf Version 9 ist die Codebasis moderner, die HPOS-Order-Tables sind Standard und die REST-API spielt eine viel größere Rolle als noch vor zwei Jahren. All das hat Auswirkungen auf die Sicherheit — und auf die Hausaufgaben, die Du als Shop-Betreiber erledigen solltest.
Wir sind MOLOTOW Web Development aus Lahr im Schwarzwald und betreuen eine ganze Reihe von WooCommerce-Shops zwischen Handwerksmanufaktur und mittelständischem Versender. Die folgende Checkliste ist das, was wir intern bei jedem Shop-Audit abarbeiten. Nichts Exotisches, aber vollständig.
Warum WooCommerce 2025 härter abgesichert werden muss
Shops verarbeiten personenbezogene Daten, Zahlungsinformationen und Bestelldaten — also genau das, was Angreifer haben wollen. Hinzu kommt: Wo Geld fließt, lohnt sich der Aufwand, Schwachstellen aktiv auszunutzen. Wordfence und Patchstack melden quartalsweise Sicherheitslücken in beliebten WooCommerce-Erweiterungen, und die meisten Angriffe der letzten 24 Monate liefen nicht über den Core, sondern über Drittanbieter-Plugins und schlecht konfigurierte Server.
Wer unseren Beitrag zu den häufigsten WordPress-Angriffsvektoren kennt, wird vieles wiedererkennen. Für Shops kommen aber zusätzliche Themen dazu: PCI-DSS, Zahlungsflüsse, REST-API und Kundendatenbank.
Die 12-Punkte-Checkliste
1. WordPress-Core und WooCommerce immer aktuell halten
Klingt banal, ist aber das mit Abstand wichtigste. Automatische Minor-Updates für WordPress aktivieren, WooCommerce spätestens zwei Wochen nach Release patchen. Vorher auf einer Staging-Kopie testen, dann live. Wer Versionen auslässt, riskiert nicht nur Sicherheitslücken, sondern auch DB-Schema-Probleme — HPOS ist seit Version 8.2 Default und reagiert empfindlich auf inkompatible Plugins.
2. Zwei-Faktor-Authentifizierung für alle Admins und Shop-Manager
Jeder Account mit Backend-Zugriff braucht 2FA — ohne Ausnahme. Wordfence Login Security oder WP 2FA erledigen das kostenfrei. Besonders wichtig: Auch der Shop-Manager-Role erzwingen, nicht nur Admins. Ein übernommener Shop-Manager kann Produkte manipulieren, Gutscheine ausgeben und Bestellungen exportieren.
3. Admin-Bereich härten
- Starke, einzigartige Passwörter per Passwort-Manager.
wp-login.phpüber WPS Hide Login oder HTTP-Basic-Auth absichern.- Default-User „admin” löschen, Standard-Präfix
wp_für Datenbanktabellen vermeiden. - XML-RPC nur einschalten, wenn wirklich benötigt (meist nein).
4. Plugin-Hygiene
Für jeden WooCommerce-Shop gilt: Jedes Plugin ist eine Angriffsfläche. Vor dem Installieren prüfen: Wie aktiv ist der Entwickler, wann war das letzte Update, wie viele aktive Installationen, gibt es Patchstack-Einträge? Nulled Plugins aus dubiosen Quellen sind ein Garant für Backdoors — im Shop-Kontext ist das geschäftsgefährdend.
Einmal jährlich: Plugin-Audit mit Frage „Brauchen wir das noch?”. Alles, was weg kann, kommt weg.
5. PCI-DSS-Konformität sicherstellen
Wenn Du Kreditkartendaten direkt auf Deiner Seite verarbeitest, bist Du voll PCI-DSS-pflichtig. Der einfachere Weg: Zahlungsanbieter nutzen, die die Karte bei sich einsammeln (Stripe Payment Element, Mollie, PayPal) und nur Tokens an WooCommerce zurückgeben. Dann reicht für Dich der schlankere Selbstauskunft-Fragebogen (SAQ A). Wer in einem Iframe Kartennummern auf seiner eigenen Domain annimmt, rutscht schnell in SAQ-A-EP — mit deutlich mehr Pflichten.
6. REST-API absichern
Die WooCommerce-REST-API ist mächtig — sie kann Bestellungen lesen, Kunden exportieren und Produkte verändern. Prüfe:
- API-Keys nur bei Bedarf generieren, mit minimalen Rechten (read statt read/write).
- IP-Allowlists auf Server-Ebene, wenn möglich.
- Keys regelmäßig rotieren, nach jedem Dienstleisterwechsel sofort.
- Rate-Limiting (s. Punkt 10) gegen Brute-Force auf Endpoints.
7. Backups — täglich, extern, getestet
Mindestens einmal täglich Voll-Backup (DB + Dateien), aufbewahrt für 14 bis 30 Tage, und an einem externen Ort, der nicht auf demselben Server liegt (S3, Backblaze B2, Hetzner Storage Box). Alle drei Monate einen Wiederherstellungstest machen. Ein Backup, das nie geprüft wurde, ist kein Backup, sondern eine Hoffnung.
8. Logging und Monitoring
Shops brauchen mehr als Error-Logs. Empfehlung:
- Activity Log (z.B. WP Activity Log) für alle Admin- und Shop-Manager-Aktionen.
- Fehlgeschlagene Logins zentral tracken.
- Order-Anomalien (plötzlich 200 Bestellungen mit derselben Karte aus derselben IP) über Shop-interne Fraud-Checks oder den Zahlungsanbieter erkennen.
- Serverseitige Logs regelmäßig sichten, nicht nur bei Problemen.
9. Web Application Firewall (WAF)
Cloudflare (auch im Free-Plan), Sucuri oder Wordfence Premium filtern bekannte Angriffsmuster, bevor sie PHP überhaupt erreichen. Für einen Shop ein Muss, nicht ein Nice-to-have. Achte darauf, dass Dein Payment-Flow nicht versehentlich geblockt wird — PCI-relevante Endpoints sauber whitelisten.
10. Rate-Limiting auf kritischen Endpoints
Checkout, Login, Passwort-Reset, Gutschein-Apply und REST-API sind die Lieblingsziele. Limit Login Attempts Reloaded deckt den Login ab, Cloudflare Rate Limiting Rules den Rest. Ziel: Bots und automatisierte Carding-Versuche ins Leere laufen lassen.
11. Sichere Zahlungsanbieter und saubere Checkout-Flows
Nutze etablierte Anbieter (Stripe, Mollie, PayPal, Adyen, Klarna, Computop). Finger weg von obskuren Gateways ohne 3-D-Secure 2. Schalte 3-D Secure konsequent ein — die Haftungsverlagerung bei Fraud ist in Europa der wichtigste Hebel, den Du als Händler hast.
12. Vulnerability-Scans und Pentests
Einmal im Quartal ein automatisierter Vulnerability-Scan (Patchstack, WPScan oder Wordfence), einmal im Jahr ein kleiner Pentest für größere Shops. Das findet nicht alles, aber deutlich mehr als das Bauchgefühl.
Häufige Fragen
Reicht ein Managed-WordPress-Hoster aus?
Managed Hoster wie Raidboxes, Kinsta oder Pressable nehmen Dir Core-Updates, Grund-Firewall und Backups ab — das ist viel, aber nicht alles. WooCommerce-spezifische Punkte (2FA, Plugin-Audit, PCI, REST-API) musst Du weiterhin selbst verantworten.
Muss ich PCI-DSS-zertifiziert sein?
Wenn Du Kartendaten nicht selbst speicherst und nur Anbieter mit eigener Karteneingabe nutzt, reicht die SAQ-A-Selbstauskunft. Trotzdem solltest Du Dich einmal mit dem Thema beschäftigen — Dein Acquirer verlangt jährlich eine Bestätigung.
Wie oft muss ich Logs prüfen?
Einmal pro Woche mindestens eine kurze Sichtung, bei hohem Umsatz täglich oder automatisiert mit Alerts. Ein Log, das niemand liest, hilft nicht.
Was tun bei einem Shop-Hack?
Seite in Wartungsmodus, Zahlungsanbieter informieren, frisches Backup einspielen, alle Keys und Passwörter rotieren, Ursache finden, dann erst wieder live gehen. Wir helfen bei Incident Response über unser Kontaktformular.
Fazit
Die 12 Punkte oben sind kein Geheimwissen — sie sind das, was ein verantwortungsvoll betriebener WooCommerce-Shop 2025 erfüllen sollte. Wer sie konsequent abarbeitet, verhindert den Großteil aller realistischen Angriffe. Wer sie ignoriert, wird früher oder später erwischt — und bei einem Shop kostet das nicht nur Zeit, sondern Umsatz und Vertrauen. Wenn Du Deinen Shop prüfen lassen möchtest, übernehmen wir das gerne. Schreib uns über unser Kontaktformular oder wirf einen Blick auf unsere Webentwicklung.
