Sicherheit in JTL-Shop
Der Schutz Ihres Onlineshops vor Cyberangriffen ist essenziell. Nur wenn sich Ihre Kunden sicher fühlen, sind sie bereit, persönliche Daten wie Adresse oder Zahlungsinformationen anzugeben.
Auf dieser Seite finden Sie Best Practices, mit denen Sie Ihren JTL-Shop sicherer machen können. Bitte beachten Sie, dass die hier aufgeführten Maßnahmen eine Grundlage darstellen. Informieren Sie sich zusätzlich eigenständig über aktuelle Sicherheitsstandards, um Ihren Shop und die Daten Ihrer Kunden bestmöglich zu schützen.
Zugänge und Konten schützen
2-Faktor-Authentifizierung nutzen
Sie können in JTL-Shop die 2-Faktor-Authentifizierung (2FA) für das Frontend und für das Backend aktivieren. So schützen Sie die Zugänge von Backend-Nutzern und die Kundenkonten Ihrer Kunden. Siehe 2-Faktor-Authentifizierung in JTL-Shop einrichten
Passwortsicherheit für Kundenkontos
Passwörter für Kundenkontos müssen mindestens 8 Zeichen lang sein. Wir empfehlen eine Passwortlänge von mindestens 12 Zeichen. Beim Anlegen des Passworts ist ein Passwortgütebalken implementiert, der die Passwortstärke zeigt (schwach, mittel, stark) und Ihren Kunden Vorschläge zur Erstellung eines starken Passworts gibt.
Die Mindestpasswortlänge für Kundenkontos können Sie im Shop-Backend auf der Seite Einstellungen: Formulareinstellungen vorgeben. Sie können dort auch einstellen, ob Kunden alte Passwörter erneut verwenden dürfen. Sie erreichen die Seite Einstellungen: Formulareinstellungen im Backend von JTL-Shop über Darstellung > Standardansichten > Registrierung. Siehe Detailbeschreibung: Einstellungen: Formulareinstellungen
Passwörter werden nicht im Klartext, sondern mit starken Verschlüsselungsalgorithmen wie SHA2 und XTEA abgespeichert.
Wenn Kunden ihr Passwort ändern möchten, werden sie außerdem zur Sicherheit erneut nach dem bestehenden Passwort gefragt. Wenn sie ihr Passwort vergessen haben, können sie über die Funktion Passwort vergessen über die hinterlegte E-Mail-Adresse ein neues Passwort anfordern. Der Link dafür läuft nach 24 Stunden ab.
Lange und sichere Admin-Passwörter verwenden
Verwenden Sie für Shop-Admin-Konten, SMTP-Zugänge und weitere sicherheitsrelevante Dienste lange und sichere Passwörter. Nutzen Sie keine mehrfach verwendeten Passwörter. Ein kompromittiertes Passwort darf nicht mehrere Systeme gleichzeitig gefährden. Siehe Admin-Passwort ändern
Zugang von Backend-Benutzern prüfen
Prüfen Sie regelmäßig in der Benutzerverwaltung im Backend von JTL-Shop, welche Benutzer Zugang zu Ihrem Backend haben. Löschen Sie veraltete Zugänge. Wenn Sie nur einen temporären Zugang zu Ihrem Backend rausgeben möchten, erstellen Sie im Backend eine Benutzergruppe mit eingeschränkten Berechtigungen und aktivieren Sie für den Benutzer die Checkbox Zeitlich begrenzter Zugriff. Siehe Benutzer verwalten
Phishing-Risiken erkennen und vermeiden
Informieren Sie sich und Ihr Team über Phishing-Risiken. Gefälschte E-Mails oder Nachrichten verlinken häufig auf täuschend echte Login-Seiten. Öffnen Sie Backend-Logins nur über bekannte und intern dokumentierte Adressen.
Typische Warnzeichen sind:
- Unerwartete Aufforderungen zum Login
- Abweichende oder verkürzte URLs
- Auffälliger Zeitdruck in der Nachricht
- Hinweise auf angebliche Sperrungen oder Notfälle
Shop-Konfiguration und Betrieb
JTL-Shop und Plugins regelmäßig updaten
Nutzen Sie immer die aktuellste Version von JTL-Shop und der Plugins, die Sie installiert haben. Bugs und Sicherheitslücken werden regelmäßig in neuen JTL-Shop-Versionen und Plugin-Versionen behoben. In der Funktionsleiste im Backend von JTL-Shop wird Ihnen angezeigt, ob Updates für JTL-Shop und installierte Plugins verfügbar sind. Siehe JTL-Shop updaten
Regelmäßig die Mitteilungen (Glocke) prüfen
In der Funktionsleiste im Backend von JTL-Shop gibt es ein Glocken-Symbol. Dieses Glocken-Symbol signalisiert Ihnen, dass JTL-Shop Mitteilungen hat. Prüfen Sie die Mitteilungen regelmäßig. Wenn Warnungen oder sicherheitsrelevante Hinweise vorliegen, erkennen Sie Handlungsbedarf so früher.
JTL-Debug-Plugin niemals in produktiven Onlineshops verwenden
Nutzen Sie das JTL-Debug-Plugin niemals in produktiven Onlineshops, sondern nur in Testumgebungen. Wenn Sie das JTL-Debug-Plugin in produktiven Onlineshops nutzen, können sicherheitsrelevante Daten ausgegeben werden.
Permanente SSL-Verschlüsselung aktivieren und HTTPS ohne Ausnahme verwenden
Aktivieren Sie in JTL-Shop die permanente SSL-Verschlüsselung. Sie benötigen dafür ein gültiges SSL-Zertifikat. Siehe SSL-Verschlüsselung für den Onlineshop
Stellen Sie sicher, dass Ihr Shop ausschließlich per HTTPS erreichbar ist. Nur so werden Zugangsdaten und andere übertragene Inhalte verschlüsselt. Ungeschützte Verbindungen erleichtern das Abfangen von Daten.
Achten Sie zusätzlich darauf, dass Weiterleitungen auf HTTPS korrekt eingerichtet sind und keine Inhalte unverschlüsselt nachgeladen werden.
Für HTTPS müssen Sie in JTL-Shop die permanente SSL-Verschlüsselung aktivieren. Sie benötigen dafür ein gültiges SSL-Zertifikat. Siehe Permanentes SSL aktivieren
Admin-Bereich zusätzlich absichern
Der Backend-Zugang sollte nicht nur durch das Shop-Login geschützt sein. Sichern Sie das Verzeichnis /admin/ zusätzlich per .htpasswd ab. Damit ist vor dem eigentlichen Login eine weitere Zugangssperre aktiv. Diese zusätzliche Hürde reduziert automatisierte Zugriffsversuche deutlich.
Alternativ können Sie den Admin-Pfad so ändern, dass er nicht leicht erraten werden kann. Ein individueller Pfad wie /asdr453hkjth34jh3klj43jklh/ erschwert automatisierte Angriffe auf bekannte Standardpfade.
Wenn Sie den Admin-Pfad ändern, beachten Sie diese Punkte:
- Passen Sie interne Verweise und Serverregeln an.
- Aktualisieren Sie gespeicherte Lesezeichen und Zugriffslinks.
- Testen Sie den Backend-Zugriff nach der Änderung sofort.
- Dokumentieren Sie den neuen Pfad intern.
Keinen ungeschützten Direktzugriff auf Shop-Datenbank zulassen (z. B. per PHPMyAdmin)
Prüfen Sie, ob Ihre Shop-Datenbank öffentlich erreichbar ist, zum Beispiel über Verwaltungstools wie phpMyAdmin. Ein ungeschützter Direktzugriff stellt ein hohes Sicherheitsrisiko dar. Schalten Sie den Direktzugriff ab, wenn Sie ihn nicht benötigen. Wenn ein Zugriff erforderlich ist, schützen Sie die Shop-Datenbank zusätzlich. Sie können den Zugriff sichern, indem Sie den Ordner per .htpasswd sichern oder den Ordner umbenennen in einen individuellen Pfad wie wie /asdr453hkjth34jh3klj43jklh/. Siehe Admin-Bereich zusätzlich absichern
Dediziertes E-Mail-Konto für den Mailversand mit JTL-Shop nutzen
Verwenden Sie für den Mailversand aus JTL-Shop ein eigenes E-Mail-Konto. Trennen Sie Shop-Kommunikation und persönliche Postfächer organisatorisch voneinander. So begrenzen Sie Auswirkungen bei einem kompromittierten E-Mail-Konto und vereinfachen die Verwaltung.
Wenn Ihr Mailanbieter dies unterstützt, aktivieren Sie zusätzlich die 2-Faktor-Authentifizierung (2FA) für den Zugriff auf das E-Mail-Postfach.
Datenschutz und Compliance
Tracking
Der Nutzer Ihres Shops wird ab JTL-Shop 5 über den Consent-Manager über Dienste von Drittanbietern informiert. Er kann die Einwilligung zu den Diensten von Drittanbietern erteilen oder entziehen. Er kann seine Einstellungen jederzeit ändern, indem er auf das Fingerabdruck-Symbol klickt. Siehe Consent-Manager in JTL-Shop 5
Datenschutz bei Custom Templates und angepassten Templates
Wenn Sie Custom Templates nutzen oder vorhandene Templates anpassen, stellen Sie unbedingt sicher, dass das in Deutschland geltende Datenschutzrecht eingehalten wird. Achten Sie im Besonderen darauf, dass Sie unbefugten Dritten keinen Zugriff auf Kundendaten gewähren.
Cookies regelmäßig überprüfen
Prüfen Sie regelmäßig die im JTL-Shop gesetzten Cookies. Wenn Sie Cookies kontrollieren, erkennen Sie unsichere oder unnötige Einträge frühzeitig. Wenn Cookies falsch konfiguriert sind, entstehen Sicherheitsrisiken und mögliche Datenschutzverstöße. Mit einer regelmäßigen Prüfung können Sie sicherstellen, dass Ihr Shop zuverlässig und DSGVO-konform arbeitet. Siehe Cookies in JTL-Shop