So schützt du deinen OXID eShop: Security Best Practices (Teil 4)
Die Sicherheit deines OXID eShop ist ein zentraler Aspekt für den langfristigen Erfolg deines E-Commerce Geschäfts. Kunden vertrauen darauf, dass ihre Daten sicher sind, und die Integrität des Shops ist grundlegend für den Umsatz sowie das Markenimage. In Teil 4 unserer Reihe zu OXID eShop Security Best Practices gehen wir auf weitere essenzielle Maßnahmen ein, mit denen du deinen Shop gegen aktuelle Bedrohungen absichern kannst. Ob Brute-Force-Angriffe, veraltete Module oder unsichere Schnittstellen – die Gefahren sind vielfältig. Was du dagegen tun kannst, erfährst du in diesem Beitrag.
Regelmäßige Sicherheitsupdates und Patchmanagement
Einer der wichtigsten Grundpfeiler in der Security-Strategie für deinen OXID eShop ist das konsequente Einspielen von Sicherheitsupdates. OXID veröffentlicht regelmäßig Sicherheits-Patches sowohl für die Community Edition als auch für die Enterprise Edition. Diese Patches adressieren bekannt gewordene Sicherheitslücken und sollten unbedingt zeitnah integriert werden.
Setze auf eine automatisierte Update- und Deployment-Strategie, um deine Sicherheitsinfrastruktur stabil und aktuell zu halten. Verzichte auf manuelle Updates auf produktiven Systemen, um Downtimes und Integritätsprobleme zu vermeiden.
Modul-Management und Code Audits
Veraltete oder unsauber entwickelte Module können ein massives Einfallstor für Angreifer darstellen. Vor allem Drittanbieter-Module sollten regelmäßig überprüft und möglichst auf dem neuesten Stand gehalten werden. Führe regelmäßige Code-Reviews durch – insbesondere bei Modulen, die tiefer in den Kern deines OXID Shops eingreifen.
Nutze Tools wie SonarQube oder PHPStan zur statischen Codeanalyse. Achte darauf, dass sensible Daten in der Modul-Logik nicht ungewollt geloggt oder offengelegt werden.
Zugriffsrechte im Backend sinnvoll einschränken
Verwalte die Nutzerrollen und Rechtevergabe im Admin-Bereich deines OXID eShop mit größter Sorgfalt. Mitarbeiter sollten nur jene Rechte erhalten, die sie für ihre konkrete Aufgabe benötigen. So minimierst du die Angriffsfläche für Social Engineering oder interne Manipulationen.
Nutze Gruppen-Rollen für Admins, Redakteure und Support-Mitarbeiter und halte dich an das Prinzip des „Least Privilege“. Für besonders sensible Funktionen wie Zahlungsmodul-Management oder Deployment-Zugänge empfehlen wir die Zwei-Faktor-Authentifizierung (2FA).
File Permissions und Serverkonfiguration
Ein häufig übersehener Sicherheitsaspekt liegt auf Dateiberechtigungen und Serverkonfigurationen. Gerade auf Shared-Hosting-Umgebungen ist hier Vorsicht geboten. Setze die Dateiberechtigungen im OXID eShop so restriktiv wie möglich:
- Verzeichnisse:
755 - Dateien:
644 config.inc.php:600
Deaktiviere außerdem die Indexierung von Verzeichnissen über die .htaccess. Absicherungen gegen Directory Traversal und Directory Listing sollten Grundvoraussetzung sein.
Schutz vor Brute-Force- und Login-Angriffen
Der Admin-Login deines OXID eShops ist eines der Hauptziele automatisierter Angriffe. Setze Sicherheitsmechanismen zur Login-Härtung ein, zum Beispiel:
- Login-Rate-Limiting (z. B. über Fail2Ban oder mod_evasive)
- Captchas nach mehreren Fehlversuchen
- Individuelle Admin-URLs (z. B. durch Umbenennung von
/admin) - 2 Faktor Authentifizierung für Admin-Accounts
Darüber hinaus solltest du die Server-Logs regelmäßig auf verdächtige Login-Versuche überprüfen und entsprechende Maßnahmen automatisieren, etwa durch IP-Blocking.
Verschlüsselte Kommunikation durch HTTPS erzwingen
Nutze durchgehend SSL-Verschlüsselung für Frontend und Backend. In der config.inc.php deines Shops sollte HTTPS als Standard gesetzt sein. Zusätzlich kannst du in der Serverkonfiguration einen HTTPS-Redirect erzwingen.
Durch den Einsatz moderner SSL-Zertifikate (z. B. Let’s Encrypt oder GeoTrust) und die Deaktivierung veralteter Protokolle wie TLS 1.0 stellst du sicher, dass deine Kommunikation state-of-the-art gesichert ist.
Monitoring und Security Logging
Durch die Integration eines umfassenden Monitoringsystems kannst du sicherstellen, dass Sicherheitsvorfälle erkannt und schnell behoben werden. Tools wie Zabbix, Sentry oder ELK-Stack helfen dabei, Anomalien zu identifizieren – etwa ungewöhnlich hohe Anzahl an Login-Versuchen, veränderte Dateisysteme oder beeinträchtigte Performance.
Log-Einträge sollten zentral gespeichert, regelmäßig ausgewertet und automatisiert auf Alarme analysiert werden. Auch ein sogenannter File Integrity Check auf kritische Verzeichnisse wie modules/, core/ und application/ kann hier sehr wertvoll sein.
Sichere Schnittstellen- und API-Nutzung
Wenn dein OXID eShop über Schnittstellen an ERP-Systeme oder Zahlungsanbieter angebunden ist, müssen diese besonders geschützt werden. Verwende ausschließlich gesicherte Endpunkte mit OAuth2 oder JWT-Authentifizierung. Statische API-Schlüssel sollten regelmäßig erneuert und niemals öffentlich abgelegt werden (z. B. im öffentlichen Git-Repository).
Vermeide ungeschützte Endpunkte, insbesondere wenn diese Funktionen zum Schreiben von Daten bereitstellen (POST/PUT-Endpunkte). Nutze strukturierte Rate-Limits, IP-Whitelisting und mindestens TLS 1.2 für alle Datenübertragungen.
Session-Sicherheit und Cookie-Management
Session-Management ist ein häufig unterschätzter Aspekt der Shop-Security. Setze unbedingt eine kurze Laufzeit für inaktive Sessions und aktiviere Optionen wie HttpOnly, Secure und SameSite für alle Session-Cookies. Dadurch reduzierst du die Angriffsfläche für Session Hijacking und Cross-Site Request Forgery (CSRF).
Zusätzlich sollte nach jedem Login-Vorgang ein Session-Renewal durchgeführt werden, um Session-Fixation-Angriffe zu vermeiden.
Backup-Strategie mit Fokus auf Security
Auch das beste Sicherheitskonzept schützt nicht vor jedem Risiko. Deshalb ist ein regelmäßiges, sicheres Backup deines OXID eShop ein absolutes Muss. Achte darauf, dass deine Backups verschlüsselt übertragen und gespeichert werden (etwa über SFTP oder verschlüsselte externe Storage-Systeme). Teste das Restore regelmäßig, um im Ernstfall schnell wieder online gehen zu können.
Sorge aktiv für Schutz, Vertrauen und Stabilität deines OXID eShop. Wenn du bei der Sicherheitsarchitektur deines Shops professionelle Unterstützung brauchst, stehen wir dir gerne als starker Partner zur Seite. Ob Code Audits, sichere Modul-Entwicklung, Automatisierung von Security-Deployments oder Monitoring – sprich uns an. Gemeinsam stärken wir die Verteidigungslinien deines E-Commerce Systems.
Hi, ich bin Matthias Eggert – seit über 17 Jahren im Online-Marketing unterwegs und mit jeder Menge Leidenschaft dabei. Seit 2013 bin ich bei der DIXENO GmbH, wo ich über viele Jahre als Head of Marketing gearbeitet habe. Anfang 2025 durfte ich dann in die Geschäftsleitung wechseln – ein spannender Schritt, der mir noch mehr Raum gibt, Dinge zu bewegen.
Ich liebe es, Strategien zu entwickeln, Tools clever einzusetzen und mit modernen Technologien wie KI und Marketing-Automation echte Mehrwerte zu schaffen. Dabei geht es für mich nie nur um Einzelmaßnahmen – sondern um das große Ganze.
Mein Fokus liegt auf einem ganzheitlichen Verständnis von E-Commerce. Ich denke nicht nur in Kampagnen, sondern auch in Prozessen und Systemen: ERP, CRM, PIM, Shopsysteme – all das gehört für mich genauso dazu wie SEO, Webanalyse und Content-Marketing. Denn nur wenn alles sauber zusammenspielt, entsteht nachhaltiger Erfolg.
Ich begleite Unternehmen von der Strategie über die technische Umsetzung bis hin zur Optimierung im Detail – und das am liebsten auf Augenhöhe.
Wenn du also jemanden suchst, der Online-Marketing mit E-Commerce-Kompetenz verbindet und dabei nicht in Silos denkt: Lass uns sprechen!
