Zurück zum Blog
2026-06-29Sécurité

Magento 2 Sicherheitsaudit: 15 zu prüfende Punkte im Jahr 2026


Warum ein Sicherheitsaudit unerlässlich ist


2026 sind Angriffe auf E-Commerce-Websites raffinierter denn je. Adobe Commerce/Magento 2 bleibt aufgrund seiner Beliebtheit und der verarbeiteten sensiblen Daten ein bevorzugtes Ziel von Hackern.


Ein regelmäßiges Sicherheitsaudit ist keine Option — es ist eine Notwendigkeit. Hier sind die 15 Punkte, die Sie unbedingt überprüfen sollten.


1. Versionen und Sicherheitspatches


Stellen Sie sicher, dass Ihre Magento-2-Instanz die neueste verfügbare Version verwendet. Adobe veröffentlicht regelmäßig Sicherheitspatches:


  • Überprüfen Sie das Adobe-Sicherheitsbulletin
  • Wenden Sie Patches innerhalb von 48 Stunden nach Veröffentlichung an
  • Automatisieren Sie Updates mit Composer

2. Admin-Zugriffskonfiguration


  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA)
  • Verwenden Sie starke Passwörter und einen Passwortmanager
  • Begrenzen Sie die Anzahl der Anmeldeversuche
  • Ändern Sie die Standard-Admin-URL

3. Datei- und Ordnerberechtigungen


Falsche Berechtigungen sind eine offene Tür für Angreifer:


  • Dateien: 644
  • Ordner: 755
  • app/etc/env.php darf niemals öffentlich zugänglich sein

4. Datenbanksicherheit


  • Ändern Sie das Standard-Tabellenpräfix
  • Verwenden Sie starke Passwörter für SQL-Zugriff
  • Beschränken Sie autorisierte IPs für Datenbankverbindungen

5. Redis- und Varnish-Konfiguration


  • Authentifizieren Sie den Redis-Zugriff
  • Beschränken Sie autorisierte IPs für Varnish
  • Verwenden Sie TLS für Cache-Verbindungen

6. Schutz vor XSS- und CSRF-Angriffen


Magento 2 enthält native Schutzmechanismen, aber überprüfen Sie:


  • Dass XSS-Validierer aktiv sind
  • Dass CSRF-Tokens für alle Formulare generiert werden
  • Dass Ihre benutzerdefinierten Module diese Mechanismen respektieren

7. Zahlungssicherheit


  • Überprüfen Sie, ob Ihre Zahlungsmodule PCI DSS verwenden
  • Aktivieren Sie 3D Secure (SCA) für Kartenzahlungen
  • Speichern Sie niemals Kreditkartendaten auf Ihrem Server

8. Web-API und GraphQL


APIs sind häufige Angriffsvektoren:


  • Beschränken Sie den API-Zugriff per Integrationsschlüssel
  • Aktivieren Sie Rate Limiting
  • Validieren Sie alle GraphQL-Eingaben

9. Logs und Monitoring


  • Aktivieren Sie die Protokollierung fehlgeschlagener Anmeldeversuche
  • Verwenden Sie New Relic oder Äquivalent zur Anomalieerkennung
  • Bewahren Sie Logs mindestens 90 Tage auf

10. TLS/SSL-Zertifikat


  • Überprüfen Sie, ob Ihr Zertifikat gültig und aktuell ist
  • Verwenden Sie mindestens TLS 1.3
  • Leiten Sie den gesamten HTTP-Verkehr auf HTTPS um

11. Captcha und Anti-Bot-Schutz


Magento 2 enthält Google reCAPTCHA v3. Stellen Sie sicher, dass es:


  • Bei Anmeldeformularen aktiviert ist
  • Bei Registrierungsformularen aktiviert ist
  • Beim Formular für vergessene Passwörter aktiviert ist

12. Backups und Wiederherstellungsplan


  • Sichern Sie täglich Dateien und Datenbank
  • Lagern Sie Backups extern (S3 usw.)
  • Testen Sie die Wiederherstellung mindestens einmal pro Quartal

13. Inaktive Benutzerkonten


  • Überprüfen Sie Admin-Konten monatlich
  • Entfernen oder deaktivieren Sie inaktive Konten
  • Überprüfen Sie die Berechtigungen von API-Integrationskonten

14. CSP (Content Security Policy)


  • Implementieren Sie eine strenge CSP zur Verhinderung von XSS-Angriffen
  • Testen Sie im Berichtsmodus, bevor Sie den Blockierungsmodus anwenden
  • Verwenden Sie das Magento-2-CSP-Modul

15. Externer Schwachstellenscan


  • Verwenden Sie einen Schwachstellenscanner (Sucuri, Qualys)
  • Führen Sie jährliche Penetrationstests (Pentest) durch
  • Verfolgen Sie CVEs (Common Vulnerabilities and Exposures)

Die Sicherheit Ihres Shops ist ein fortlaufender Prozess. Ich führe umfassende Sicherheitsaudits für Magento 2 und Adobe Commerce durch. Kontaktieren Sie mich, um Ihre Website zu sichern.