Magento 2 Sicherheitsaudit: 15 zu prüfende Punkte im Jahr 2026
Warum ein Sicherheitsaudit unerlässlich ist
2026 sind Angriffe auf E-Commerce-Websites raffinierter denn je. Adobe Commerce/Magento 2 bleibt aufgrund seiner Beliebtheit und der verarbeiteten sensiblen Daten ein bevorzugtes Ziel von Hackern.
Ein regelmäßiges Sicherheitsaudit ist keine Option — es ist eine Notwendigkeit. Hier sind die 15 Punkte, die Sie unbedingt überprüfen sollten.
1. Versionen und Sicherheitspatches
Stellen Sie sicher, dass Ihre Magento-2-Instanz die neueste verfügbare Version verwendet. Adobe veröffentlicht regelmäßig Sicherheitspatches:
- Überprüfen Sie das Adobe-Sicherheitsbulletin
- Wenden Sie Patches innerhalb von 48 Stunden nach Veröffentlichung an
- Automatisieren Sie Updates mit Composer
2. Admin-Zugriffskonfiguration
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA)
- Verwenden Sie starke Passwörter und einen Passwortmanager
- Begrenzen Sie die Anzahl der Anmeldeversuche
- Ändern Sie die Standard-Admin-URL
3. Datei- und Ordnerberechtigungen
Falsche Berechtigungen sind eine offene Tür für Angreifer:
- Dateien: 644
- Ordner: 755
- app/etc/env.php darf niemals öffentlich zugänglich sein
4. Datenbanksicherheit
- Ändern Sie das Standard-Tabellenpräfix
- Verwenden Sie starke Passwörter für SQL-Zugriff
- Beschränken Sie autorisierte IPs für Datenbankverbindungen
5. Redis- und Varnish-Konfiguration
- Authentifizieren Sie den Redis-Zugriff
- Beschränken Sie autorisierte IPs für Varnish
- Verwenden Sie TLS für Cache-Verbindungen
6. Schutz vor XSS- und CSRF-Angriffen
Magento 2 enthält native Schutzmechanismen, aber überprüfen Sie:
- Dass XSS-Validierer aktiv sind
- Dass CSRF-Tokens für alle Formulare generiert werden
- Dass Ihre benutzerdefinierten Module diese Mechanismen respektieren
7. Zahlungssicherheit
- Überprüfen Sie, ob Ihre Zahlungsmodule PCI DSS verwenden
- Aktivieren Sie 3D Secure (SCA) für Kartenzahlungen
- Speichern Sie niemals Kreditkartendaten auf Ihrem Server
8. Web-API und GraphQL
APIs sind häufige Angriffsvektoren:
- Beschränken Sie den API-Zugriff per Integrationsschlüssel
- Aktivieren Sie Rate Limiting
- Validieren Sie alle GraphQL-Eingaben
9. Logs und Monitoring
- Aktivieren Sie die Protokollierung fehlgeschlagener Anmeldeversuche
- Verwenden Sie New Relic oder Äquivalent zur Anomalieerkennung
- Bewahren Sie Logs mindestens 90 Tage auf
10. TLS/SSL-Zertifikat
- Überprüfen Sie, ob Ihr Zertifikat gültig und aktuell ist
- Verwenden Sie mindestens TLS 1.3
- Leiten Sie den gesamten HTTP-Verkehr auf HTTPS um
11. Captcha und Anti-Bot-Schutz
Magento 2 enthält Google reCAPTCHA v3. Stellen Sie sicher, dass es:
- Bei Anmeldeformularen aktiviert ist
- Bei Registrierungsformularen aktiviert ist
- Beim Formular für vergessene Passwörter aktiviert ist
12. Backups und Wiederherstellungsplan
- Sichern Sie täglich Dateien und Datenbank
- Lagern Sie Backups extern (S3 usw.)
- Testen Sie die Wiederherstellung mindestens einmal pro Quartal
13. Inaktive Benutzerkonten
- Überprüfen Sie Admin-Konten monatlich
- Entfernen oder deaktivieren Sie inaktive Konten
- Überprüfen Sie die Berechtigungen von API-Integrationskonten
14. CSP (Content Security Policy)
- Implementieren Sie eine strenge CSP zur Verhinderung von XSS-Angriffen
- Testen Sie im Berichtsmodus, bevor Sie den Blockierungsmodus anwenden
- Verwenden Sie das Magento-2-CSP-Modul
15. Externer Schwachstellenscan
- Verwenden Sie einen Schwachstellenscanner (Sucuri, Qualys)
- Führen Sie jährliche Penetrationstests (Pentest) durch
- Verfolgen Sie CVEs (Common Vulnerabilities and Exposures)
Die Sicherheit Ihres Shops ist ein fortlaufender Prozess. Ich führe umfassende Sicherheitsaudits für Magento 2 und Adobe Commerce durch. Kontaktieren Sie mich, um Ihre Website zu sichern.
Ich kann Ihnen helfen.
Lassen Sie uns über Ihr Projekt sprechen.