Zum Inhalt springen
Zurück zum Shopware Wiki
Betrieb & Performance

Shopware Sicherheit: Updates, Patches und Schutz

Wie du deinen Shopware-Shop zuverlässig absicherst: Security Advisories verstehen, Updates richtig einspielen und häufige Angriffsvektoren schließen.

5 Min. Lesezeit

Ein Shopware-Shop ist kein statisches System. Er läuft im offenen Web, verarbeitet Zahlungsdaten und personenbezogene Informationen, und er wird täglich von automatisierten Scannern auf bekannte Schwachstellen geprüft. Wer Sicherheit auf die lange Bank schiebt, zahlt früher oder später einen höheren Preis, ob durch einen Datenverlust, einen Reputationsschaden oder aufwendige Bereinigungen nach einem Angriff.

Wie Shopware Sicherheitslücken kommuniziert

Shopware veröffentlicht Security Advisories auf der offiziellen Dokumentationsseite und über das GitHub-Repository. Jede Meldung enthält eine Schwachstellenbeschreibung, die betroffenen Versionen und die empfohlene Maßnahme (meist ein Update auf eine bestimmte Patch-Version).

Parallel dazu gibt es das Shopware Security Plugin, das für ältere Minor-Versionen gedacht ist. Es ermöglicht es, sicherheitsrelevante Fixes einzuspielen, ohne das gesamte System auf eine neue Minor-Version zu heben. Das klingt praktisch, ist aber kein Dauerzustand. Das Plugin schließt bekannte Lücken, ersetzt aber keinen regulären Update-Zyklus.

Stand 2026 veröffentlicht Shopware in der Regel monatlich eine neue Minor-Version. Sicherheitskritische Patches erscheinen außerplanmäßig, sobald eine Lücke bestätigt ist. Wer mehr zu Release-Zyklen und Versionsunterstützung wissen möchte, findet das im Artikel zu Shopware Updates.

Warum ungepatchte Shops das größte Risiko sind

Die meisten erfolgreichen Angriffe auf Shopware-Installationen nutzen keine Sicherheitslücken, die noch niemand kennt. Sie nutzen Lücken, für die es seit Wochen oder Monaten einen Patch gibt. Das ist kein Zufall: Angreifer lesen dieselben Security Advisories wie Entwickler, nur dass sie danach automatisiert nach ungepatchten Installationen suchen.

Konkret heißt das: Wenn Shopware eine Schwachstelle in Version 6.6.x bekanntgibt und den Fix in 6.6.x+1 veröffentlicht, beginnen automatisierte Scanner innerhalb von Stunden damit, Shops zu finden, die noch auf der alten Version laufen. Wer dann drei Wochen braucht, um das Update einzuspielen, war in dieser Zeit angreifbar.

Das ist kein Argument für blindes Auto-Update. Es ist ein Argument für einen strukturierten Prozess, der Sicherheitsupdates von Feature-Updates trennt.

Updates strukturiert einspielen

Ein guter Update-Prozess für Shopware sieht grob so aus:

  • Security Advisories abonnieren: Entweder über die Shopware-Dokumentation, den GitHub-Watch-Mechanismus oder einen automatisierten Newsletter. Wer Advisories erst bemerkt, wenn ein Kunde anruft, ist zu langsam.
  • Staging testen: Kein Update direkt in Produktion. Ein Staging-System, das der Produktionsumgebung möglichst nahe kommt, ist Pflicht. Was in Staging crasht, soll nicht in Produktion crashen. Wie du Staging sauber aufsetzt, erklärt der Artikel zu Backups und Staging in Shopware.
  • Backup vor dem Update: Klingt selbstverständlich, wird aber überraschend oft übersprungen, besonders bei kleineren Patch-Updates. Kein Update ohne aktuellen Datenbankdump und Datei-Backup.
  • Sicherheitsupdates priorisieren: Nicht jedes Update hat dieselbe Dringlichkeit. Ein Feature-Update kann warten. Ein Security-Patch, der eine kritische Schwachstelle schließt, nicht.
  • Plugin-Kompatibilität prüfen: Shopware-Updates können Plugin-Kompatibilität brechen. Vor jedem Update prüfen, ob alle eingesetzten Plugins mit der Zielversion kompatibel sind.

Shop-Härtung jenseits von Updates

Updates sind die wichtigste Einzelmaßnahme, aber nicht die einzige. Ein gehärteter Shop macht es Angreifern schwerer, selbst wenn sie eine Lücke kennen.

Admin-Zugang schützen. Der Pfad /admin ist der Standard-Einstieg ins Backend. Wer den Admin-Bereich zusätzlich mit HTTP-Basicauth oder IP-Whitelisting absichert, macht Brute-Force-Angriffe auf Login-Seiten deutlich aufwendiger.

Unnötige Dienste abschalten. Entwicklungstools, Debug-Modus, Test-Plugins oder Demo-Daten gehören nicht in eine Produktionsumgebung. Sie vergrößern die Angriffsfläche ohne Nutzen.

Dateiberechtigungen prüfen. Viele Angriffe missbrauchen falsch gesetzte Schreibrechte, um Schadcode in das Dateisystem einzuschleusen. Die Shopware-Dokumentation gibt konkrete Empfehlungen zu Berechtigungsstrukturen.

Zugangsdaten rotieren. Datenbankpasswörter, API-Keys und Admin-Passwörter sollten regelmäßig gewechselt werden. Gestohlene Zugangsdaten aus alten Projekten oder kompromittierten Drittsystemen sind ein realer Angriffsweg.

HTTPS und TLS-Konfiguration. Ein gültiges, aktuelles Zertifikat und eine sichere TLS-Konfiguration (kein TLS 1.0 oder 1.1) sind Grundvoraussetzung.

Hosting und Infrastruktur als Sicherheitsfaktor

Ein gehärtetes Shopware selbst nützt wenig, wenn die darunter liegende Infrastruktur Schwachstellen hat. Dazu gehören:

  • Ein regelmäßig gepatchter Webserver (Apache oder nginx) und PHP-Interpreter
  • Eine Firewall, die ausgehende Verbindungen einschränkt und ungewöhnliche Anfragen blockt
  • Monitoring, das auffällige Zugriffsmuster erkennt, etwa ungewöhnlich viele Login-Versuche oder Massenaufrufe bestimmter Endpunkte
  • Isolierte Umgebungen, sodass ein kompromittierter Shop nicht direkt auf andere Systeme auf demselben Server zugreifen kann

Das ist auch einer der Gründe, warum Shared-Hosting-Lösungen für produktive Shopware-Shops problematisch sind. Wer auf einem Shared-Host sitzt, teilt Ressourcen und Risiken mit anderen Mietern.

Datenschutz und Sicherheit zusammendenken

Sicherheit und Datenschutz sind eng verwandte Themen. Eine Sicherheitslücke, die Kundendaten freilegt, ist automatisch auch ein DSGVO-Vorfall mit Meldepflichten. Das bedeutet: Sicherheitsmaßnahmen schützen nicht nur den Shop vor Angriffen, sie schützen auch vor regulatorischen Konsequenzen.

Wer mehr über die Datenschutzpflichten im Shopware-Betrieb wissen möchte, findet das im Artikel zum Thema Shopware DSGVO-konform betreiben.

Häufige Fragen

Muss ich jedes Shopware-Update sofort einspielen?

Nicht jedes Update hat dieselbe Priorität. Security-Patches sollten so schnell wie möglich eingespielt werden, idealerweise innerhalb weniger Tage nach Veröffentlichung. Feature-Updates kannst du nach einem kurzen Testlauf auf Staging in einem geplanten Wartungsfenster einspielen. Den Unterschied erkennst du an der Versionsnummer und den Release Notes.

Was ist das Shopware Security Plugin und wann reicht es?

Das Security Plugin ermöglicht es, sicherheitsrelevante Fixes auf einer älteren Minor-Version einzuspielen. Es ist eine Übergangslösung für Fälle, in denen ein sofortiges Major- oder Minor-Update nicht möglich ist. Langfristig ersetzt es keinen ordentlichen Update-Prozess, weil es nur bekannte und im Plugin abgebildete Lücken schließt.

Wie erkenne ich, ob mein Shop gehackt wurde?

Typische Zeichen sind unbekannte Admin-Accounts, veränderte Template-Dateien, ungewöhnliche ausgehende Verbindungen in den Server-Logs, Weiterleitungen auf fremde Seiten oder ein plötzlicher Einbruch in den organischen Rankings. Ein regelmäßiger File-Integrity-Check hilft, Veränderungen am Dateisystem schnell zu entdecken.

Reicht es, nur Shopware aktuell zu halten?

Nein. Shopware ist ein Teil des Systems. PHP, der Webserver, das Betriebssystem, eingesetzte Plugins und Themes sowie Drittsystem-Zugangsdaten sind genauso relevant. Eine veraltete PHP-Version kann Sicherheitslücken aufweisen, die Shopware selbst nicht schließen kann.

Wenn du den Überblick verloren hast, welche Updates an deinem Shop noch offen sind, welche Plugins seit Jahren nicht mehr gepflegt werden oder ob deine Hosting-Konfiguration hält, was sie verspricht: Wir übernehmen das als Teil unserer Shopware-Betreuung. Kein Audit-Rattenschwanz, kein unnötiges Projektpaket. Nur eine ehrliche Einschätzung und ein Plan, der funktioniert.

Shopware-Projekt oder Frage im Kopf?

Als Shopware Premium Extension Partner kennen wir die Plattform in der Tiefe. Lass uns ehrlich besprechen, was für dich sinnvoll ist.

Kostenloses Erstgespräch buchen Alles zu Shopware

Mehr aus dem Shopware Wiki

Betrieb & Performance

Shopware Updates: Warum sie wichtig sind und wie sie ablaufen

Shopware-Updates schützen deinen Shop vor Sicherheitslücken und bringen neue Funktionen. Hier erfährst du, wie der Update-Prozess sicher abläuft.

Lesen Betrieb & Performance

Shopware Hosting: Anforderungen und die richtige Wahl

Was ein Shopware-Server wirklich können muss, welche Hosting-Modelle sich lohnen und wo viele Händler beim Umzug Fehler machen.

Lesen Betrieb & Performance

Shopware Performance optimieren: schnellere Ladezeiten

So machst du deinen Shopware-Shop wirklich schnell: Caching, Bildoptimierung, Elasticsearch und Hosting-Stellschrauben praxisnah erklärt.

Lesen
Zurück zum Shopware Wiki
BuI Insights

Shopware- & xentral-Praxiswissen direkt ins Postfach

Plugin-Updates, Best Practices, Migrations-Tipps und Branchen-Cases. Ein Mal im Monat, nur das, was wirklich relevant ist. Jederzeit abbestellbar.

Mit dem Klick stimmst du zu, dass wir dir den Newsletter zusenden dürfen (Art. 6 Abs. 1 lit. a DSGVO). Mehr in der Datenschutzerklärung.