Manche Zen Cart Templates verwenden Google Fonts, eine bequeme Lösung, um auch mal etwas stylishere Schriftarten im Shop verwenden zu können.
Wenn die Google Fonts via Google CDN eingebunden werden, besteht höchste Abmahngefahr.
Sollte Ihr Template Google Fonts via Google CDN einbinden, dann stellen Sie das umgehend auf eine lokale Einbindung um.

Ob Ihr Template Google Fonts via Google CDN einbindet, können Sie leicht herausfinden, indem Sie sich den Quelltext Ihrer Shopstartseite ansehen.
Suchen Sie nach:

<link href="//fonts.googleapis.com/

Ein komplettes Beispiel wäre:

<link href="//fonts.googleapis.com/css?family=Open+Sans:300,500,600,700" rel="stylesheet" type="text/css"/>

Hier wird die Schriftart Open Sans in den Stärken 300,500,600 und 700 von den Google Servern eingebunden.

Um diese Schriftart nun auf dem eigenen Server zu hosten und von dort aufzurufen gehen Sie folgendermaßen vor:

1)
Nutzen Sie folgende tolle Website, die Ihnen alles bereitstellt, was Sie benötigen:
https://gwfh.mranftl.com/fonts

Im Suchfeld oben links geben Sie Ihre Schriftart ein, in diesem Beispiel Open Sans
Clicken Sie aufs Suchergebnis.

Auf der nächsten Seite kreuzen Sie beim charset latin an, sollten Sie weitere exotische Sprachen verwenden, auch die entsprechenden anderen.
Normalerweise sollte latin reichen

Darunter kreuzen Sie die Stärken an, die Sie benötigen, in diesem Beispiel wären das 300,500,600 und 700
regular ist ohnhin immer angekreuzt
Kreuzen Sie nur an, was Sie wirklich benötigen

Im Bereich Copy CSS schalten Sie um auf Modern Browsers und kopieren sich dann die angezeigten Definitionen.

Fügen Sie diese Definitionen in eine leere Textdatei ein und speichern Sie sich diese Datei als open-sans.css

Ganz unten auf der Seite gehen Sie nun auf den blauen Downloadbutton und laden sich das zip Archiv herunter

2)

Legen Sie in Ihrem Shopverzeichnis am Server einen neuen Ordner namens assets an.
Das ist nur ein Vorschlag, Sie können den auch anders nennen, es macht aber Sinn für Stylesheets, Fonts oder Javascripts, die man ganz unabhängig von Zen Cart bereitstellen will ein solches Verzeichnis namens assets zu verwenden.

Das ist dann praktisch Ihr eigenes CDN, Sie könnten später auch eine eigene Subdomain anlegen, z.B. https://cdn.meinshop.de, der aufs Verzeichnis assets zielt, um die Inhalte dieses Ordners bei Bedarf auch für andere Ihrer Websites leicht bereitzustellen.

Im Ordner assets legen Sie nun zwei neue Unterordner an:
css und fonts

Laden Sie nun die zuvor abgespeicherte open-sans.css ins Verzeichnis assets/css

Entpacken Sie das heruntergeladene zip Archiv und laden Sie den Inhalt ins Verzeichnis assets/fonts

Die fonts liegen also ohne weitere Unterordner dann direkt im Ordner fonts:

3)

Als letztes entfernen Sie nun den Aufruf des Google Fonts Servers und ersetzen ihn durch Ihren lokalen Link

Ein Zen Cart Template wird für den Aufruf in der Regel folgende Datei verwenden

includes/templates/DEINTEMPLATE/common/html_header.php

Suchen Sie also in dieser Datei nach dem Aufruf, den Sie im Quelltext ja vorhin bereits gefunden haben, z.B.

<link href="//fonts.googleapis.com/css?family=Open+Sans:300,500,600,700" rel="stylesheet" type="text/css"/>

Und ersetzen Sie ihn mit der Adresse zu Ihrem vorhin hochgeladenen Stylesheet open-sans.css im Ordner assets/css, also z.B.

<link href="https://www.meinshop.de/assets/css/open-sans.css" rel="stylesheet" type="text/css"/>

4)

Fertig, die IP Adresse der Besucher wird nun nicht mehr auf Google Server übertragen und ihre Schriftart wird stattdessen lokal eingebunden.

Hinweis für mehrere Schriftarten

Falls Sie mehrere solcher Google Fonts verwenden, dann kombinieren Sie die CSS Definitionen in Ihrem erstellten Stylesheet. Würden Sie z.B. die Fonts Open Sans und Belleza verwenden, dann würde Ihr Stylesheet so aussehen:

/* open-sans-300 - latin */
@font-face {
  
  font-style: normal;
  font-weight: 300;
  src: local(''),
       url('../fonts/open-sans-v34-latin-300.woff2') format('woff2'), /* Chrome 26+, Opera 23+, Firefox 39+ */
       url('../fonts/open-sans-v34-latin-300.woff') format('woff'); /* Chrome 6+, Firefox 3.6+, IE 9+, Safari 5.1+ */
}

/* open-sans-regular - latin */
@font-face {
  
  font-style: normal;
  font-weight: 400;
  src: local(''),
       url('../fonts/open-sans-v34-latin-regular.woff2') format('woff2'), /* Chrome 26+, Opera 23+, Firefox 39+ */
       url('../fonts/open-sans-v34-latin-regular.woff') format('woff'); /* Chrome 6+, Firefox 3.6+, IE 9+, Safari 5.1+ */
}

/* open-sans-500 - latin */
@font-face {
  
  font-style: normal;
  font-weight: 500;
  src: local(''),
       url('../fonts/open-sans-v34-latin-500.woff2') format('woff2'), /* Chrome 26+, Opera 23+, Firefox 39+ */
       url('../fonts/open-sans-v34-latin-500.woff') format('woff'); /* Chrome 6+, Firefox 3.6+, IE 9+, Safari 5.1+ */
}

/* open-sans-600 - latin */
@font-face {
  
  font-style: normal;
  font-weight: 600;
  src: local(''),
       url('../fonts/open-sans-v34-latin-600.woff2') format('woff2'), /* Chrome 26+, Opera 23+, Firefox 39+ */
       url('../fonts/open-sans-v34-latin-600.woff') format('woff'); /* Chrome 6+, Firefox 3.6+, IE 9+, Safari 5.1+ */
}

/* open-sans-700 - latin */
@font-face {
  
  font-style: normal;
  font-weight: 700;
  src: local(''),
       url('../fonts/open-sans-v34-latin-700.woff2') format('woff2'), /* Chrome 26+, Opera 23+, Firefox 39+ */
       url('../fonts/open-sans-v34-latin-700.woff') format('woff'); /* Chrome 6+, Firefox 3.6+, IE 9+, Safari 5.1+ */
}

/* belleza-regular - latin */
@font-face {
  
  font-style: normal;
  font-weight: 400;
  src: local(''),
       url('../fonts/belleza-v17-latin-regular.woff2') format('woff2'), /* Chrome 26+, Opera 23+, Firefox 39+ */
       url('../fonts/belleza-v17-latin-regular.woff') format('woff'); /* Chrome 6+, Firefox 3.6+, IE 9+, Safari 5.1+ */
}

Und die Belleza Font Dateien kommen genauso ohne jedes Unterverzeichnis in Ihren assets/fonts/ Ordner:

Hinweis für Nutzung von Google Fonts in Google reCaptcha
Aufgrund der aktuellen Abmahnwellen für die nicht-lokale Einbindung von Google Fonts werden verstärkt Scan Tools eingesetzt, die auch bei der Nutzung von Google reCaptcha Alarm schlagen.
Das hat aber nichts mit den Google Fonts Abmahnungen zu tun.
Google reCaptcha lädt für die Funktionalität Google Fonts, das kann auch nicht geändert werden.
Da bei der Nutzung von Google reCatcha ohnehin die IP-Adresse in berechtigtem Interesse übertragen wird und für die Funktionalität auch übertragen werden muss, ist das Laden von Google Fonts irrelevant.
Infos der IT Recht Kanzlei dazu hier:
https://www.it-recht-kanzlei.de/google-fonts-recaptcha-youtube.html
Sie sollten auf jeden Fall auf die Nutzung von Google reCaptcha in Ihrer Datenschutzerklärung hinweisen.

Einige Templates, unter anderem das Standardtemplate responsive_classic verwenden für die Darstellung einiger Icons Font Awesome.

In Zen Cart Version älter als 1.5.7 wurden die Font Awesome Stylesheets von den Font Awesome Servern oder anderen Font Awesome CDNs eingebunden.
Das ist datenschutztechnisch bedenklich, daher liefert 1.5.7j nun die aktuelle Version von Font Awesome für die lokale Einbindung mit.

Die Font Awesome Pakete befinden sich seit 1.5.7 im Ordner extras/fontawesome
Zur Verfügung steht dort seit Version 1.5.7j in den jeweiligen Unterordnern die Version 6.7.2

Das responsive_clasic Template bindet das dann z.B. in includes/templates/responsive_classic/common/html_header.php wie folgt lokal ein:

<link rel="stylesheet" href="extras/fontawesome/6.7.2/css/all.css" />

Wenn andere Templates verwendet werden, die Fontawesome in includes/templates/DEINTEMPLATE/common/html_header.php noch anders einbinden, dann sollte der Aufruf wie im responsive_classic auf die jeweilige lokale Version umgestellt werden.

Wenn Sie in Ihrem Shop Downloadartikel anbieten, dann empfiehlt es sich den „Download“-Ordner oberhalb Ihres Webroot-Ordners zu verschieben, so dass nicht direkt auf echte Dateien auf Ihrem Server verlinkt werden kann.
Herunterladen ohne zu bezahlen oder sich zu authentifizieren kann dadurch verhindert werden.
Sollte Ihr Provider das Anlegen von Ordner oberhalb des www nicht unterstützen, stellt sich die Frage, ob der Provider für Ihren Onlineshop wirklich geeignet ist.

Voraussetzung:
Unter Konfiguration > Attributeinstellungen verwenden Sie entweder die Download-Methode „Streaming Download“ oder „Download über Weiterleitung“.

Verwenden Sie Ihr FTP-Programm, um Ihren „Download“-Ordner außerhalb Ihres Webroot zu verschieben.
Ziehen Sie ihn am besten auf eine Ebene „über“ Ihrem public_html-Ordner.
Die Methode, die Sie zum Verschieben oder Erstellen dieses Ordners wählen, hängt von Ihrem Hosting-Account und den Tools ab, die Ihnen zum Verschieben von Ordnern zur Verfügung stehen.

Normalerweise befindet sich der „download“-Ordner in Ihrem Shopverzeichnis, zum Beispiel:
/home/benutzername/public_html/shop/download

Sie wollen ihn „über“ Ihren public_html-Ordner verschieben, also etwa so:
/home/benutzername/download

Bearbeiten Sie nun Ihre beiden configure.php-Dateien, um den neuen Pfad zu Ihrem Download-Ordner anzugeben:
/includes/configure.php
/DEINADMIN/includes/configure.php

Fügen Sie in beiden Dateien folgende neue Definition ein und geben Sie den neuen Pfad zu Ihrem download Ordner an:


define('DIR_FS_DOWNLOAD', '/home/benutzername/download/');


Gemeint ist der genaue vollständigen Pfad für das Dateisystem des Webservers, der auf Ihren Download-Ordner zeigt.
Sie können Ihren DIR_FS_CATALOG-Eintrag in Ihrer Datei configure.php als Referenz verwenden und entsprechende Anpassungen vornehmen.

Achten Sie darauf, dass die beiden configure.php in der Regel schreibgeschützt sind.
Bevor Sie diese Änderung vornehmen setzten Sie daher erst die Dateirechte auf chmod 666
Und nach der Änderung wieder auf chmod 444

Das admin Verzeichnis kann seit Zen-Cart 1.5.0 bereits bei der Installation umbenannt werden.
Um es später erneut umzubenennen, reicht es, einfach per FTP Programm den Ordner umzubenennen, es sind keinerlei Änderungen in der DEINADMIN/includes/configure.php nötig!

Woran erkenne ich, dass mein Shop wirklich gehacked wurde?

Typische Symptome:

• Veränderte Startseite oder seltsame Texte auf verschiedenen Seiten
• Texte in den Bestellbestätigungsmails sind verändert
• Die Sidebox record_companies ist auf einmal aktiv
• Am Server finden sich im images Verzeichnis Dateien mit der Endung .php
• In der Datenbank finden sich in der Tabelle record_company etliche neue Einträge mit Verweisen auf die schädlichen PHP Scripts im images Verzeichnis
• .htaccess Dateien in einigen Unterordnern wurden verändert
• Es wurden neue Administratoren angelegt

Was muss ich tun, wenn mein Shop gehacked wurde?

1) Bereinigen Sie die gehackte Installation mit folgenden Schritten:

a) Prüfen Sie am Server ALLE Dateien im Shopverzeichnis.
Sind neue hinzugekommen, die nicht Sie aufgespielt haben (Datum der Änderung im FTP-Programm beachten)? Dann löschen Sie diese Dateien. Wurden zu diesem Datum Dateien geändert? Dann stellen Sie die Originaldateien wieder her.

b) Überprüfen Sie die Einstellungen im Adminbereich, v.a. Name des Shops, Emailadressen und Email-Einstellungen, Einstellungen bei den Zahlungsweisen.

c) Wenn Sie Zahlungsmodule einsetzen, bei denen im Adminbereich Zugangsdaten gespeichert sind (Passwörter, Transaktionsschlüssel, API-Keys), dann ändern Sie diese Zugangsdaten sofort.

d) Überprüfen Sie die zuletzt eingegangenen Bestellungen auf Echtheit (das sollten Sie ohnehin immer tun)

e) Wenn Sie Kreditkartenzahlung anbieten und Sie vermuten, dass auch Kreditkartendaten durch den Hacker gestohlen wurden, informieren Sie die betroffenen Kunden.

f) Überprüfen Sie die Tabellen record_company und record_artists auf neue seltsame Einträge und löschen Sie diese Einträge

g) Ändern Sie Usernamen und Passwort für Ihre MySQL Datenbank

2) Falls Sie eine Zen-Cart Version älter als 1.5.6 verwenden, führen Sie nun unverzüglich ein Update auf Zen-Cart 1.5.7 durch.

Generelle Empfehlungen:

Führen Sie regelmäßig Backups durch und sichern Sie sowohl die Shopdateien als auch die Datenbank. Dadurch können Sie später leicht wieder den früheren Zustand wiederherstellen, falls so etwas nochmals passieren sollte.

Beachten Sie auch die anderen Maßnahmen, die in den Wichtigen Sicherheitsempfehlungen beschrieben sind.

Voraussetzungen:
Ein eigenes echtes SSL Zertifikat.
Für ein Shared SSL ist diese Vorgangsweise nicht geeignet!

Warum komplett auf SSL umstellen?
Standardmäßig ist SSL (falls vorhanden und aktiviert) in Zen Cart im Frontend oft nur für das Kundenlogin, den Checkout Prozess und die Kontaktseite aktiv.
„Normale“ Seiten wie Kategorien, Artikelseiten usw. werden standardmäßig per http aufgerufen und der Shop schaltet eben nur für Kundenlogin und Bestellvorgang auf https um
Seit Edward Snowden stellen immer mehr Seiten aus gutem Grund aber komplett auf https um.
Google selbst tut das schon lange und bewertet Seiten positiv, die durchgehend per https erreichbar sind.
Browser kennzeichnen bereits Seiten, die nicht per https erreichbar sind als unsicher.
Seitdem es unter anderem Let’s Encrpyt gibt, bieten die meisten Provider sogar kostenlose SSL Zertifikate an.
Daher gibt es bereits seit dem Jahr 2018 keinen einzigen Grund, eine Website nicht komplett via https erreichbar zu machen.

Wenn durchgehend auf https umgestellt wird, führt das zu leichten Geschwindigkeitseinbußen, da auch alle Bilder über https geladen werden.
Da bereits seit Zen Cart 1.5.3 deutsch der Seitenaufbau aber durch Caching und verbesserte Datenbankabfragen gegenüber älteren Versionen stark beschleunigt ist, gibt es bei durchgehendem SSL keine Nachteile mehr.
Es schadet aber nichts, seine Artikel- und Kategoriebilder zu optimieren, das sollte ohnehin Standard sein.

Um Frontend und Adminbereich komplett auf https umzustellen, sind folgende Änderungen nötig:

In diesem Beispiel ist der Shop unter www.meinshop.de erreichbar und auch das SSL Zertifikat wurde für www.meinshop.de ausgestellt, so dass der Shop mit folgender Adresse fehlerfrei erreichbar ist:

https://www.meinshop.de

DEINADMIN steht für den Namen des Adminverzeichnisses
Diese Werte entsprechend der realen Gegebenheiten anpassen

1)

includes/configure.php

Oben bei beiden URLs die SSL URL des Shops eintragen und SSL auf true stellen, so dass es so aussieht:

define('HTTP_SERVER', 'https://www.meinshop.de');
define('HTTPS_SERVER', 'https://www.meinshop.de');
define('ENABLE_SSL', 'true');

2)

DEINADMIN/includes/configure.php

Oben bei allen drei URLs die SSL URL des Shops eintragen und die SSL Option auf true stellen, so dass es so aussieht:

define('HTTP_SERVER', 'https://www.meinshop.de');
define('HTTP_CATALOG_SERVER', 'https://www.meinshop.de');
define('HTTPS_CATALOG_SERVER', 'https://www.meinshop.de');
define('ENABLE_SSL_CATALOG', 'true');

3)

Beim Hochladen der geänderten Dateien darauf achten, dass die beiden configure.php normalerweise mit einem Schreibschutz versehen sind (chmod 444).
Um sie also überschreiben zu können vorher die Rechte auf chmod 666 oder chmod 777 setzen.
Nach der Änderung die Rechte wieder auf chmod 444 ändern
Und darauf achten, dass es sich bei includes/configure.php und DEINADMIN/includes/configure.php um zwei völlig unterschiedliche Dateien handelt.

4)

Nach dieser Änderung den Shop aufrufen, es sollte jetzt beim Click auf irgendeine Kategorie oder irgendeinen Artikel immer eine https Adresse in der Adresszeile stehen.
In der Zen Cart Administration überprüfen, ob auch hier durchgehend immer https verwendet wird.
Sollte der Admin vorher nicht auf SSL gestellt gewesen sein, wird Zen Cart dazu auffordern, das Admin Passwort zu ändern.

5)

Wenn man den Shop direkt mit http://www.meinshop.de aufruft, dann wird dieser Aufruf nicht dazu führen, dass die Adresse auf https://www.meinshop.de umspringt.
Ebenso werden Links zum Shop, die auf anderen Websites mit http://www.meinshop.de/irgendwas gesetzt sind nicht auf https umgeschrieben.
Das hat mit Zen Cart nichts zu tun.

Der im folgenden beschriebene Eintrag in der .htaccess kann entfallen, wenn der Provider bei der Konfiguration des SSL Zertifikats die Einstellung „SSL erzwingen“ vorsieht. Diese Einstellung zu setzen ist immer besser als irgendwelche .htaccess Einträge.

Um zu erzwingen, dass immer https statt http verwendet wird, also nie eine Seite unverschlüsselt aufgerufen werden kann, kann im Shopverzeichnis eine .htaccess mit z.B. folgendem Inhalt plaziert werden:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.meinshop.de/$1 [R,L]

Bei manchen Providern kann auch alternativ stattdessen folgender Inhalt nötig sein:

RewriteEngine On
RewriteCond %{HTTPS} off 
RewriteCond %{HTTPS_HOST} !^www.meinshop.de$ [NC]
RewriteRule ^(.*)$ https://www.meinshop.de/$1 [L,R=301]

Sollte es im Shopverzeichnis bereits eine .htaccess geben, dann entsprechend deren Inhalt mit dem Eintrag erweitern.

Gemeint ist hier nicht die .htaccess im includes Verzeichnis, sondern die im Shopverzeichnis, also das Verzeichnis, in dem sich auch die index.php des Shops befindet.

Nach dieser Änderung werden alle Aufrufe der Seite über http auf https umgeleitet.

6)

Effekte der Umstellung

Google wird in den Suchergebnissen binnen kürzester Zeit alle http:// Links zum Shop mit https:// ersetzen.

Da jetzt durchgehend https verwendet wird, darf auf der Seite kein Bild, kein Javascript, kein iFrame oder Youtube Video mit http eingebunden werden.
Es darf also kein Element mit

src="http://

vorhanden sein, sonst wird es entweder gar nicht angezeigt oder es erscheinen Sicherheitswarnungen.
Bilder daher immer relativ einbinden und nie mit absoluten Links. Falls doch mit absoluten Links, dann müssen die mit:

src="https://

erreichbar sein.
Gleiches gilt für Javascripts, Styleheets, iFrames oder Youtube Videos

Nach erfolgreicher Installation des Shops sind folgende Maßnahmen empfohlen, um die Sicherheit des Shops zu erhöhen.

Generell

Betreiben Sie Ihren Onlineshop NICHT OHNE SSL!

Ihre Kunden können erwarten, dass ihre Daten beim Konto erstellen, Login, Daten ändern und im Bestellablauf nicht völlig unverschlüsselt übertragen werden. Empfohlen ist ein „echtes“ auf Ihre Domain ausgestelltes SSL Zertifikat, kein Shared SSL!
In Zeiten von Lets Encrypt sollte keine Website mehr ohne SSL betrieben werden.
Auch für Ihre Zen Cart Administration ist SSL eine ganz wesentliche Absicherung.
Empfohlen ist, https nicht nur für Login und Checkout zu verwenden, sondern den gesamten Shop durchgehend per https erreichbar zu machen, siehe dazu:
https://www.zen-cart-pro.at/knowledgebase/wie-stelle-ich-zen-cart-deutsch-komplett-auf-ssl-um/

Übertragen Sie Daten per FTP nur per SFTP oder FTPS

Per normalem FTP werden die Daten unverschlüsselt übertragen. Sollte Ihr Provider keine SFTP oder FTPS Übertragung unterstützen, stellt sich die Frage, ob der Provider für Ihren Onlineshop wirklich geeignet ist.

Legen Sie die Ordner pdf und logs auf eine Ebene oberhalb des www

Damit Logfiles mit sensiblen Informationen oder pdf Rechnungen keinesfalls überhaupt per Browser aufrufbar sind, legen Sie die Ordner auf eine Ebene oberhalb des www und geben den Pfad zum logs Ordner in den beiden configure.php entsprechend an. Den Pfad zu den pdf Rechnungen geben Sie in der Konfiguration der pdf Rechnung entsprechend an.
Sollte Ihr Provider das Anlegen von Ordner unterhalb des www nicht unterstützen, stellt sich die Frage, ob der Provider für Ihren Onlineshop wirklich geeignet ist.

Wichtige Sicherheitsempfehlungen

1. Löschen Sie das Installationsverzeichnis zc_install und andere nicht benötigte Dateien und Ordner

Der Ordner zc_install wird am Server nicht mehr benötigt und sollte komplett gelöscht werden. Falls Sie ihn nach der Installation nur umbenannt und nicht gelöscht haben: Nicht umbenennen und am Server lassen, sondern komplett löschen!

Löschen Sie auch folgende Datei, falls Sie die hochgeladen haben:
– install.txt

Falls Sie in Ihrem Shop keine Downloads oder Musikdateien anbieten werden, können Sie nun auch die folgenden Ordner löschen:
– download
– media
– pub
Damit Sie keine Warnmeldung über den fehlenden Downloadordner bekommen, müssen Sie danach in der Administration unter Konfiguration > Attributeinstellungen „Downloads aktivieren“ auf false stellen.
Sollten Sie später einmal Downloads anbieten wollen, müssen Sie diese Ordner wieder hochladen und ihnen die entsprechenden Berechtigungen geben.

Hinweis:
In älteren Zen Cart Versionen konnte der Ordner extras gelöscht werden. Seit Zen Cart 1.5.3 deutsch diesen Ordner keinesfalls löschen, da er für die Funktionalität benötigt wird!

2. Setzen Sie einen Schreibschutz für die beiden configure.php

Die beiden Zen Cart Konfigurationsdateien sollten nachdem Sie darin alle gewünschten Änderungen vorgenommen haben, nicht mehr am Server änderbar sein.
Daher müssen sie mit einem Schreibschutz versehen werden. Normalerweise wird das vom Installationsprogramm automatisch gemacht.
Wenn sich Ihr Shop auf einem Linux-Server befindet, setzen Sie den Schreibschutz mit Ihrem FTP Programm und geben folgenden Dateien den Befehl chmod 444
includes/configure.php
DEINADMIN/includes/configure.php

3. Verwenden Sie als Emailtransportmethode smtpauth oder smtp

Unter Konfiguration > Emailoptionen können Sie einstellen, wie Ihr Shop Emails versenden soll. Standardmäßig ist hier meist PHP eingestellt, damit der Shop direkt einsatzbereit ist.
Es ist wesentlich besser, die Emails über einen SMTP Server versenden zu lassen. Zum einen reduziert das die Wahrscheinlichkeit, dass Emails bei Ihren Kunden im Spamordner landen. Zum anderen ist es bei Versand über PHP je nach Serverkonfiguration möglich, dass bei Mails aus dem Adminbereich (z.B. Bestellstatusupdates) der Name Ihres admin Verzeichnisses im Mail auslesbar ist.
Daher stellen Sie um auf smtpauth und geben weiter unten in der Konfiguration den Namen Ihres SMTP Servers und eine gültigen Usernamen/Passwort dazu ein.

4. Löschen Sie alle nicht benötigten Admin Accounts

Haben Sie mehrere Administratoren angelegt? Werden wirklich mehrere Admin Accounts verwendet? Sind die zusätzlichen Admin Accounts wirklich nötig? Gibt es noch einen Adminaccount namens Demo?
Überprüfen Sie, ob mehrere Admins angelegt sind und löschen Sie nicht unbedingt benötigte Administratoren.
Seit Zen Cart 1.5 finden Sie das unter Admin > Admin Benutzerechte > Adminbenutzer

5. Verwenden Sie sichere Passwörter

Das Passwort für Ihren Admin Account sollte mindestens 8 Zeichen lang sein und am besten aus einer Ziffern-, Buchstaben-Kombination bestehen. Verwenden Sie auch Groß- und Kleinschreibung. Verwenden Sie keine „normalen“ Wörter, die einen Sinn ergeben.
In Zen Cart 1.5.x und höher werden Sie alle 90 Tage automatisch aufgefordert, Ihr Passwort zu änden.
Passwortänderung in Zen Cart 1.5.6 und höher unter Admin > Administratoren > Admin User > Passwort zurücksetzen
Diese Passwortempfehlungen gelten genauso für Ihren FTP User oder das Passwort zum Zugang zu phpMyAdmin. Verwenden Sie auch hier sichere Passwörter!

6. Versehen Sie Ihre define pages mit einem Schreibschutz

Damit Sie unter Admin > Tools > Seiteneditor Ihre Define Pages online bearbeiten können, mussten Sie diesen Dateien Schreibrechte geben.
Die Dateien befinden sich im Ordner includes/languages/german/html_includes
Falls Sie weitere Sprachen einsetzen im entsprechenden Sprachverzeichnis, z.B. includes/languages/english/html_includes
Wenn Sie mit dem Editieren Ihrer Seiten fertig sind, setzen Sie auf all diese Dateien wieder einen Scheibschutz mit chmod 644.
Wenn Sie später wieder über den Seiteneditor im Adminbereich Änderungen an diesen Seiten vornhehmen wollen, müssen Sie natürlich wieder per FTP den entsprechenden Dateien Schreibrechte geben (z.B. chmod 666)

7. Verwenden Sie die mitgelieferten .htaccess und index.html Dateien

In verschiedenen Verzeichnissen der Zen Cart Installation befinden sich .htaccess Dateien und index.html Dateien.
Löschen Sie diese Dateien nicht! V.a. die verschiedenen .htaccess Dateien z.B. im admin Verzeichnis oder im includes Verzeichnis sind für die Sicherheit Ihres Shops sehr wichtig!
Die leeren index.html Dateien dienen dazu, dass beim Aufruf des Verzeichnisses nicht der Inhalt angezeigt wird.
Noch sicherer ist es, dazu zusätzlich eine .htaccess Datei zu erstellen und sie in Verzeichnisse mit einer index.html zu legen.

Diese .htaccess könnte folgenden Inhalt haben:


#.htaccess to prevent unauthorized directory browsing or access to .php files
IndexIgnore */*
<Files *.php>
Order Deny,Allow
Deny from all
</Files>

Manche Provider erlauben das manuelle Erstellen von .htaccess Dateien nicht oder benötigen andere Settings als die in obigem Beispiel.
Nehmen Sie bei Unklarheiten oder Schwierigkeiten mit Ihrem Provider Kontakt auf, um die besten Einstellungen für Ihr System zu ermitteln.

8. Schützen Sie das images Verzeichnis

Während der Zen Cart Installation wurde empfohlen, dem images Verzeichnis Schreibrechte zu geben (chmod 777).
Das dient dazu, dass Sie in der Lage sind, über das Adminmenü Bilder hochzuladen.
Wenn Sie Ihren Shop fertig eingerichtet haben, ist es besser, das images Verzeichnis wieder auf chmod 755 zurückzustellen.
Dadurch haben Hacker nicht die Möglichkeit, zu versuchen, schadhaften Code in Ihr images Verzeichnis einzuschleusen.
Stellen Sie daher die Rechte des images Verzeichnisses und der Unterordner darin von chmod 777 auf chmod 755.
Ähnlich wie bei Empfehlung 6 (Versehen Sie Ihre define pages mit einem Schreibschutz) müssen Sie dann später möglicherweise wieder auf 777 stellen, bevor Sie über das Adminmenü weitere Bilder hochladen können.

Sollte bei Ihrem Provider PHP als CGI-Modul laufen, ist folgende .htaccess Datei für das images Verzeichnis empfehlenswert:


# Prevent directory viewing and the ability of any scripts to run.
# No script, be it PHP, PERL or whatever, can normally be executed if ExecCGI is disabled.
OPTIONS -Indexes -ExecCGI

9. Hinweise zu Schreibrechten für verschiedene Ordner

Während der Zen Cart Installation wurde empfohlen, bestimmten weiteren Verzeichnissen Schreibrechte (chmod 777) zu geben.
Nachdem der Shop fertig eingerichtet ist, sind diese Rechte meist nicht mehr nötig.
Faustregel: Je weniger chmod 777 desto besser!

Hier einige Informationen zu diesen Verzeichnissen. Bitte wenden Sie sich bei Unklarheiten an Ihren Provider, nicht alle hier beschriebenen Enpfehlungen sind bei allen Providern so möglich.

Dieser Ordner wird seit Zen Cart 1.5.3 deutsch nur für das Schreiben von Errorlogs verwendet (ältere Zen Cart Versionen haben dafür den Ordner cache verwendet).
Statt diesem Ordner chmod 777 zu geben ist es besser, den Ordner eine Ebene über das public_html/htdocs/www Verzeichnis zu legen.
Verzeichnisse auf dieser Ebene sind im Browser nicht aufrufbar.
Wenn Sie das tun, müssen sie auch in beiden configure.php den Pfad zum logs Verzeichnis entsprechend anpassen.

Dieser Ordner wird seit Zen Cart 1.5.3 deutsch nur noch für echtes Caching verwendet. Unter cache/images werden die vom Image Handler generierten Bildercaches abgelegt und unter cache/minify werden die komprimierten Stylesheets und Javascripts gecached. Auch RSS Feeds werden falls aktiviert im Ordner cache/rss gecached.
Dieser Ordner muss daher samt Unterverzeichnissen vom Webserver beschreibbar sein und der Inhalt muss per Browser aufrufbar sein.
Der Ort dieses Ordners sollte seit Zen Cart 1.5.3 deutsch am besten nicht geändert werden.

siehe Empfehlungen unter 7.

siehe Empfehlungen unter 6.

Dieses Verzeichnis muss nur Schreibrechte haben, wenn Mediendateien zum Artikeltyp Musik per Admin hochgeladen werden sollen.
Wenn Sie in Ihrem Shop nichts Derartiges anbieten, setzen Sie das Verzeichnis auf chmod 755

Dieses Verzeichnis wird nur verwendet, wenn Sie in Ihrem Shop Downloads anbieten.
Wenn Sie in ihrem Shop keine Downloads anbieten, setzen Sie das Verzeichnis auf chmod 755

Dieses Verzeichnis benötigt chmod 777, falls Sie via Admin Sicherungen Ihrer Datenbank durchführen.
Wenn Sie das nicht verwenden, setzen Sie das Verzeichnis auf chmod 755

Dieses Verzeichnis benötigt nur chmod 777, um die Statistiken und Grafiken unter Admin > Tools > Banner Manager aktualisieren zu können.
Wenn Sie dieses Feature nicht brauchen, setzen Sie das Verzeichnis auf chmod 755

Generelle Empfehlung für alle übrigen Verzeichnisse und Dateien:
Verzeichnisse: chmod 755
Dateien: chmod 644

10. Drucken Sie nicht die Admin URL mit

Falls Sie Rechnungen über den Adminbereich ausdrucken („in Rechnung stellen“), achten Sie darauf, dass im Ausdruck nicht die URL mitgedruckt wird:
In Firefox:
Datei > Seite einrichten > Ränder & Kopf- und Fusszeilen
Stellen Sie in allen Dropdownmenüs auf „leer“ oder entfernen Sie zumindest „URL“ oder „Titel“
In Internet Explorer:
Datei > Seite einrichten
Entfernen Sie bei Kopfzeile und Fusszeile die Werte Titel und URL

11. Achten Sie auf Sicherheitswarnungen und Updateankündigungen

Im Thema „Aktuell“ dieser Knowledgebase veröffentlichen wir Hinweise auf Sicherheitslücken, Patches und neue Zen Cart Versionen.
Abonnieren Sie den Newsletter der deutschen Zen Cart Version, um über Sicherheitslücken, Patches und neue Zen Cart Versionen informiert zu werden.

12. Was Sie regelmäßig tun sollten

1. Stellen Sie sicher, dass Sie alle Empfehlungen aus dieser Anleitung beachtet haben.
2. Machen Sie regelmäßig Sicherungen Ihrer Shopdateien und Ihrer Datenbank. Für die Übertragung per FTP verwenden Sie wenn möglich (und wenn von Ihrem Provider unterstützt) FTP via SSL/TLS
   Für die Datenbanksicherung (z.B. via phpMyAdmin) sollten Sie falls möglich SSL aktiv haben.
3. Überprüfen Sie regelmäßig die Logfiles am Server auf Seltsamkeiten. Achten Sie dabei auf Seitenaufrufe von URLs, zu denen nirgendwo auf Ihrer Seite gelinkt wird. Und achten Sie auf Links, die nach index.php ein http enthalten.
4. Überprüfen Sie regelmäßig die Dateien am Server. Wurden neue Dateien hinzugefügt? Wurden bestehende Dateien geändert?