Firewall & Security Suite
In-App-Käufe
Abonnements
Beschreibung
Highlights
Features
Über die Erweiterung
Eine Firewall, die in Shopware selbst lebt und schon vor dem HTTP-Cache greift: Sie blockt bösartige IPs, ganze Länder, Brute-Force, Scanner und Spam, bevor sie Schaden anrichten.
Jeder öffentlich erreichbare Shop wird rund um die Uhr von Bots abgeklopft. Die Firewall & Security Suite setzt sich direkt in Shopware - noch vor den Cache - und weist bekannte Bedrohungs-IPs, gesperrte Länder, Honeypot-Treffer und Frequenz-Missbrauch ab. Login, Registrierung und Formulare bekommen einen eigenen Grundschutz. Und weil alles „Beobachten-zuerst" arbeitet, sehen Sie erst gefahrlos, was ein schärferer Modus fangen würde - dann schalten Sie mit einem Klick scharf.
Das Problem, das Sie kennen
Ihr Shop ist öffentlich erreichbar - und damit ein Dauerziel für Automatisierung:
- Scanner klopfen pausenlos Admin-Pfade und Config-Dateien ab (/wp-login.php, /.env & Co.).
- Brute-Force und Credential-Stuffing hämmern den Kundenlogin.
- Bots legen Fake-Konten an und spammen Kontakt- und Newsletter-Formulare.
- Scraper ziehen im Sekundentakt Preise und Inhalte ab.
Shopware-Core bringt dagegen kaum Schutz mit. Die Workarounds sind unbefriedigend: eine WAF/CDN-Enterprise ist teuer und komplex, manuelles IP-Sperren im Webserver ist reaktiv und mühsam, und Werkzeuge wie fail2ban sitzen außerhalb von Shopware - ohne jeden Bezug zu Login, Registrierung oder Checkout.
So löst „Firewall & Security Suite" das
Statt Flickwerk ein mehrschichtiger Schutz, der commerce-nativ genau dort greift, wo es zählt:
- Pre-Cache-Firewall. Bekannte Bedrohungs-IPs werden ganz früh abgewiesen - noch bevor die Anfrage teure Verarbeitung auslöst. Kein externer Dienst nötig.
- Fünf Schutz-Ebenen, ein Bedienzentrum. IP-Reputation (Threat-Blacklist), Geo-Blocking, Rate-Limiter, Honeypots und Grundschutz für Login, Registrierung und Formulare - alles an einem Ort.
- Beobachten-zuerst. Frisch installiert sperrt die Firewall nichts, sondern zeichnet auf. Der „Würde-sperren-Vorblick" zeigt, was ein schärferer Modus fangen würde - Sie schalten erst dann scharf, wenn Sie sicher sind.
- Selbstaussperr-Schutz eingebaut. Ihre eigene IP wird erkannt, private/reservierte Adressen sind ausgenommen, und verifizierte Crawler (Google/Bing) lassen sich per Allowlist durchwinken.
Der Nutzen auf einen Blick
- Weniger Angriffsfläche - Bots, Scanner und bekannte Bedrohungs-IPs erreichen den Shop gar nicht erst.
- Auf minimale Fehlalarme gegen echte Kunden ausgelegt - dank Beobachten-zuerst und Selbstaussperr-Schutz.
- Keine externe Infrastruktur - läuft in Shopware, ohne teure WAF oder CDN.
- Volle Nachvollziehbarkeit - Dashboard, Auswertung und Protokoll zeigen live, was passiert.
Typische Anwendungsfälle
Dauerbeschuss durch Scanner: Im Server-Log stehen ständig /wp-login.php- und /.env-Aufrufe. Honeypots erkennen diese Fallen-Pfade als eindeutiges Scanner-Signal und sperren die IP - im Schützen-Modus sofort.
Brute-Force auf den Login: Ein Skript probiert im Minutentakt Passwörter durch. Der Grundschutz zählt Fehlversuche pro IP und sperrt nach Überschreiten der Schwelle - bekannt-verdächtige IPs schon früher.
Traffic aus unerwünschten Regionen: Angriffe kommen gehäuft aus bestimmten Ländern, in die Sie ohnehin nicht verkaufen. Geo-Blocking sperrt oder beobachtet ganze Länder - mit einem Klick über Presets.
Fake-Registrierungen und Formular-Spam: Bots legen massenhaft Konten an und fluten Kontakt-/Newsletter-Formulare. Der Grundschutz erkennt die Wellen und bremst die Quelle aus.
Funktionen im Detail
Pre-Cache-Firewall mit IP-Reputation
Eine kompilierte Firewall-Liste aus laufend aktualisierten Bedrohungslisten (u. a. FireHOL, Spamhaus DROP, Team-Cymru-Bogons, AbuseIPDB) wird bei jeder Anfrage geprüft - noch vor dem HTTP-Cache. Trotz Millionen Einträgen bleibt die Prüfung dank indizierter Netz-Treffer im Sub-Millisekunden-Bereich. IPv4 und IPv6 werden gleichwertig unterstützt.
Geo-Blocking für ganze Länder
Sperren oder beobachten Sie einzelne Länder über ein übersichtliches Länderraster mit Flaggen. Presets (z. B. „nur Europa", „bekannte Risiko-Regionen") setzen die Auswahl mit einem Klick; jedes Land lässt sich zwischen Sperren, Beobachten und Aus umschalten.
Rate-Limiter gegen Frequenz-Missbrauch
Bremst IPs aus, die zu viele Anfragen pro Zeitfenster senden - getrennt gezählt nach Bereichen wie Konto, Checkout, Katalog und 404-Scans. Wiederholungstäter werden über eine Eskalations-Treppe zunehmend länger gesperrt. Der Limiter setzt nur durch, wenn die Proxy-Erkennung sauber ist (Schutz vor Massen-Fehlsperren hinter CDN/Proxy).
Honeypots (Fallen-URLs)
Konfigurierbare Pfade, die kein echter Besucher aufruft (z. B. /wp-login.php). Ein Treffer ist ein eindeutiges Scanner-Signal und führt - im Schützen-Modus - zur sofortigen Sperre; im Beobachten-Modus wird er nur aufgezeichnet.
Grundschutz für Login, Registrierung und Formulare
Sechs Wächter an den sensiblen Stellen des Shops, jeder einzeln schaltbar:
- Login-Brute-Force - Sperre nach zu vielen Fehlversuchen im Zeitfenster.
- Registrierungs-Spam - bremst massenhafte Konto-Neuanlagen.
- Passwort-Reset-Missbrauch - schützt die Reset-Anforderung.
- Formular-Missbrauch - deckt Kontakt- und Newsletter-Formulare ab.
- Honeypots - Fallen-URLs als Scanner-Signal.
- Admin-Login - beobachtet fehlgeschlagene Backend-Logins (der Admin-Zugang wird aus Selbstschutz nie automatisch gesperrt).
Bekannt-verdächtige IPs bekommen dabei eine niedrigere Schwelle als unbekannte - ein zweites Signal genügt.
Beobachten-zuerst mit Schutzniveau-Presets
Zwei getrennte Achsen: der Modus (Aus / Beobachten / Schützen) entscheidet, OB durchgesetzt wird; das Schutzniveau (Sanft / Mittel / Hart) setzt mit einem Klick dutzende Werte - Schwellen, Sperrdauern, Zeitfenster. So testen Sie „Beobachten + Hart" gefahrlos, bevor Sie scharf schalten.
Dashboard, Auswertung und Protokoll
Ein Dashboard mit Live-Kennzahlen (geblockt / beobachtet / aktive Sperren) und 24-Stunden-Verlauf. Die Auswertung verdichtet die Ereignisse zu Top-IPs, Angriffsarten, Herkunftsländern und dem Würde-sperren-Vorblick. Das Protokoll ist die vollständige, filterbare Einzelliste - jederzeit per Klick leerbar, um bei 0 zu starten.
Sichtbare Regeln statt Blackbox
Automatische Sperren landen als normale, sichtbare und editierbare Regeln in der Regel-Liste - mit Ablaufzeit und Grund. Eigene Allow-/Block-Regeln (einzelne IP oder ganze CIDR-Bereiche) ergänzen das; eine Allow-Regel gewinnt immer und schützt vor Selbstaussperrung.
Datenschutz und Betrieb
- DSGVO-konforme IP-Anonymisierung - Besucher-IPs auf Wunsch gekürzt gespeichert (IPv4 /24, IPv6 /48).
- Aufzeichnung abschaltbar - zur Datensparsamkeit, ohne den Schutz zu berühren.
- Pro Verkaufskanal aktivierbar, mehrsprachig (Deutsch / Englisch).
- Einrichtungs-Assistent führt in wenigen Schritten durch die Ersteinrichtung.
Was dieses Plugin leistet - und was nicht
Damit Sie genau wissen, was Sie bekommen:
- Es ist eine Anwendungs-Firewall in Shopware, kein Netz-Scrubber. Volumetrische DDoS-Angriffe gehören weiterhin an die Edge-/CDN-Ebene - diese Suite ergänzt eine Edge-WAF, statt sie zu ersetzen.
- Gezählt wird hinter dem Cache, gesperrt davor. Reines Scraping über rein gecachte Seiten wird daher nicht als Frequenz-Missbrauch erkannt (Erkennungs-Grenze); die Durchsetzung einer erkannten IP ist dagegen total.
- Hinter Proxy/CDN müssen vertrauenswürdige Proxys korrekt konfiguriert sein, sonst sieht die Firewall die Proxy- statt der Besucher-IP - der Rate-Limiter setzt in diesem Fall aus Sicherheitsgründen nicht durch.
- Der Admin-Login wird nie automatisch gesperrt (Selbstaussperr-Schutz) - er wird nur beobachtet.
- Bedrohungs- und Geo-Listen sind nur so gut wie ihre Quellen; Fehlklassifikationen sind möglich - genau dafür gibt es Beobachten-zuerst und die Allowlist.
Für wen sich das lohnt
Shopware-Händler jeder Größe, die ihren Shop aktiv gegen Bots, Brute-Force, Scanner, Scraping und Spam absichern wollen - ohne eine teure WAF/CDN-Enterprise zu betreiben. Ebenso für Agenturen, die einen nachvollziehbaren Schutz mit Dashboard, Auswertung und Audit-Protokoll brauchen.
Das Ergebnis: weniger Angriffsfläche, minimale Fehlalarme gegen echte Kunden, volle Nachvollziehbarkeit - direkt in Shopware.
Details
- Verfügbar in: Englisch, Deutsch
- Zuletzt aktualisiert: 18. Juli 2026
- Veröffentlicht: 18. Juli 2026
- Version: 2.0.0
- Kategorie: Administration
Ressourcen
Bewertungen (0)
Über den Extension Partner
digitvision
Partner Status
-
Shopware
Premium Extension Partner
Details
- Ø-Bewertung: 4.9
- Partner seit: 2018
- Erweiterungen: 104
Support
- Land: Germany
- Spricht: Deutsch, Englisch
- Reaktionszeit: Sehr schnell