Änderungsprotokoll
Nur größere für Nutzer sichtbare Änderungen. Bugfixes und Infra-Arbeiten werden intern verfolgt.
2026-05-23 — Regel-Vorlagen + CRO Engine + Store Health + Speed Engine
- Regel-Vorlagen — 29 insgesamt. Neuer Templates-Tab auf
/app/bot-shield/checkout(21 Bestell-Vorlagen, Phase A + C) und/app/bot-shield/storefront/templates(8 Traffic-Vorlagen inkl. neuem ISP-Block + Stadt-Block via Cloudflarecf-ipcity). Ein-Klick-Aktivierung, kein Regex nötig. - App-Embed Health Check. Neue Seite
/app/bot-shield/healthmit 8 Diagnosen, die bestätigt, dass Bot Shield korrekt verdrahtet ist. - Admin Lockout Recovery. Bypass-URL aus Einstellungen → Allgemein generieren / regenerieren / widerrufen. 24-Stunden HMAC-signiertes Cookie überspringt jede Bot-Shield-Prüfung.
- Country Redirector. Neue Seite
/app/bot-shield/storefront/redirects+ Theme-Modul 7. Blockierten Länder-Traffic zu lokalisiertem Storefront oder Partner-Seite umleiten statt hart blocken. - Auto-Storno hochriskanter Bestellungen (Max). Opt-in-Schalter auf
/app/bot-shield/fraud. Bestellungen mit Score über 90 werden automatisch storniert + erstattet + im Timeline-Eintrag dokumentiert. - CRO Engine — neues Modul. Hub
/app/cromit vier Untermodulen: Scroll & Engagement (Free), Exit Intent (Grow+), Product Health Score (Free), Mobile vs Desktop Drop-off (Grow+). - Store Health Monitor. Neue Seite
/app/audit/store-health. Wöchentlicher Crawl der 26 wichtigsten URLs mit Lighthouse, RUM, Bild-Audit, Redirect-Ketten, Meta- und Schema-Validierung. - Speed Engine M1. Neue Seite
/app/audit/speed-engine. Resource-Timing-Audit mit 5 Fix-Detektoren (Render-Blocking JS, übergroße Hero-Bilder, Drittanbieter-Tag-Aufblähung, Font-Preload, CDN-Cache-Misses) plus Vorher/Nachher-RUM-Tracking. - WHOIS-Infrastruktur (RDAP).
order.newly-registered-email-domainTemplate jetzt vonDomainAgeCachegestützt, gespeist aus RDAP. - BIN-Cache neu aufgebaut. 3-Schicht-Cache (Speicher → DB → binlist.net) ersetzt die vorherige 247-Eintrag-Liste.
- Premium $199-Tarif. Neuer Tarif-Slot über Max — vereinheitlichtes CRO Engine-Dashboard, längere Event-Aufbewahrung, Priority-Support.
- Blog-Vergleiche. Fünf neue Langform-Vergleiche im
/blog: Blockify, MIDA, Blocky (je 9 Sprachen), Locksmith, NoFraud (EN). - Bot Defense Playbook. Neuer 4.560-Wörter Hub-Artikel in 9 Sprachen über das Bot-Landscape auf Shopify 2026.
2026-05-22 — Abschluss Sprint 2 + Verdrahtung Sprint 3
- Harte Quota-Klippe (Free + Grow). Wenn Sie Ihre monatliche Bot-Blockierungs-Quote aufbrauchen, werden weitere Blockierungs-Kandidaten durchgelassen statt still verworfen. Das Dashboard zeigt sie als „Durchgekommen (Limit erreicht)" — keine versteckten Kapazitätslücken mehr.
- Bot-Shield-Aktivitäts-Widget auf dem Dashboard. Vier KPI-Karten (Blockierungen in diesem Zyklus, Durchgekommen über Limit, geschätzte gerettete Umsätze, Gesamt-Blockierungen) plus eine 20-Zeilen-Aktivitätstabelle. Lazy-loaded unter dem Fold.
- Bot-Aktivitäts-Chart auf 30 Tage erweitert. Gleiches Chart, breiteres Fenster, plus eine rote gestrichelte Linie für Über-Limit-Ereignisse.
- Shopify Flow Trigger-Toggle. Einstellungen → Bot Shield → „Shopify Flow Trigger bei Bot-Block aktivieren" sendet ein
soptim-bot-blockedEvent in Ihren Flow. - Branchenbewusster Schnellschutz-Schritt im Onboarding. Direkt nach der Theme-Aktivierung schlagen wir 5 Hochrisikoländer basierend auf Ihrer Branche vor. Opt-in pro Land.
- Auto-Pilot-Onboarding-Schritt. Die Setup-Checkliste fordert Sie auf, einen Modus (Relaxed / Balanced / Strict) und Ihre Branche zu wählen, damit Verhaltensregeln korrekt vorausgefüllt werden.
- Verhaltens- + Heavy-Fingerprint-Signale beim Checkout. Die Theme-Erweiterung bewertet Mausvarianz, Tastatur-Kadenz, Paste-Erkennung, Formular-Füllzeit und Scroll-Geschwindigkeit zu einem 0-100 Verhaltens-Score, plus einem stabilen Heavy-Fingerprint-Hash.
- Echtzeit-Block-Beacon (Kanal B). Wenn die Validation Function beim Checkout blockiert, meldet die Theme-Erweiterung das Event innerhalb von ~1 Sekunde an das Dashboard.
- Order × Block Cross-Reference (Kanal C). Wenn eine echte Shopify-Bestellung innerhalb von 5 Minuten nach einem durchgekommenen Block (gleiche E-Mail-Domain) eintrifft, verknüpfen wir Bestellung und Block-Event im Aktivitäts-Log.
- Visitor Analytics erhält ISP + TOR + Detektions-Typ. Jeder Besuch zeichnet jetzt den lesbaren ISP-Namen, das TOR-Flag und die abgeleitete Kategorie auf.
- Dashboard-Duplikat-CTA behoben. Brandneue Shops sehen nicht mehr zwei identische „Run your first audit"-Buttons übereinander gestapelt.
- Einstellungen → Tab „Integrationen". Klaviyo-Konfiguration aus der eigenen Seite in einen vereinheitlichten Integrationen-Tab auf dem Einstellungs-Screen verschoben, mit Karten für Shopify Flow und Slack. Die nächste Integration (Mailchimp, Postmark usw.) landet am selben Ort — keine Navigationsfragmentierung.
- Tarifvergleichszeile umbenannt. „Cross-shop network intel" wurde umbenannt in „Defense Network Intelligenz" mit „Teilnahme" für Free/Grow und „Voller Zugriff" für Scale/Max — jeder Tarif nimmt vom ersten Tag an am Netzwerk teil, bezahlte Stufen sehen die aktive Kampagnenansicht.
- Visitor Analytics-Zähler bleiben nicht mehr bei Null auf Shops ohne Geo-Blockierung. Die Theme-Erweiterung loggt jetzt jeden Storefront-Besuch per Fire-and-forget-Ping. „Letzte 24 Stunden" füllt sich mit dem nächsten Seitenaufruf.
- Eingebaute Bot-Shield-Regeln: Pro-Shop Kill-Switch. Hardcoded UA- + Rate-Limit-Muster lösen gelegentlich Fehlalarme aus. Neuer Schalter auf
/app/bot-shield/rulesschaltet das gesamte Set aus, ohne Bot Shield zu deaktivieren — eigene Regeln feuern weiter. - Audit PDF-Download repariert. Berichte landeten gelegentlich als „beschädigt". Korrektur an Buffer + Content-Length, fehlerhafte Generierung erscheint jetzt als klares 502 statt korrupter Datei.
- „Stores defending together" Kachel zeigt jetzt echte Installationszahl. Zeigte zuvor Null wegen zu strengem Filter.
- Auto-Pilot „Aktueller Zustand" zeigt jetzt „Noch nicht konfiguriert". Statt vorgetäuschter Standardwerte für Shops, die das Formular nie geöffnet haben.
- Bot-Shield-Aktivitätswidget verschlankt. Letzte Aktivität auf 10 statt 20 Einträge, vollständiges Log auf der Visitors-Seite.
- Einstellungen → Integrationen Deep-Links scrollen in den Sichtbereich. Klicks auf „Auto-Pilot-Einstellungen öffnen" oder „Benachrichtigungs-Einstellungen öffnen" landen jetzt am richtigen Abschnitt.
- Network-Overview-Kacheln kleben nicht mehr zusammen. Drei Metrik-Labels auf
/app/bot-shield/networkrendern jetzt als responsives Gitter. - Order Rules: 6 Betrugs-Vorlagen (neu). Neue Seite Bot Shield → Order Rules. Vorlagen mit einem Klick aktivieren — kein Regex nötig. Phase A liefert: Blockierung von Wegwerf-E-Mails, Kennzeichnung von BIN-Land-Diskrepanzen, Blockierung von Versand in Hochrisikoländer, Kennzeichnung großer Bestellungen von Neukunden, Velocity-Blockierung bei gleicher IP mit mehreren E-Mails, sowie Kennzeichnung fehlender/ungültiger Telefonnummern. Eine Review-Queue zeigt markierte Bestellungen zur Freigabe oder Ablehnung durch den Händler.
2026-05 — Bot Shield Konsolidierung
- Preisangleichung mit Sprint 2-E. Free enthält jetzt 50 Bot-Blockierungen/Monat (zuvor 10). Grow enthält jetzt 500 Bot-Blockierungen/Monat (zuvor 100). Streitfall-Beweise sind jetzt eine Scale-Funktion (war nur Max).
- Bot Shield Hub. Die sechs Bot-Shield-Module (Access Control, Visitor Analytics, Custom Rules, Fraud Orders, Disputes, Network Intelligence) leben jetzt unter einem einzigen Bot Shield Nav-Eintrag mit einer Hub-Seite. Ersetzt die bisherige flache 12-Punkte-Nav.
- Custom Block-Page-Editor. Den bestehenden Block-Page-Editor an
/apps/soptim/blockedangebunden — Ihre gebrandete Nachricht wird jetzt tatsächlich blockierten Besuchern angezeigt. - iCloud Private Relay Erkennung. Apples Relay-Egress-IPs werden wöchentlich synchronisiert; geo-blockierte Besucher werden nicht mehr versehentlich wegen Apples Privacy-Feature blockiert.
- Admin-Bypass-Cookie. 24h-HMAC-signiertes Cookie lässt Sie sich selbst entblocken, ohne den Schutz zu deaktivieren.
- Visitor Analytics CSV-Export. Reihenobergrenzen pro Stufe, gehashte IPs.
- Setup-Checkliste v2. Neue Schritte (erste Block-Regel, täglicher Digest, Teamkollegen einladen) und „Nach 14 Tagen ausblenden"-Auto-Hide.
- ROI-Rechner + Testimonials + FAQ auf der In-App-Abrechnungsseite. Hilft Händlern, den Wert vor dem Upgrade zu verstehen.
2026-04 — Sprint 3-C (VPN + Brand)
- VPN-Erkennung über ip-api.com, plus TOR über Cloudflare Threat-Score ≥ 8.
- Gebrandete Block-Seite. Titel, Nachricht, Kontakt-E-Mail, Logo-URL, Farben. Alles HTML-escaped.
- Quellen-Telemetrie auf Upgrade-Links. Hilft uns zu sehen, welche Funktionen die meisten Upgrades treiben.
2026-03 — Sprint 2-E (Geo)
- Geo-Blocking. Länder-Blocklist mit ~30s Propagation. Nutzt Cloudflare
cf-ipcountry.
2026-02 — Sprint 2-D (Streitfälle)
- Streitfälle & Beweispakete (Max-Plan). PDF + JSON, signierte Zeitstempel, DSGVO-sichere Schwärzung.
2026-01 — Sprint 2-C (Netzwerk)
- Network Intelligence. Shop-übergreifende Reputation. Gehashte IPs, anonymes ASN/BIN-Sharing, 30-Tage-Verfall.
2025-12 — Sprint 2-B (Regeln)
- Custom Rules. ASN, User-Agent, Header, rate.requests, Score. Bis zu 25 (Scale) oder 100 (Max).
2025-11 — Sprint 2-A (Fraud Orders + Visitor Analytics)
- Fraud Orders. Bewertet
orders/create-Webhook mit BIN/Velocity/Billing-Shipping-Signalen. - Visitor Analytics. Gehashte IPs, Aufbewahrung pro Stufe.
2025-10 — Sprint 1 (MVP)
- Bot Shield v1. Score-basierte Pipeline. Erlauben / Challenge / Blockieren.
- Access Control. Länder-Blocking, IP-Allowlist.
- Audit. Kostenlos, unbegrenzt, PDF-Bericht.
- Pläne. Free / Grow $19 / Scale $49 / Max $99. Monatlich + jährlich.
Abonnieren Sie Änderungsprotokoll-Updates per E-Mail an [email protected] mit „subscribe changelog" im Betreff. Wir senden maximal ein Update pro Monat.