Shopify: Du willst wissen, welche Produkte Dein Konkurrent am häufigsten verkauft und wie viel Umsatz der Online-Shop generiert?

Über Geld (oder in diesem Fall Umsatz), spricht man nicht.

Was aber, wenn Du auf (fast) jedem Shopify Online-Shop herausfinden könntest, welches die Bestseller sind und wie viel Umsatz der Online-Shop macht?

Aber das ist doch gar nicht möglich!

Stand heute. Es ist möglich... 🙄

Um bei Shopify die Bestseller zu finden, gab es schon lange einen Trick mit der Collection-URL und der Sortierung nach Bestseller. Den habe ich in diesem Artikel erklärt (... und wie Du das verhindern kannst).

Dann gibt es eine manuelle Methode, wie man den Umsatz eines Online-Shops grob schätzen kann. Es gibt öffentliche Traffic-Daten. Danach kann man mit dem ausgerechneten durchschnittlichen AOV (Warenkorbwert) und einer durchschnittliche Conversion-Rate der Online-Shop-Branche den Umsatz schätzen.

Es gibt auch Services/Anbieter, welche sich auf das Monitoring von Online-Shops spezialisiert haben. Diese verwenden eine weitere Methode. Sie bestellen auf dem Online-Shop, bekommen damit eine Bestellnummer, stornieren die Bestellung. Das machen sie alle paar Wochen oder Monate. Durch die unterschiedlichen Bestellnummern berechnen sie damit den groben Umsatz des Online-Shops. Smart 🙃

Anyway, ich will Euch nicht mehr länger auf die Folter spannen.

Wie kannst Du die Produktverkäufe in Real-Time auf einem Shopify Online-Shop sehen?

Es gab früher schon solche Tools, die haben ein Datenfeld (den Lagerbestand) auf den Online-Shops ausgelesen und damit laufend berechnet, wie viel Produkte verkauft worden sind. Diese "Lücke" wurde bei den meisten Shop-Systemen geschlossen.

Dann gibt es Chrome-Erweiterungen, welche die oben Methode verwenden mit dem Traffic - nur automatisiert und direkt sichtbar im besuchten Online-Shop mit der Chrome-Erweiterung.

Auch gab es gelegentlich Tools oder Chrome-Extensions, welche ähnliche Methode (siehe unten) genutzt haben, wie z.B. AliHunter. Von der breiten Masse wurden diese jedoch nicht verwendet.

Tja. Bis jetzt... 😁

Ein Gruppenmitglied hat gestern ein Artikel gepostet über die Chrome-Erweiterung "PPSPY Shopify Spy- and Dropship-Alihunter-Tool". Damit kann man scheinbar in Real-Time die Produktverkäufe sehen.

WTF?! Das kann doch gar nicht sein!

Also habe ich die Chrome-Erweiterung in einer virtuellen Maschine installiert. Und habe es auf einigen Kundenshops getestet, wo ich auch Zugriff auf die Verkäufe/Statistiken habe.

Sch**** 💩

Die Verkäufe und Umsätze stimmen plus/minus überein. Danach habe ich es auf einigen bekannten Shopify Online-Shops ausprobiert.

Die Resultate sind erschreckend (spannend). Es scheint zu funktioniert! Ich denke nicht, dass die Online-Shop-Betreiber an diese Tool (und ähnlichen) Freude haben.

Aber. Wie geht das? Wurde Shopify "gehackt", gibt es dort eine Sicherheitslücke? Es gab einen früheren Fall, da konnte ein Entwickler von vielen Shops, die Umsätze durch einen Fehler in einer API auslesen. Ist das wieder passiert?

Eigentlich hatte ich gestern Abend ein gemütlich romantisches Abendessen mit meiner Freundin geplant... 😻 Der Abend wurde schwierig. Für meine Verlobte.

Mein Ex-Cracker-Herz und Programmierer-Herz hat angefangen höherzuschlagen. Die erste Vermutung hatte ich schon vor dem Abendessen. Ist da ein "alter Freund" zurück? Während dem Abendessen habe ich mir die Theorie bestätigt und durch einen Kommentar auf den Post, wurde meine Vermutung dann bestätigt. Es ist noch (wieder?) das alte Problem.

Nein. Shopify wurde nicht gehackt. Nein. Shopify hat keine (direkte) Sicherheitslücke.

Die technische Analyse

Wie macht man so was? Für technisch nicht so versierte, kurz erklärt.

• Chrome-Erweiterung herunterladen
• Den Code der Chrome-Erweiterung analysieren. Eine Chrome-Erweiterung basiert wie eine Website auf HTML, CSS und JavaScript.
• Dazu mit den Chrome DevTools und weiteren Tools/Software analysieren, welche Daten die Chrome-Erweiterung vom Online-Shop holt und/oder an andere Server sendet usw.

Was macht die PPSPY Chrome-Erweiterung? Stark vereinfacht erklärt...

1. Es liest Deine Shopify Sitemap aus, um die Produkte im Shop zu finden. Darin findet und folgt er dem weiteren Sitemap: https://deinshop.de/sitemap_products_1.xml
2. Als Ergänzung/Fallback parst er die URL: https://deinshop.de/collections/all?sort_by=best-selling - und versucht dort die Produkte zu finden. Dieser Schritt wird nicht funktionieren, wenn Du das verhinderst, siehe Link oben.
3. Weiter verwendet es die JSON-URL von Shopify. Auch dort versucht er nochmals alle Produkte zu finden. Eine Beispiel-URL: https://deinshop.de/products.json?page=1&limit=250 - die meisten Shop-Betreiber wissen gar nicht, dass diese existiert. Später dazu mehr.
4. Danach ruft es für jedes Produkt die JSON-URL auf. Diese URL bekommst Du in Deinem Online-Shop, indem Du einfach eine Produktseite aufmachst und dahinter ".json" schreibst in der URL. Beispiel-URL: https://deinshop.de/products/dein-produktname.json. Du kannst dieses "nicht lesbare Zeugs" z.B. mit Copy-and-paste in diesem Tool "lesbarer" machen.
5. Diese dort gefunden Daten, werden nun in eine Datenbank gespeichert. Warum? Das erkläre ich Dir jetzt im Artikel weiter im Detail.
6. ‼ Achtung: Diese Chrome-Erweiterungen sendet Daten an weitere externe Dienste weiter, welche genau, habe ich nicht analysiert. Es gibt Aufrufe auf Microsoft Clarity (Screen-Tracking-Tool) und auf eine weitere API, welche sich nach einem AI/KI-Analytics-Service anhört.

JSON-Auszug aus einer Produktseite

In diesem JSON findet man die Produktnummer, den Produktname etc. Einfach alles, was zum Produkt gehört. Auch die Produkt-Varianten, die Daten zu den Varianten usw.

Du denkst jetzt vielleicht. OMG. Warum ist das öffentlich?!

Das macht Sinn und ist auch völlig unbedenklich. Denn damit kann man tolle Funktionen im Online-Shop einfach entwickeln und das Shopify-System bzw. Themes, Apps etc. arbeitet teilweise mit diesen JSON-Routen.

Jetzt kommt der spannende Teil...

"created_at":"2022-04-07T15:23:18+02:00",
"updated_at":"2022-07-16T12:41:01+02:00",

Das Feld "created_at" hat das Datum drin, wann das Produkt erstellt worden ist. Im Feld "updated_at" steht drin, wann das letzte Mal das Produkt aktualisiert worden ist.

PENG! 👈

Hat es geklingelt? Nein?!

Jedes Mal, wenn Du das Produkt aktualisierst, ändert sich dort das Datum & Zeit. Aber nicht nur dann! Der Shopify-Code/Entwickler aktualisieren dieses Feld JEDES MAL, wenn etwas auf dem Produkt passiert.

Das bedeutet auch dann, wenn eine Änderung am Lagerbestand passiert. Und genau DAS passiert bei einem Verkauf!

Und genau hier ist der "Fehler" bzw. das Problem. Denn die Chrome-Erweiterung gleicht diese Daten ab und leitet daraus einen Verkauf ab. Das bedeutet, die Verkäufe auf x-beliebigen Shopify Online-Shop können so (fast) genau getrackt werden.

Warum nur fast? Weil wenn Du selbst das Produkt aktualisierst, auch ein Verkauf ausgelöst wird, da das "updated_at"-Feld auch ändert. Aber auch daran haben die Entwickler der Chrome-Extension gedacht, sie prüfen, ob z.B. nur die Beschreibung ändert. Aber da die meisten Online-Shop-Betreiber wohl nicht laufend an ihren Produkten herumschrauben, wird das Tracking mehr oder weniger genau sein.

Wie kann ich das verhindern?

Aktuell? Gar nicht. Dazu müsste Shopify die Programmierung ändern, von ihrem System. Dass, wenn nur der Lagerbestand geändert wird, dieses Feld nicht aktualisiert wird. Als eine Möglichkeit. Darauf haben schon einige Leute in der Support-Community hingewiesen. Bisher gibt es keine offizielle Antwort darauf von Shopify...

Gibt es einen Workaround? Jein.

Wie kann ich PPSPY blockieren?

Browserseitig
Die aktuelle Version der PPSPY Chrome-Erweiterung (1.5) hat einen Fehler im Code. Wenn Du Dein Shopify-Theme-Name änderst, kannst Du PPSPY blockieren. Dazu änderst Du einfach Deinen Theme-Name von z.B. Mein Theme auf Mein Theme\" - der Backslash und das Anführungszeichen ist wichtig und muss am Ende vom Theme-Namen gesetzt werden. Dieser löst einen Fehler aus in deren Code und damit läuft sie nicht mehr.

ℹ Das löst das Problem nur mit PPSPY mit der Version 1.5 - ob das später noch funktioniert, ist fraglich. Weitere Tools wie der Shopify-Sales Tracker vom Entwickler "doener2323" sind/waren im Netz verfügbar, welche Serverseitig arbeiten und da hilft dieser Trick natürlich nichts.

Durch einen Code-Schnippel
Durch ein paar Linien-Code im Theme lassen sich die beiden Chrome-Erweiterungen verstecken. Amateure kannst Du damit "blockieren". Profis nicht.

Wir bieten Dir diesen Code kostenlos in unserem Artikel Spy-App-Blocker für Shopify – kostenlos mit unserem Snippet an.

Serverseitig
Theoretisch könnte man ein API-Skript programmieren, welcher mit einem Zufallsprinzip alle paar Minuten alle "updated_at"-Felder auf den Produkten aktualisiert. Damit werden diese "Spy-Tools" nutzlos, denn die Verkäufe sind nicht mehr korrekt und alle Verkaufszahlen stimmen nicht mehr. Hier besteht aber die Gefahr, dass man mit einem solchen Skript Probleme verursachen kann, mit anderen Apps & Co. welche dieses Feld sinnvoll nutzen.

Wir setzen diesen Ansatz bei einigen unserer Kunden ein. Der Aufwand ist nicht sehr groß. Solltest Du daran auch Interesse haben, kontaktiere mich einfach.

Wie geht es weiter?

Das "Problem" ist Shopify bekannt. Es interessiert sie jedoch nicht wirklich. Sie sehen das als eher als Feature und nicht als Bug...