5 problèmes de sécurité WooCommerce et plan de protection en 12 étapes

Publié: 2018-02-01
Kiattisak / stock.adobe.com

Selon un rapport du US Census Bureau, le quatrième trimestre 2021 a enregistré 218,5 milliards de dollars de ventes en ligne, ce qui équivaut à une augmentation de 9,4 % par rapport au quatrième trimestre 2020. Plus impressionnant encore est le fait que le commerce électronique représentait 12,9 % des ventes en ligne. ventes au détail totales au quatrième trimestre 2021.

Alors que les achats en ligne deviennent une option plus viable (et plus pratique) pour les consommateurs, il est temps pour les entreprises de commerce électronique de s'attaquer aux obstacles uniques qui les empêchent de conclure davantage d'affaires. Pour les utilisateurs de WordPress, l’une des premières à examiner devrait être les menaces potentielles à la sécurité de WooCommerce .

Super Troopers Police GIF

Voici le problème : ce n'est pas parce que les clients apprennent à faire confiance aux entreprises en ligne avec leur argent et leurs informations personnelles qu'ils n'ont pas de réserves quant à la sécurité des achats en ligne. Et ils ont de bonnes raisons d’être nerveux.

Les menaces de sécurité WooCommerce ne ciblent pas uniquement les grands détaillants. Si votre site de commerce électronique contient quelque chose de précieux qui mérite d'être volé, vous pourriez également un jour découvrir votre site comme une cible de pirates informatiques .

Plutôt que d’attendre qu’une de ces menaces atteigne votre site, vous devriez travailler à l’élaboration d’un plan de prévention proactif, que vous obteniez de l’aide ou que vous sécurisiez vous-même votre site WordPress.

La clé de la prévention ? Comprendre quelles sont les menaces, où elles attaqueront et comment les tenir à l'écart . Examinons les plus grandes menaces de sécurité WooCommerce et les solutions pour riposter.

Notre équipe chez WP Buffs aide les propriétaires de sites Web, les agences partenaires et les partenaires indépendants à surveiller leurs sites WordPress pour détecter les menaces de sécurité du commerce électronique 24h/24 et 7j/7. Que vous ayez besoin de nous pour gérer 1 site Web ou prendre en charge 1 000 sites clients, nous sommes à vos côtés.

Menaces de sécurité WooCommerce que vous devez connaître

Si votre entreprise est présente en ligne, vous devez vous préoccuper de la sécurité en général. Mais pour les entreprises de commerce électronique qui effectuent quotidiennement des transactions monétaires, se préoccuper de la sécurité ne suffit pas. Vous devriez être obsédé par ce que sont ces menaces de sécurité et par la manière de les éloigner de votre site.

Voici les menaces les plus courantes auxquelles les utilisateurs de WooCommerce sont confrontés :

1. Pourriel

Les commentaires de blog et les formulaires de contact sont une invitation ouverte aux spammeurs qui souhaitent laisser des liens infectés sur votre site ou qui vous attendent, vous et vos employés, dans votre boîte de réception. Cela affecte non seulement la sécurité du site, mais également sa vitesse.

spam commentaires wordpress

2. Attaques par force brute

La plupart d'entre nous considèrent les pirates informatiques comme des détectives Internet qui passent des heures à parcourir le code source afin de trouver une faille dans la sécurité de votre site. Ce n’est cependant pas toujours le cas.

Parfois, les pirates utilisent des attaques par force brute en soumettant de nombreux mots de passe ou phrases secrètes dans l’espoir de deviner éventuellement correctement.

Attaque de force brute

Ceci est particulièrement dangereux pour les sites WordPress puisque /wp-login.php et /wp-admin/ sont les pages de connexion par défaut. Le moyen le plus simple de vous protéger contre ce type d’attaques consiste à modifier votre adresse de connexion ou à utiliser des plugins de sécurité pour bloquer les tentatives de connexion répétées.

3. Manque de cryptage

Avez-vous déjà remarqué que la plupart des sites Web ont aujourd'hui un cadenas vert dans la barre de navigation ? Il s'agit d'un badge qui indique aux visiteurs que le site Internet est sécurisé via SSL. SSL est un protocole de sécurité qui crypte les données et garantit que personne ne détourne votre connexion.
SSL
Pour faire simple, sans SSL, un tiers pourrait intercepter les données envoyées vers et depuis le site Web. Il peut s'agir de mots de passe, d'informations de carte de crédit, de fichiers sensibles, etc.

Mais ce n'est pas tout. Dans un effort pour promouvoir la sécurité et la confidentialité, Google a commencé à pénaliser les sites sans SSL. Donc, ne pas l'avoir n'est pas seulement dangereux, cela peut également nuire à votre trafic organique.

4. Logiciels malveillants

Cross-site scripting, injections SQL, publicités malveillantes, ransomwares… Ce sont différents types de malwares qui visent à s'introduire dans le backend de votre site Web dans le but de voler des données sensibles, auprès de vous et de vos clients. Lorsque le chercheur Willem de Groot a étudié pour la première fois 6 000 boutiques en ligne en 2015, il a découvert que plus de la moitié d'entre elles avaient été infectées par un code JavaScript malveillant. À la fin de l’année, presque tous les magasins étaient menacés.

Avertissement concernant les logiciels malveillants WordPress

Et ce n’est pas le seul cas troublant d’injection de logiciels malveillants.

Il y avait eBay, dont la base de données a été piratée en 2014. Même si les clients n'ont pas directement perdu d'argent à cause de la menace de sécurité, leurs informations de connexion et leur mot de passe ont été compromises.

Il y avait aussi Target en 2013, dont le partenariat avec un fournisseur tiers doté de systèmes non sécurisés avait conduit à une attaque. Les cartes de crédit et les données personnelles de dizaines de millions de clients ont été volées et Target a dû débourser plus de 18 millions de dollars en poursuites.

5. DDoS

Les attaques par déni de service distribué (DDoS) font exactement ce que leur nom l'indique : elles submergent le serveur d'un site et mettent le site hors ligne. L’attaque de robots contre Dyn en 2016 est l’un des exemples les plus médiatisés de ce type de menace.

réseau de zombies

Votre plan de sécurité et de protection contre les menaces WooCommerce

Il est important de noter que les attaques sur votre site n'ont pas toujours pour but de voler les informations de carte de crédit ou les données personnelles de vos clients. Les pirates informatiques et les robots peuvent également fouiller votre site pour accéder aux données de votre propre entreprise. Il y a même des moments où l’objectif n’est même pas de nature financière.

Quel que soit le type de menace de sécurité à laquelle vous êtes confronté, vous pouvez imaginer à quel point cela pourrait coûter cher à vos résultats et à votre réputation. C’est donc là que le plan de protection contre les menaces entre en jeu.

1. Sécurité du serveur

Tout d'abord, assurez-vous que vous utilisez une société d'hébergement Web en qui vous avez confiance et qui a la sécurité de votre site en tête.

Cela signifie qu'il devrait y avoir un pare-feu côté serveur, une option pour ajouter un CDN, la disponibilité d'un certificat SSL et des plans d'hébergement qui ne nécessitent pas que vous partagiez l'environnement du serveur avec d'autres sites Web.

Pour ce qui est de ce que vous pouvez faire pour mieux protéger votre serveur d'hébergement, revoyez les meilleures pratiques de sécurité Apache.

2. Sécurité de la passerelle de paiement

Les plugins de passerelle de paiement sont un élément crucial de la sécurité des cartes de crédit pour WooCommerce. En bref, votre fournisseur de paiement est celui qui gérera toutes les transactions des clients et garantira la sécurité de leurs données.

Si vous avez du mal à trouver un fournisseur de passerelle de paiement, le plugin de paiement de WooCommerce. WooCommerce Payments garantit que toutes les données sensibles sont envoyées directement au processeur de paiement, sans jamais être stockées dans la base de données de votre site, ce qui les protège des attaquants.

3. Logiciels antivirus et anti-malware

Équipez les ordinateurs de votre réseau de logiciels antivirus et anti-malware.

4. Pare-feu

Idéalement, votre hébergeur dispose d'un pare-feu en place pour votre serveur. Vous devriez également penser à vous en procurer un pour votre ordinateur ainsi que pour le site Web lui-même. De nombreux plugins de sécurité (comme All In One WP Security & Firewall) sont livrés avec un pare-feu intégré, vous pouvez donc le supprimer de votre liste tout en renforçant simultanément votre sécurité WordPress.

Plugin de pare-feu tout-en-un

5. Bloqueur de spam

Comme mentionné ci-dessus, le spam peut être problématique pour votre site de commerce électronique si vous y avez un blog ou un formulaire de contact générique. Si tel est le cas, utilisez le plugin Akismet pour éloigner les menaces connues de votre site.

Plugin anti-spam Akismet

6. Certificat SSL

Un certificat SSL n'est plus facultatif pour les sites de commerce électronique, du moins selon les normes de Google. C'est un moyen simple (et souvent gratuit) d'ajouter une couche supplémentaire de cryptage aux transactions qui y ont lieu.

Chiffrons le certificat SSL

7. Conformité PCI

Le Conseil des normes de sécurité PCI a des directives strictes concernant la manière dont vous devez sécuriser votre site Web si vous participez au commerce électronique.

Il s'agit notamment de règles concernant le type d'hébergement Web, le niveau de sécurité au niveau du traitement des paiements, etc. Assurez-vous de vous familiariser avec ces règles et de les respecter lors de la création et de la maintenance de votre site.

Conseil des normes de sécurité PCI

8. CDN

Les CDN sont un excellent moyen de prévenir les attaques DDoS sur votre site Web. Considérez un CDN comme une autre couche d'hébergement pour votre site Web de commerce électronique, cela signifie également des couches de sécurité supplémentaires.

9. Plugins de sécurité

Comme mentionné ci-dessus, un plugin de sécurité serait une solution judicieuse pour assurer la sécurité de votre installation WordPress et du front-end de votre site.

En plus de protéger votre site contre les logiciels malveillants et les attaques DDoS, les plugins de sécurité peuvent également bloquer les tentatives de connexion répétées et vous avertir que quelqu'un tente de forcer brutalement votre site. Nous recommandons iThemes Security Pro pour cela.

10. Plugins de sauvegarde

N'oubliez pas d'avoir un plugin de sauvegarde et de restauration. Peu importe à quel point votre site de commerce électronique est fortifié, les pirates ont tout le temps du monde pour expérimenter de nouvelles façons de s'y frayer un chemin.

Il est essentiel que vous soyez préparé à un moyen de récupération rapide si quelque chose devait arriver à votre site.

Plugin UpdraftPlus

11. Mettre à jour régulièrement

Lorsque le logiciel ne dispose pas des mises à jour requises ou même suggérées par le fournisseur, vous mettez votre entreprise de commerce électronique en danger. Alors, gardez tout à jour et faites-le régulièrement. Ceci comprend:

  • Ton ordinateur
  • Le réseau de votre entreprise
  • Votre logiciel serveur
  • Votre version PHP
  • Le noyau de WordPress
  • Vos plugins et thèmes WordPress

12. Mots de passe

Bien que l’on puisse s’attendre à ce que les pirates recherchent directement les informations de carte de crédit (ce qu’ils font), ils ciblent également les informations de connexion des utilisateurs.

En fait, un rapport de CMSWire indique que 75 % de toutes les attaques contre les sites de commerce électronique au cours de la période des fêtes de 2016 visaient la connexion. Il va sans dire que des politiques strictes de sécurité des mots de passe (y compris l’authentification à deux facteurs) sont indispensables.

Mots de passe WordPress

Woocommerce vs Shopify Quel est le meilleur pour la sécurité ?

Si vous débutez dans le commerce électronique, il peut être difficile de décider quelle plateforme est la meilleure pour votre entreprise, surtout lorsqu'il s'agit de quelque chose d'aussi crucial que la sécurité.

Malheureusement, il n’y a pas de gagnant clair entre Shopify et WooCommerce en matière de sécurité.

D'une part, en tant que plateforme hébergée, Shopify ne nécessite pratiquement aucune configuration et inclut de nombreuses fonctionnalités de sécurité. D’un autre côté, WooCommerce vous permet d’aller beaucoup plus loin dans vos mesures de sécurité en paramétrant vous-même les choses.

En fin de compte, cela dépend d’un choix personnel. Les propriétaires d'entreprise avertis en informatique pourraient choisir WooCommerce pour la polyvalence de l'écosystème WordPress, tandis qu'une personne moins familiarisée avec la technologie pourrait préférer Shopify.

Résumé

En fin de compte, votre objectif est de fournir aux clients un endroit sûr pour faire leurs achats en ligne. Et vous souhaitez également mener vos activités de manière à protéger également vos résultats.

En plus des menaces de sécurité et des solutions WordPress WooCommerce ci-dessus, vous devriez également penser à effectuer des audits de sécurité réguliers sur votre site WordPress.

Si vous êtes intimidé par le processus ou si vous ne savez pas si vous avez le temps à consacrer à la lutte contre tous les types de menaces auxquelles votre site WooCommerce est confronté, engagez un partenaire de maintenance WordPress de confiance pour vous aider. Ou vous voudrez peut-être même consulter certaines des autres meilleures plateformes de commerce électronique ou envisager de créer votre propre boutique en ligne.

Vous souhaitez donner votre avis ou participer à la conversation ?Ajoutez vos commentaires sur Twitter.

Enregistrer Enregistrer

Enregistrer Enregistrer

Enregistrer Enregistrer