Liste de contrôle en 9 points pour une boutique WooCommerce sécurisée

WooCommerce est un plugin de commerce électronique populaire pour WordPress, alimentant plus de 28 % de toutes les boutiques en ligne. En tant que logiciel accessible au public, WordPress peut être personnalisé et modifié pour créer un site Web WooCommerce unique. D'autre part, comme tous les sites Web sur Internet, les sites Web WordPress sont également vulnérables aux pirates. Et cela n'a pas vraiment à voir avec le site Web principal de WordPress, mais plutôt en raison de problèmes de sécurité évitables.

Dans cet article, nous vous présentons les meilleurs conseils de sécurité WooCommerce pour éviter que votre boutique de commerce électronique ne soit compromise par des utilisateurs malveillants. Vous pouvez les planifier et les mettre en œuvre de différentes manières, mais il existe une solution simple et efficace pour optimiser la sécurité de votre site, dont nous parlons également ici.

Liste de contrôle en 9 points pour renforcer votre sécurité WooCommerce

Voici un aperçu des façons dont vous pouvez augmenter votre sécurité WooCommerce. Certaines de ces mesures de sécurité peuvent être facilement mises en œuvre par vous-même, d'autres nécessiteront l'intervention d'experts WordPress.

1. Gardez vos plugins à jour

La mise à jour de vos plugins et thèmes est essentielle – voici pourquoi :

• Les pirates peuvent exploiter les vulnérabilités des plugins et des thèmes, et commencer à attaquer votre site Web via ces plugins/thèmes. Ils peuvent réussir à accéder aux données des entreprises et des clients pour vendre sur le dark web, transférer des fonds ou commettre une fraude, entre autres actes illégaux.

• Les plugins obsolètes sont responsables de 91% des failles de sécurité, ce qui rend les mises à jour nécessaires. De plus, des milliers de sites Web sont piratés quotidiennement. Si les pirates réussissent à pénétrer dans votre boutique, ils peuvent transmettre du code malveillant à des utilisateurs sans méfiance sur votre site. Ou ils peuvent lancer une attaque DDoS pour ralentir ou fermer votre site Web, provoquant des temps d'arrêt, qui ont coûté en moyenne 5 600 $ par minute.

• Les mises à jour des plugins et des thèmes sont accompagnées de corrections de bogues et d'améliorations des performances. Les dernières versions corrigent les problèmes identifiés dans les versions précédentes du logiciel et peuvent même ajouter de nouvelles fonctionnalités. La maintenance des plugins/thèmes les maintient utilisables et sécurisés.

Pour mettre à jour les thèmes ou plugins WordPress, visitez l'onglet "Mises à jour" dans votre administrateur WordPress. Nous vous recommandons de commencer par mettre à jour les thèmes/plugins sur un site de développement - un clone de votre site Web en ligne - pour tester les modifications avant de les appliquer à votre site en ligne. En effet, la mise à jour d'un plugin peut parfois provoquer des "erreurs fatales" car le code du plugin est incompatible avec le code utilisé dans les fichiers WP principaux.

Si vous avez une formation technique, vous pouvez plus facilement mettre en place votre site de staging. Si ce n'est pas le cas, un professionnel peut le configurer pour vous, ce qui vous aidera à vous assurer que les mises à jour peuvent être installées. Vous pouvez prendre soin de votre sécurité WooCommerce et également éviter toute conséquence résultant de problèmes de mise à jour.

2. Choisissez un fournisseur d'hébergement WooCommerce dédié

Avez-vous besoin d'un hébergement spécial pour WooCommerce ? Eh bien, étant donné que le site WooCommerce moyen est gourmand en base de données et doit accueillir un trafic élevé, une société d'hébergement WooCommerce dédiée convient mieux qu'un service d'hébergement régulier. Du point de vue de la sécurité WooCommerce, on peut s'attendre à ce qu'un tel fournisseur fournisse un support spécialisé couvrant tous les domaines nécessaires sur votre site.

Voici quelques-unes des fonctionnalités de sécurité à examiner lorsque vous recherchez un fournisseur d'hébergement :

• Certificats SSL pour activer une connexion cryptée et empêcher les pirates de voir les noms, adresses, mots de passe, numéros de carte de crédit et autres données sensibles.

• Sauvegardes automatisées pour remettre votre site en état de fonctionnement en cas d'attaque.

• Surveillance des attaques pour détecter et atténuer les attaques en temps réel.

• Assistance 24 heures sur 24 et 7 jours sur 7 par des experts en hébergement WooCommerce compétents sur appel pour vous aider à résoudre les problèmes de sécurité.

• Un environnement de staging intégré pour tester en toute sécurité les plugins et les modifications apportées à votre boutique avant de les mettre en ligne.

En ce qui concerne les performances, vous voudrez peut-être vous concentrer sur la garantie de disponibilité promise par le fournisseur. Si vous avez un grand site WooCommerce avec de nombreux produits et que vous attirez un trafic important quotidiennement, rien de moins qu'une garantie de disponibilité de 99,9 % ne suffira.

3. Configurez un pare-feu à l'aide d'un plugin de sécurité WordPress

Même si votre fournisseur d'hébergement vous fournit un pare-feu, en installer un au niveau du site Web ajoutera une autre couche de sécurité, empêchant l'accès non autorisé à votre réseau informatique. Vous pouvez utiliser un plugin pour configurer un pare-feu et ajouter plus de personnalisation si vous avez des connaissances techniques avancées. WordFence est un pare-feu de confiance pour WordPress. Il s'agit d'un plugin de sécurité WordPress complet, offrant une suite de fonctions, telles que :

• Un pare-feu d'application Web (WAF) qui identifie et bloque le trafic malveillant

• Protection contre les attaques par force brute qui bloquent les utilisateurs après un nombre défini de tentatives de connexion incorrectes

• Analyse des logiciels malveillants pour identifier les logiciels malveillants que les pirates pourraient avoir installés sur votre site

• Active la sécurité de connexion telle que reCAPTCHA et l'authentification à deux facteurs

La plupart des fonctionnalités les plus importantes de WordFence sont disponibles avec la version gratuite. La mise à niveau vers la version premium coûte 99 $ par an et comprend des fonctionnalités avancées telles que le blocage IP en temps réel et les règles de pare-feu qui protègent les sites contre les nouvelles menaces et les logiciels malveillants dès que l'équipe WordFence les détecte.

Il est possible d'implémenter manuellement les fonctionnalités offertes par les plugins de sécurité tout-en-un comme WordFence. Certains sont assez faciles à faire mais ont des exigences particulières. Par exemple, si vous souhaitez configurer votre propre pare-feu, vous avez besoin d'un accès complet à votre serveur, ce qui n'est pas possible à moins d'utiliser un serveur dédié. De plus, vous devrez travailler dans l'interface de ligne de commande, ce qui est simple et agréable uniquement si vous avez des compétences en développement Web.

4. Rendez votre page de connexion plus sécurisée

La zone d'administration de votre site Web est menacée par des attaques par force brute, qui tentent d'accéder à votre WP-admin en essayant diverses combinaisons de noms d'utilisateur et de mots de passe. Les attaques par force brute ou l'utilisation d'informations d'identification volées représentent plus de 80 % des violations du piratage. Il existe certaines actions de sécurité WooCommerce que vous pouvez prendre pour augmenter la sécurité de la page de connexion administrateur de votre boutique :

Changez votre nom d'utilisateur de 'admin' à autre chose

Une astuce courante pour les pirates consiste à exploiter le nom d'utilisateur par défaut de l'administrateur WordPress, qui est « admin », pour essayer de se connecter à votre compte. Les premières versions de WordPress utilisaient par défaut le nom d'utilisateur "admin", il est donc possible que les propriétaires de magasins aient l'habitude de l'utiliser. Changer 'admin' en un autre nom est nécessaire pour réduire le risque d'attaques Wp-admin, et il n'y a rien à faire ! Voici les étapes :

1. Aller à > ajouter un nouvel utilisateur
2. Créez un nouvel utilisateur avec le nom d'utilisateur souhaité et attribuez-lui le rôle "administrateur"
3. Déconnectez-vous du compte 'admin' précédent et connectez-vous au nouveau compte
4. Revenez à la liste des utilisateurs et supprimez l'ancien compte 'admin'

Activer l'authentification à deux facteurs (2FA)

L'authentification à deux facteurs nécessite deux méthodes pour vérifier votre identité. Il agit comme la deuxième ligne de défense pour restreindre l'accès à votre compte administrateur WordPress. Vous pouvez l'activer avec une application d'authentification, qui ajoute 2FA aux comptes que vous souhaitez protéger.

Les applications d'authentification génèrent un code à usage unique que vous pouvez utiliser pour confirmer que c'est bien vous qui vous connectez à votre compte administrateur WP. Vous devrez d'abord configurer un dispositif d'authentification sur votre smartphone ou votre tablette. Au cours de ce processus, l'application générera une clé secrète que vous enregistrerez sur votre téléphone en scannant un code QR ou en tapant manuellement le code si votre téléphone n'a pas d'appareil photo. Avec cela, le serveur de l'application et votre téléphone ont une copie de la clé secrète. Par la suite, chaque fois que vous entrez votre nom d'utilisateur et votre mot de passe pour vous connecter, l'application envoie un code d'accès - généralement un numéro à six chiffres - que vous tapez pour vous connecter à votre compte administrateur.

Voici un exemple de configuration de 2FA à l'aide de WordFence :

1. Téléchargez une application d'authentification telle que Google Authenticator sur votre smartphone ou votre tablette
2. Installer et activer WordFence
3. Accédez à la page "sécurité de connexion" dans WordFence
4. Ouvrez votre application d'authentification et scannez le code QR qui s'affiche dans WordFence
5. Cliquez sur "télécharger" dans la section du code de récupération - cela vous donne un ensemble de codes que vous pouvez utiliser au cas où vous perdriez l'accès à votre application d'authentification
6. Entrez le code à 6 chiffres de votre application d'authentification
7. Cliquez sur 'activer'

5. Exigez des mots de passe forts pour les comptes de magasin

WooCommerce vous offre la possibilité de créer une boutique adaptée à votre modèle commercial. Cela inclut la fourniture de différents niveaux d'accès au sein des équipes. Sécuriser les comptes de magasin de tous les membres de votre équipe est un moyen simple de renforcer la sécurité de WooCommerce.

Bien que les employés comprennent que leurs mots de passe doivent être forts, ils ont toujours tendance à utiliser des mots de passe faibles qui peuvent être piratés en moins d'une seconde. Une politique de mots de passe forts peut réitérer la nécessité de créer des mots de passe complexes. Plutôt que de n'avoir que certains rôles comme le directeur de magasin ou l'administrateur pour créer des mots de passe sécurisés, l'application d'une politique de complexité des mots de passe pour tous les utilisateurs est l'option la plus sûre.

Une façon d'y parvenir consiste à utiliser le plug-in iThemes Security pour forcer les comptes de magasin à définir eux-mêmes des mots de passe forts. Voici comment vous pouvez vous y prendre :

1. Installer et activer le plugin
2. Sur la page de configuration, choisissez "eCommerce" comme type de site Web
3. Sélectionnez 'Self' comme utilisateur
4. Lorsque le plug-in vous demande "voulez-vous sécuriser vos comptes d'utilisateurs avec une politique de mot de passe ?", réglez la bascule sur "oui".

6. Créez des mots de passe uniques pour toutes les plateformes de commerce électronique tierces

Un aspect souvent négligé de la sécurité WooCommerce est la vulnérabilité des différents comptes que vous utilisez pour les services connectés à votre boutique WooCommerce aux piratages de mots de passe. Utiliser le même mot de passe pour tous les services que vous avez connectés à votre boutique WooCommerce facilite le travail d'un pirate informatique. Voici ce que vous devriez envisager de faire à la place :

• Définissez des mots de passe distincts sur toutes vos passerelles de paiement comme Stripe et PayPal, votre hébergement et tout autre service tiers que vous utilisez pour votre boutique WooCommerce. Même si l'un de vos mots de passe est exposé, vos autres comptes seront en sécurité.

• Assurez-vous que les mots de passe sont suffisamment distincts les uns des autres. Réutiliser des mots de passe en changeant ou en ajoutant simplement un chiffre ou un caractère est inefficace.

7. Maintenez des sauvegardes régulières de votre boutique

Bien que les sauvegardes ne protègent pas votre site contre les pirates, elles garantissent que vous avez accès à vos précieuses données si votre site est compromis. Avoir des copies de sauvegarde de vos données peut aider à remettre votre site en ligne après une cyberattaque ou d'autres événements, tels qu'une panne matérielle ou un crash dû à un pic de trafic. Les sauvegardes quotidiennes garantissent que vos informations client, commande et produit peuvent être restaurées en cas d'événements imprévus, et que la continuité des activités est maintenue pour éviter de perdre des clients et des revenus.

Une solution pratique consiste à utiliser un plugin de sauvegarde WordPress en temps réel comme BlogVault. La sauvegarde en temps réel offre la possibilité de restaurer des données à tout moment et est particulièrement utile si vous disposez d'une grande base de données confrontée à la menace constante de problèmes liés à la sécurité.

8. Sécurisez votre base de données

Votre base de données WordPress stocke toutes les informations sur votre site Web, ce qui en fait une cible attrayante. WordPress utilise MySQL comme système de gestion de base de données. Le code PHP de votre site WordPress contient des commandes SQL pour communiquer avec la base de données. L'une des façons dont SQL peut être piraté est lorsque le pirate utilise un morceau de code SQL pour manipuler une base de données et accéder à des informations précieuses. Ce type d'attaque est une injection SQL et est courant parmi les sites Web basés sur des bases de données.

Heureusement, il existe des moyens de sécuriser votre base de données WordPress – en voici deux pour vous aider à démarrer :

Modifier le préfixe de table par défaut

Le préfixe de table par défaut pour les boutiques WooCommerce est wp_ . Laisser ce paramètre par défaut ouvre votre boutique aux injections SQL. Vous pouvez modifier ce paramètre dans PhpMyAdmin lors de la configuration de votre boutique ou utiliser un plugin comme DB Prefix. Assurez-vous de sauvegarder votre base de données WP avant d'apporter des modifications aux préfixes de table. Et si vous avez prévu de nombreuses mises à jour de maintenance et de sécurité de WordPress, vous pouvez diriger les visiteurs du site Web vers une page de maintenance ou une page temporaire.

Sécurisez votre fichier wp-config

Le fichier wp-config.php est le fichier le plus important de votre boutique WooCommerce car il contient toutes les informations de la base de données de votre boutique, y compris les mots de passe administrateur. En déplaçant ce fichier de sa position par défaut dans le sous-répertoire racine vers un sous-répertoire supérieur, il devient plus difficile pour les pirates potentiels de le localiser.

Remarque : Codeable n'est affilié à aucune des recommandations (plugins) mentionnées dans l'article.

9. Engagez un professionnel de la sécurité WordPress agréé

La première action la plus efficace que vous puissiez entreprendre pour assurer la sécurité de votre boutique WooCommerce consiste à embaucher un professionnel de la sécurité WordPress. De l'installation d'un certificat SSL de base à la mise en place de pare-feu pour vous protéger contre les attaques par force brute sur les grands sites de commerce électronique, l'embauche d'un professionnel de la sécurité vous permet de vous concentrer sur d'autres parties de votre magasin, telles que la gestion des commandes et le suivi de l'inventaire.

Comment trouver un expert en sécurité WooCommerce

De nombreuses options s'offrent à vous, notamment le bricolage, l'embauche d'une agence ou la recherche d'un pigiste sur les nombreux marchés du Web. Les agences qui fournissent des experts en sécurité WordPress proposent généralement différents services dans un package, donc si vous choisissez cette option, faites attention aux services dont vous n'avez peut-être pas besoin.

Sur les marchés indépendants, vous pouvez payer un supplément pour avoir une sélection de développeurs WP approuvés ou vous devrez les évaluer vous-même. Sur ces sites, vous choisissez les meilleures offres, et rien ne garantit qu'un pigiste soumissionnera sur des projets dans lesquels il se sent compétent, simplement parce que le site ne rend pas cette exigence explicite.

La meilleure option est de trouver un expert en sécurité sur Codeable :

• Codeable est une plateforme de freelance spécialisée dans WordPress.
• Il associe votre projet à des professionnels WordPress/WooCommerce approuvés qui ont travaillé sur des projets de sécurité similaires au vôtre. Cela élimine les conjectures et permet de s'assurer que vous avez la bonne personne pour le travail.
• Ce qui distingue Codeable des marchés indépendants génériques, c'est que vous ne travaillerez qu'avec des experts capables de mener à bien votre projet. Vous pouvez avoir l'esprit tranquille en sachant que vous avez accès à des professionnels de la sécurité WooCommerce qui ont consenti au projet après y avoir soigneusement réfléchi.
• Codeable est une excellente option pour les petits projets ou les tâches ponctuelles telles que les audits de sécurité. Cela revient moins cher que de faire appel à une agence et vous fait gagner un temps considérable pour les activités stratégiques.
• Le processus d'embauche est simple et vous n'êtes pas obligé d'embaucher si vous changez d'avis sur vos plans de sécurité et de maintenance WooCommerce.

Sécurisez votre boutique WooCommerce contre les menaces émergentes

La mise en place d'un plan de sécurité Woocommerce vous permet de répondre efficacement aux menaces de cybersécurité existantes et nouvelles. La gestion proactive des problèmes de sécurité spécifiques à WordPress et au commerce électronique est impérative pour mener à bien les activités sans interruption, éviter les pertes financières dues au piratage et maintenir la confiance des clients.

Les experts en sécurité WordPress de Codeable peuvent vous aider à gérer votre risque de sécurité.

Soumettez votre projet et atténuez rapidement vos problèmes de sécurité. Codeable est économique et offre une garantie de remboursement, vous pouvez donc le tester avec une petite tâche, puis déterminer si vous souhaitez l'utiliser pour un projet de sécurité plus important.