Sécurité WooCommerce : les huit choses à faire en premier
Publié: 2021-03-26Bien que des mesures de sécurité soient intégrées à WordPress et WooCommerce, il y a quelques choses de base que les nouveaux propriétaires de magasins doivent faire pour assurer la sécurité de leurs clients, de leur équipe et de leurs données dans le cas des pires scénarios.
Voici huit choses que tous les nouveaux propriétaires de magasins WooCommerce devraient faire.
1. Choisissez un hébergeur réputé
Votre fournisseur d'hébergement stocke les fichiers et la base de données de votre site Web, ce qui leur permet d'être consultés par des personnes du monde entier. Votre hébergeur doit avoir mis en place des mesures pour protéger ces fichiers contre les pirates et les logiciels malveillants. Choisir le mauvais hébergeur pourrait vous mettre en danger, vous et vos clients.
Idéalement, vous devriez trouver un hébergeur qui comprend bien WordPress et indique clairement ce qu'il fait pour donner la priorité à votre sécurité. Recherchez des fonctionnalités telles que :
- Les certificats SSL, qui protègent les données des clients telles que les adresses et les numéros de téléphone.
- Sauvegardes , de sorte qu'en cas de problème, vous puissiez restaurer votre site dans son intégralité.
- Surveillance et prévention des attaques, afin que vous sachiez instantanément si des logiciels malveillants sont détectés dans vos fichiers ou votre base de données.
- Un pare-feu de serveur, qui empêche les pirates d'accéder à vos fichiers.
- Accès 24h/24 et 7j/7 à l'assistance, au cas où vous en auriez besoin.
- Logiciel serveur à jour , comme PHP et MYSQL.
La capacité d'isoler les fichiers malveillants, afin qu'un virus ou un logiciel malveillant ne puisse pas se déplacer vers d'autres sites ou dossiers sur le même serveur.
Les hébergeurs que vous évaluez doivent avoir une page sur la sécurité sur leur site, vous devez donc être en mesure de confirmer si votre hébergeur offre ou non ces fonctionnalités. Si vous devez creuser plus profondément ou envoyer des e-mails pour obtenir des réponses, cela pourrait être un signe pour rester à l'écart. Cette liste de fournisseurs d'hébergement est un excellent point de départ.
2. Créez (et stockez en toute sécurité) des mots de passe forts
Bien que la sécurité puisse commencer avec votre hôte, c'est à vous de suivre. Choisissez des mots de passe sécurisés pour tous les comptes associés à votre boutique.
Ça signifie:
- Utiliser des mots de passe uniques pour chacun de vos comptes.
- Création d'un mot de passe avec un mélange de lettres majuscules, minuscules, chiffres et symboles.
- Éviter les mots, les anniversaires, les anniversaires ou d'autres phrases qui pourraient être facilement devinées.
- Prioriser la longueur - plus le mot de passe est long et complexe, plus il est difficile à déchiffrer.
Vous vous demandez si vos mots de passe sont vraiment sécurisés ou non ? N'ayez crainte : WordPress dispose d'un générateur de mot de passe sécurisé intégré qui facilite la génération de combinaisons complexes et difficiles à deviner.
Mais se souvenir des mots de passe difficiles peut être délicat. Une excellente solution est un gestionnaire de mots de passe comme LastPass ou 1Password (notre favori personnel ici chez Woo). Ils stockent en toute sécurité vos mots de passe et les remplissent automatiquement en toute sécurité sur vos sites préférés.
3. Activer l'authentification à deux facteurs (2FA)
Si quelqu'un accède à votre adresse e-mail ou à un autre compte, il pourra peut-être recueillir suffisamment d'informations pour réinitialiser votre mot de passe et vous connecter.
L'authentification à deux facteurs, le plus souvent abrégée en 2FA, est un moyen fantastique de protéger vos comptes en ligne contre les intrus indésirables . 2FA s'appuie sur une deuxième étape - généralement votre smartphone - pour valider les connexions et vérifier que vous êtes le propriétaire.
Vous devriez idéalement activer 2FA sur tous vos comptes. Dans des circonstances normales, une personne qui parvient à accéder à votre compte de messagerie peut potentiellement trouver les informations de connexion de votre boutique et d'autres comptes. Mais avec 2FA, ils n'auront pas la possibilité de valider physiquement les connexions via votre appareil mobile.
Il est vrai que l'ajout de cette deuxième étape ajoute également un peu plus de temps à votre processus de connexion. Mais cela vaut vraiment la peine d'avoir l'esprit tranquille en sachant que vos données sensibles sont en sécurité.
Vous pouvez implémenter gratuitement l'authentification à deux facteurs avec Jetpack.
4. Prévenir les attaques par force brute
Les attaques par force brute se produisent lorsque les pirates utilisent des bots pour deviner des milliers de combinaisons nom d'utilisateur/mot de passe jusqu'à ce qu'ils trouvent enfin la bonne. Non seulement cela peut permettre aux pirates d'accéder à votre site, mais cela peut également avoir un impact négatif sur votre temps de chargement en raison de l'augmentation du trafic en magasin.
La fonction gratuite de protection contre les attaques par force brute de Jetpack est un excellent moyen de les arrêter dans leur élan. Il bloque automatiquement les adresses IP malveillantes avant même qu'elles n'atteignent votre site, vous n'avez donc pas à vous en soucier.
5. Ajoutez une couche supplémentaire de protection du site
Nous avons déjà discuté de quelques façons de sécuriser votre site, mais pour aller plus loin, envisagez de mettre en œuvre davantage d'outils de sécurité de Jetpack. En plus de l'authentification à deux facteurs et de la protection contre les attaques par force brute, il offre :
- Analyse des logiciels malveillants (payante) : recevez une alerte instantanée si un logiciel malveillant est détecté sur votre site afin de pouvoir dépanner et corriger la majorité des menaces connues en un seul clic. C'est comme si quelqu'un surveillait votre site 24h/24 et 7j/7.
- Prévention anti-spam (payant) : éliminez automatiquement les spams de commentaires et de formulaires de contact qui peuvent vous faire passer pour un non-professionnel et renvoyer les clients vers des sites tiers malveillants.
- Un journal d'activité (gratuit) : gardez un œil sur tout ce qui se passe sur votre site — des pages mises à jour et des nouveaux produits aux connexions des utilisateurs — ainsi que qui a effectué chaque action et quand.
- Surveillance des temps d'arrêt (gratuit) : Sachez immédiatement si votre site tombe en panne - une indication courante d'un piratage - afin que vous puissiez le remettre en marche rapidement.
- Mises à jour automatiques des plugins (gratuites) : mettez à jour automatiquement les plugins pour assurer le bon fonctionnement de votre site et le protéger des pirates.
En savoir plus sur la façon dont Jetpack protège votre site WordPress.
6. Vérifiez et ajustez vos paramètres FTP
FTP (protocole de transfert de fichiers) est utilisé pour transférer des fichiers entre deux appareils. Grâce à votre hébergeur, vous pouvez créer des comptes FTP, qui vous permettent de vous connecter depuis votre ordinateur au serveur de votre site Web. Si un acteur malveillant accède à ces comptes, il pourra apporter un certain nombre de modifications à votre site.
Mais limiter les autorisations sur ces comptes peut réduire ou même éliminer complètement le potentiel de dommages. Assurez-vous que seul votre compte FTP peut accéder aux dossiers suivants :
- Le répertoire racine
- wp-admin
- wp-inclut
- wp-contenu
Pour plus de détails sur le verrouillage de votre FTP, consultez cette section du WordPress Codex. Votre hôte devrait également être en mesure de vous aider à prendre ces précautions.
7. Mettez toujours à jour votre site
Le processus de mise à jour de WordPress, WooCommerce et de vos plugins ou extensions est absolument critique. Les mises à jour sont publiées pour une raison, et elles rendent souvent votre site plus sécurisé. En les ignorant, vous pourriez vous mettre en danger, ainsi que vos clients.
La meilleure façon d'aborder cela? Réservez un moment régulier pour examiner vos mises à jour, faire une sauvegarde et déployer ces mises à jour sur votre site. Si vous ne voulez pas vous en soucier, vous pouvez également activer la fonction de mise à jour automatique dans WordPress.
8. Sauvegardez régulièrement votre boutique
Si jamais votre site est piraté, une sauvegarde est le moyen le plus rapide et le meilleur pour obtenir une version propre et opérationnelle à nouveau.
Choisissez un plugin de sauvegarde WooCommerce qui s'en charge automatiquement pour vous — nous recommandons Jetpack Backup :
- Choisissez parmi les sauvegardes quotidiennes, qui se produisent toutes les 24 heures, et les sauvegardes en temps réel, qui se produisent à chaque fois qu'une action (produit acheté, page mise à jour, etc.) se produit sur votre site.
- Ne vous inquiétez jamais de perdre des informations de commande. Que vous restaurez une sauvegarde d'il y a cinq minutes ou d'il y a cinq jours, toutes vos informations de commande sont enregistrées à la minute près.
- Restaurer en un seul clic. Ne vous inquiétez pas d'un processus de restauration long et difficile. Trouvez simplement la date et l'heure auxquelles vous souhaitez restaurer et cliquez sur un bouton.
Au démarrage de votre boutique, faites de la sécurité une priorité
Il est facile de perdre de vue la sécurité dans toute l'agitation du lancement de votre magasin, mais ce n'est pas quelque chose que vous devez prendre à la légère. La sécurité des données de vos clients doit être une priorité absolue dès le début.
En suivant ces étapes simples, vous créerez les bases d'un magasin sûr et digne de confiance, bien protégé dans les rares cas d'attaque.
Avez-vous des suggestions pour les nouveaux propriétaires de magasins qui commencent tout juste à réfléchir au sujet de la sécurité WordPress et WooCommerce ? Nous aimerions avoir de vos nouvelles dans les commentaires.