Si vous exploitez une boutique en ligne, vous constaterez probablement une forte augmentation du trafic pendant la période des fêtes. Avec de nouveaux clients qui saisissent leurs informations de paiement et leurs adresses personnelles sur votre site Web, il est plus important que jamais de sécuriser votre boutique en ligne en prévision des vacances.

Novembre et décembre sont les mois de shopping les plus occupés de l'année, ce qui rend tout temps d'arrêt lié à un piratage ou à une violation de sécurité plus coûteux qu'à tout autre moment de l'année. La disponibilité de votre site Web n'a jamais été aussi précieuse, c'est pourquoi c'est le moment idéal pour effectuer un audit de sécurité de votre boutique en ligne.

Questions importantes pour la sécurité de votre site Web

À la fin de l'audit de sécurité de votre site Web, vous devriez être en mesure de répondre à ces 10 questions :

• 1. Ma boutique est-elle sur la bonne plateforme ?
• 2. Ma boutique est-elle sur le bon hébergeur ?
• 3. Ma boutique est-elle conforme PCI-DSS ?
• 4. Est-ce que je collecte trop de données sur mes clients ?
• 5. Est-ce que je crypte la communication entre mes clients et mon magasin ?
• 6. Mes comptes clients sont-ils sécurisés ?
• 7. Le logiciel qui exécute ma boutique en ligne est-il à jour ?
• 8. Est-ce que je visite régulièrement le front-end de mon site ?
• 9. Est-ce que j'utilise un CDN et un WAF ?
• 10. Est-ce que je protège ma connexion lorsque je travaille dans des espaces publics ?

Un audit de sécurité de site Web en 10 points

Ne vous inquiétez pas si vous ne savez pas comment répondre à certaines ou à toutes ces questions. Vous saurez comment répondre à toutes ces questions à la fin de cet article.

Au fur et à mesure que nous parcourons le reste de cet article, vous souhaiterez peut-être prendre des notes sur les résultats de votre audit, ainsi que sur les actions à entreprendre. Cet audit est également un excellent service à fournir à vos clients de conception de sites Web (à tout moment de l'année.)

Commençons par l'audit de sécurité de votre site Web en vue de la période des fêtes.

1. Ma boutique est-elle sur la bonne plateforme ?

Shopify, Magento et WordPress sont trois des plateformes les plus populaires que les gens utilisent pour créer leurs magasins. Aucune de ces plateformes ne serait une solution de commerce électronique populaire si elle n'était pas sécurisée. Les trois plates-formes ont leurs forces et leurs faiblesses, vous devriez donc faire quelques recherches pour savoir laquelle correspond le mieux à vos besoins.

Un audit rapide de votre plate-forme actuelle peut inclure les questions suivantes :

• 1. La plate-forme envoie-t-elle fréquemment des mises à jour pour corriger les failles de sécurité ?
• 2. La plate-forme emploie-t-elle/utilise-t-elle une équipe qui se consacre à garantir le respect des normes de sécurité ?
• 3. La plate-forme a-t-elle un historique de violations de données à grande échelle ou de vulnérabilités laissées ouvertes ?
• 4. Quelle est la réputation de la plateforme comme étant sécurisée ?

Une chose à garder à l'esprit est à quel point il serait facile de déplacer votre magasin vers une autre plate-forme ou un autre hôte. Si vous devez vous éloigner de Shopify, vous pouvez migrer Shopify vers WooCommerce. Cependant, ce ne sera pas aussi simple que de déplacer une boutique WordPress vers un nouvel hébergeur. WordPress permet également plus de personnalisation et de flexibilité pour les outils que vous pouvez utiliser.

2. Ma boutique est-elle sur le bon hébergeur ?

Mettre votre site Web sur le même hébergement mutualisé que le blog de votre ami est une mauvaise idée. Pourquoi? Un site Web de commerce électronique ajoute beaucoup de complexité qui nécessite une expertise plus élevée pour être correctement sécurisé. Vous n'avez pas créé de boutique parce que vous rêviez de devenir un expert en cybersécurité, vous devez donc vous décharger de cette responsabilité sur votre hébergeur.

Investir dans une solution d'hébergement axée sur le commerce électronique comme l'hébergement géré WooCommerce de Liquid Web ou l'hébergement WordPress géré est la voie à suivre. Divulgation complète, Liquid Web est notre société mère, mais c'est vraiment un excellent hébergement pour vous. Allez magasiner les prix et trouvez une autre société d'hébergement qui rivalise avec cette valeur à ce prix. Avoir un hébergeur de commerce électronique géré vous fera gagner beaucoup de temps et de tracas dans la gestion de votre site - du temps que vous pouvez utiliser pour développer votre entreprise à la place.

3. Ma boutique est-elle conforme PCI-DSS ?

Si vous acceptez les paiements par carte de crédit, vous devez respecter les normes de sécurité des données de l'industrie des cartes de paiement (PCI-DSS). Selon le Conseil officiel des normes de sécurité PCI, « Si vous acceptez ou traitez des cartes de paiement, les normes de sécurité des données PCI s'appliquent à vous. » Ces normes incluent plus de 300 exigences de sécurité différentes, mais voici un aperçu des meilleures pratiques PCI-DSS :

Norme de sécurité des données PCI

Lorsque vous choisissez de prendre les numéros de carte de débit des personnes, le respect de ces exigences contribuera grandement à empêcher un attaquant malveillant de vider son compte bancaire. Je vous recommande vivement d'obtenir des conseils d'experts pour vous assurer que vous répondez aux exigences PCI-DSS.

4. Est-ce que je collecte trop de données sur mes clients ?

Plus vous collectez d'informations sur vos clients, plus d'informations peuvent être compromises lors d'une violation. De nos jours, nous pouvons difficilement passer une semaine sans entendre qu'une entreprise a été victime d'une violation de données qui a exposé les données des clients. Par exemple, lors de la violation de Doordash, les numéros de téléphone, les adresses e-mail, les adresses personnelles et les mots de passe hachés des clients ont été compromis. Cette combinaison d'informations pourrait être tout ce qui est nécessaire pour contracter un prêt frauduleux.

Vous ne devez jamais collecter plus d'informations sur vos clients que vous n'en avez besoin. Si vous vendez des produits numériques qui ne se renouvellent pas automatiquement, pourquoi collecteriez-vous et stockeriez-vous l'adresse postale ?

Vous devriez également envisager d'utiliser une passerelle de paiement comme Stripe. Les passerelles de paiement vous permettent de décharger les paiements par carte de crédit, afin que votre boutique puisse accepter les paiements en ligne sans traiter ni stocker les numéros de carte de crédit. Stripe vous aidera également à devenir conforme à la norme PCI-DDS.

Malheureusement, il y aura toujours des attaquants en ligne et les rapports de sites compromis ne manqueront pas. Limiter les informations que vous collectez sur vos clients limitera la quantité d'informations exposées lors d'une violation. Vous ne pouvez pas perdre les données client sensibles que vous n'avez pas.

5. Est-ce que je crypte la communication entre mes clients et mon magasin ?

SSL crypte la communication que vos clients saisissent dans leur navigateur et envoient à votre site. Avec SLL, lorsque quelqu'un entre son nom de compte et son mot de passe, il sera protégé lorsque ces informations seront envoyées au serveur de votre site pour confirmation. Le cryptage du nom d'utilisateur et du mot de passe rendra plus difficile pour un attaquant d'intercepter le nom d'utilisateur et le mot de passe en transit de leur navigateur vers votre serveur.

Nous n'allons pas y passer trop de temps car nous supposerons que tout le monde utilise déjà un certificat SSL sur son site. Vous pouvez consulter notre formation WordPress https si vous n'êtes pas familier avec SSL. Si vous utilisez un hébergeur spécialisé dans le commerce électronique, votre site utilise probablement déjà SSL de manière sécurisée.

6. Mes comptes clients sont-ils sécurisés ?

Une attaque par force brute est le type d'attaque le plus courant sur vos comptes clients. La force brute est un type d'attaque lorsqu'un pirate informatique essaie de deviner une combinaison aléatoire de noms d'utilisateur et de mots de passe jusqu'à ce qu'il trouve le bon. La raison pour laquelle les attaques par force brute sont si populaires est que la barrière de compétences à l'entrée est très faible. Vous pouvez trouver de nombreux outils gratuits de craquage de mots de passe avec une recherche rapide sur Google.

La bonne nouvelle est que l'utilisation d'un plugin de sécurité WordPress comme iThemes Security Pro sur votre site WordPress permet d'empêcher facilement les attaques sur la connexion de votre client de réussir.

D'après les recherches du blog de sécurité de Google, vous devez suivre ces 5 règles pour arrêter 100 % des attaques par force brute :

Vous pensez peut-être que vous ne rendriez jamais la connexion de vos clients plus difficile. Je comprends vraiment d'où vous venez, mais permettez-moi de partager une histoire rapide qui pourrait vous faire changer d'avis.

Un membre de ma famille s'est fait pirater l'un de ses comptes. Gardez à l'esprit que le pirate informatique n'a pu télécharger que les produits que le membre de la famille a achetés gratuitement. Aucune de leurs informations personnelles n'a été stockée (voir #4), donc ils n'ont rien sorti. Cependant, ce membre de la famille était toujours bouleversé. La société où le compte a été piraté leur a remboursé intégralement et leur a assuré que leur compte serait sécurisé une fois leur mot de passe mis à jour.

Alors en entendant cela, j'ai décidé de faire ma meilleure impression de Sherlock Holmes et de lancer une enquête. J'ai pu déterminer que le pirate informatique a probablement trouvé l'adresse e-mail et le mot de passe du membre de la famille dans l'un des multiples dumps de violation de données. Le membre de ma famille utilisait la même combinaison de mot de passe et de nom d'utilisateur depuis des années. Je leur ai montré toutes les violations de bases de données auxquelles leur adresse e-mail faisait partie sur haveibeenpwned.com et les ai encouragés à mettre à jour leur mot de passe sur tous leurs comptes avant que ces comptes ne soient également piratés.

Après avoir appris que leur mot de passe était accessible à tous, pensez-vous qu'ils ont blâmé leur choix d'un mot de passe faible ou la société pour la compromission de leur compte ? Si vous disiez blâmer l'entreprise, vous auriez raison. Quand ils racontent l'histoire du piratage, pensez-vous qu'ils sont plus susceptibles de parler négativement de l'entreprise ou de leurs mauvaises pratiques en matière de mots de passe ? Même si la faute était la leur, ils pensaient toujours qu'il incombait à l'entreprise de protéger leur compte.

Alors que pouvons-nous apprendre de cela? C'est à nous, en tant que propriétaires de magasins, d'exiger des mots de passe forts et une authentification à deux facteurs pour sécuriser les comptes clients. Parce que lorsque le compte d'un client est piraté, les propriétaires de magasins sont susceptibles d'être blâmés.

La bonne nouvelle est que le plugin iThemes Security Pro dispose d'une nouvelle fonctionnalité de connexion sans mot de passe WordPress qui vous permet d'exiger des utilisateurs qu'ils utilisent des mots de passe forts et une authentification à deux facteurs sans jamais entrer de mot de passe ou de code d'authentification supplémentaire . Vous pouvez désormais offrir toute la sécurité sans sacrifier la convivialité.

7. Le logiciel de ma boutique en ligne est-il à jour ?

Les mises à jour logicielles ne sont pas uniquement destinées aux nouvelles fonctionnalités ou aux corrections de bogues. Les mises à jour peuvent également inclure des correctifs de sécurité pour les failles de sécurité connues. L'exécution de logiciels obsolètes avec des exploits connus est l'une des raisons les plus courantes pour lesquelles les sites Web sont piratés. Il est crucial pour la sécurité de votre site WordPress que vous ayez une routine de mise à jour. Vous devez vous connecter à vos sites au moins une fois par semaine pour effectuer des mises à jour.

À l'aide de la fonction de gestion des versions du plug-in iThemes Security Pro, vous pouvez activer les mises à jour automatiques de WordPress pour vous assurer d'obtenir les derniers correctifs de sécurité. La mise à jour de votre logiciel est la chose la plus simple que vous puissiez faire pour protéger votre boutique en ligne.

8. Est-ce que je visite régulièrement le front-end de mon site ?

À quand remonte la dernière fois que vous avez parcouru le front-end de votre site ou même regardé votre page d'accueil ? En tant que propriétaires de sites occupés, nous nous connectons généralement directement au backend de nos sites pour ajouter de nouveaux produits, du contenu et effectuer des mises à jour du site. Parcourir les pages et les produits de votre site peut vous aider à trouver des signes d'infection. Vous devez rechercher ces 3 signes d'infection lorsque vous inspectez le front-end de votre site ou lorsque vous demandez si mon site WordPress est piraté.

1. Vérifiez votre page d'accueil pour les changements - L'objectif principal de certains hacks est de troller un site Web ou de gagner en notoriété. Ainsi, ils ne changent votre page d'accueil que pour quelque chose qu'ils trouvent amusant ou pour laisser une carte d'appel piratée.
2. Recherchez les pop-ups ou les spams malveillants . Y a-t-il des produits annoncés sur votre site que vous ne vendez pas ?
3. Trouvez des redirections inattendues – Cliquez-vous sur l'un de vos liens de produits uniquement pour être redirigé vers une boutique malveillante essayant de récolter les données de votre client ?

L'utilisation de la fonction de détection des modifications de fichiers d'iThemes Security Pro peut vous aider à être informé de toute modification inattendue apportée à votre site. Il est crucial d'être alerté d'une attaque réussie sur votre site, plus tôt la brèche est identifiée plus vous pouvez atténuer les dommages causés.

9. Est-ce que j'utilise un CDN et un WAF ?

L'utilisation d'un réseau de diffusion de contenu (CDN) comme Cloudflare CDN peut aider à protéger votre boutique contre les attaques DDoS. Le CDN se trouve sur un serveur différent de celui de votre site et est capable d'inspecter les demandes adressées à votre site avant qu'elles ne parviennent à votre site. Une attaque par déni de service (DDos) se produit lorsqu'un attaquant essaie de perturber ou de faire tomber votre site avec un flot de trafic Internet. En fonction de votre plan d'hébergement, il se peut qu'il ne faille pas beaucoup de trafic supplémentaire pour faire tomber votre site.

Un CDN peut aider à atténuer une attaque DDoS de différentes manières. La première chose qu'un CDN fera est de surveiller activement et d'identifier que votre site est attaqué, ce qui est essentiel. Vous ne pouvez pas arrêter une attaque que vous n'êtes pas configuré pour détecter. Une fois les adresses IP malveillantes identifiées, le CDN empêchera toute requête des adresses IP d'atteindre votre site.

Vous devriez également envisager d'utiliser un pare-feu d'application Web (WAF). Un WAF est capable d'identifier et de filtrer le trafic malveillant avant qu'il n'atteigne votre site. Contrairement à un pare-feu d'application Web PHP, un WAF comme celui fourni par Cloudflare WAF n'est pas sur le même serveur que votre site. Ainsi, tout le filtrage de sécurité est effectué hors site et n'ajoute aucune charge supplémentaire ni ne ralentit votre site.

10. Est-ce que je protège ma connexion lorsque je travaille dans des espaces publics ?

L'un des avantages de la gestion d'une boutique en ligne est que vous pouvez travailler n'importe où. Malheureusement, le wifi public est connu pour être très peu sûr, ce qui fait des bibliothèques publiques, des hôtels, des cafés et des aéroports des emplacements privilégiés pour que les pirates interceptent les communications et récoltent les mots de passe.

J'ai déjà travaillé avec un client d'iThemes Security Pro qui n'arrivait pas à comprendre comment son compte administrateur continuait d'être piraté même après avoir changé son mot de passe. Après quelques retours, j'ai découvert qu'ils aimaient travailler à partir de leur bibliothèque locale et qu'ils étaient connectés au wifi sans utiliser de réseau privé virtuel (VPN).

Un réseau privé virtuel vous permet de communiquer en toute sécurité avec votre banque ou votre boutique en ligne en cryptant votre trafic internet. Étant donné que le client iThemes Security Pro n'utilisait pas de VPN, son trafic n'était pas crypté et son mot de passe était sans cesse intercepté par un acteur malveillant. Après que nous leur ayons suggéré d'essayer d'utiliser un VPN à la bibliothèque locale, ils nous ont signalé que l'utilisation du VPN avait mis un terme aux piratages.

Si vous avez besoin de plus de preuves sur l'insécurité du wifi public, voici un excellent article de USA Today où un journaliste a écrit sur son expérience de piratage lors de l'utilisation du wifi en vol : J'ai été piraté en plein vol en écrivant une histoire Apple-FBI.

Conclusion : meilleures pratiques de sécurité en ligne

La plupart des attaques contre votre boutique en ligne peuvent être évitées avec un peu d'action de votre part. C'est le moment idéal pour effectuer un audit de sécurité pour vous assurer que votre site est sécurisé pour la période des fêtes !

Un plugin de sécurité WordPress peut aider à sécuriser votre site Web WordPress

iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec l'authentification à deux facteurs WordPress, la protection contre la force brute, l'application de mots de passe forts et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

Obtenez iThemes Security Pro

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.