Guide pour sécuriser les sites Web WooCommerce

Publié: 2021-04-13

sécurisation du site woocommerce
WooCommerce est l'une des solutions de commerce électronique les plus populaires, gratuites et flexibles pour créer des boutiques en ligne. Avec plus de 48 millions de téléchargements, il alimente plus de 28% de tous les sites de commerce électronique.

Cette grande popularité a également fait de WooCommerce l'une des principales cibles des pirates informatiques et autres cyber-escrocs. Si vous exploitez une boutique WooCommerce ou envisagez d'en créer une, vous voudrez peut-être savoir ce que vous pouvez faire dans votre boutique pour la sécuriser.

Bien que WooCommerce et WordPress soient dotés de fonctionnalités de sécurité intégrées, la pratique de certaines mesures de sécurité de base ajouterait une couche de sécurité supplémentaire à votre boutique WooCommerce.

Cet article répertorie certains des conseils de sécurité les plus importants et les plus efficaces que vous pouvez appliquer sur votre site Web pour fournir à vos clients WooCommerce un environnement d'achat sûr et sécurisé dans votre magasin.

Voyons ce qu'ils sont et comment ils fonctionnent.

Choisissez un hébergeur fiable
Choisir un hébergeur fiable et sécurisé est la première étape pour assurer la sécurité de votre boutique WooCommerce. La sécurité doit être l'une des choses importantes que vous devez rechercher chez votre fournisseur d'hébergement.

Vous pouvez utiliser la liste de contrôle ci-dessous pour comprendre comment votre hôte potentiel gère la sécurité des sites Web qu'il héberge.

Surveillance du réseau – Grâce à une surveillance constante, il sera en mesure de garder un œil sur le trafic ou les incidents suspects et d'empêcher l'attaque dès le début.
Analyse antivirus et anti-malware
FTP sécurisé – Assurez-vous que votre fournisseur d'hébergement prend en charge SFTP, la version sécurisée de FTP.
Utilisez des mots de passe forts

Les comptes ayant des mots de passe faibles sont souvent victimes d'attaques par force brute. Il est donc important de choisir un mot de passe fort pour tous les comptes associés à votre boutique WooCommerce.

Les mots de passe plus forts sont une combinaison de majuscules, de minuscules, de chiffres et de symboles. Des mots de passe aussi complexes et longs rendront difficile pour les pirates de les déchiffrer.

Si vous ne souhaitez pas passer du temps à créer des mots de passe sécurisés, WordPress dispose d'une fonctionnalité intégrée « Meilleurs mots de passe » qui génère un mot de passe fort pour ses utilisateurs. Vous pouvez également utiliser le générateur de mot de passe sécurisé Chrome pour créer et gérer vos mots de passe pour vous.

Évitez d'utiliser « Admin » comme nom d'utilisateur
La plupart des sites Web suivent la combinaison nom d'utilisateur et mot de passe pour se connecter aux sites Web. Et de nombreux propriétaires de WooCommerce utilisent Admin ou le nom de leur magasin comme nom d'utilisateur pour leur compte. Cela rend votre site Web vulnérable aux attaques car ils ciblent les comptes d'administrateur ayant une autorité totale sur votre site.

Par conséquent, il est préférable de ne pas utiliser « admin » comme nom d'utilisateur administrateur. Vous pouvez modifier votre nom d'administrateur WordPress en accédant à Utilisateur > Ajouter un nouveau sur votre tableau de bord WordPress.
ajouter un utilisateur
Entrez tous les détails requis et choisissez un nom d'utilisateur unique. Maintenant, créez un nouveau compte et sélectionnez « Administrateur » parmi les rôles d'utilisateur WordPress disponibles.
choisir un nouveau rôle d'utilisateur
Cliquez sur le bouton Ajouter un nouvel utilisateur .

Vous devez maintenant vous déconnecter de votre wp-admin et vous connecter avec le compte nouvellement créé. Vous pouvez supprimer le compte utilisateur "admin" précédent.

Activer l'authentification à deux facteurs (2FA)
La mise en œuvre de l'authentification à deux facteurs est une autre étape importante vers la sécurisation de votre boutique WooCommerce.
Une fois que vous avez activé cette fonctionnalité dans votre boutique WooCommerce, quiconque tentera de se connecter au tableau de bord WordPress devra fournir ses informations d'identification ainsi qu'un mot de passe sécurisé généré en temps réel. Il peut s'agir d'un mot de passe à usage unique envoyé à un numéro de téléphone portable ou à un identifiant de messagerie.

Ce mécanisme empêche les personnes non autorisées d'accéder à votre site Web même si elles ont le mot de passe. Le seul inconvénient de cette procédure est qu'il vous faut plus de temps pour vous connecter à votre boutique.

Ajouter un certificat SSL (Secure Socket Layer)
La plupart des URL de sites Web contiennent HTTPS comme préfixe. Mais il existe des URL de sites Web ayant HTTP comme préfixe ou n'affichant pas de sécurité dans la barre d'adresse, qu'est-ce que cela implique ?
Capture d'écran
Ces sites Web sont considérés comme non sécurisés car ils n'ont pas de certificat SSL installé. Lorsque vous ajoutez SSL à votre site Web, son préfixe d'URL passe de HTTP à HTTPS, c'est-à-dire ; la version sécurisée.

SSL est important pour assurer la transmission sécurisée des données entre le navigateur de l'utilisateur et votre boutique WooCommerce. La plupart des hébergeurs proposent un SSL gratuit avec leur forfait ou vous pouvez en acheter un et l'ajouter à votre site Web à l'aide d'un plugin WordPress.

L'exécution de votre boutique WooCommerce sans certificat SSL peut affecter votre entreprise de plusieurs manières. Tout d'abord, les gens ne feraient pas confiance à votre site Web avec leurs informations de paiement pour effectuer des transactions et Google ne classera pas votre site Web pour les meilleurs résultats, ce qui affectera fortement votre trafic et, en fin de compte, vos ventes.

Limiter les tentatives de connexion
Il s'agit d'un mécanisme de prévention important contre les attaques par force brute, qui est l'une des méthodes les plus couramment utilisées par les pirates pour s'introduire dans votre site Web.

Ce type d'attaque aura d'énormes chances de succès si elle est effectuée par des bots, car les bots sont capables d'essayer des milliers de combinaisons en une seconde. Même les mots de passe forts que vous avez créés peuvent ne pas résister à de telles attaques.

Par conséquent, le meilleur moyen d'éviter de telles attaques est de limiter les tentatives de connexion infructueuses sur la page de connexion de votre site Web. Comme le paramètre par défaut de WordPress permet à ses utilisateurs de se connecter autant de fois qu'ils le souhaitent, vous devrez rechercher d'autres moyens de l'activer pour votre boutique WooCommerce.

Vous pouvez utiliser un pare-feu d'application Web ou un plugin WordPress pour configurer des tentatives de connexion limitées pour votre site Web.

Gardez votre site à jour
WordPress et WooCommerce déploient des mises à jour fréquentes pour résoudre les problèmes de sécurité des versions précédentes et pour ajouter de nouvelles fonctionnalités. Comme WooCommerce est construit sur WordPress, un site WooCommerce donné est globalement aussi sécurisé que l'installation de WordPress elle-même. Cela souligne la nécessité de mettre à jour votre version de WordPress lorsqu'une nouvelle mise à jour est publiée.

Si vous utilisez actuellement WordPress 4.3.x et que la version 4.4 est sortie, il n'est pas obligatoire de mettre à jour vers la nouvelle version. Alors que si une 4.4.2 est publiée, vous devez mettre à jour cette version dès que possible car le dernier chiffre « 2 » indique qu'il s'agit d'une mise à jour de sécurité.

Avant de commencer le processus de mise à jour, il est recommandé de créer une sauvegarde des données de votre site Web, en cas de problème avec la mise à jour. Il est également recommandé de tester d'abord les mises à jour majeures sur un site intermédiaire.

Ainsi, dans l'ensemble, maintenir votre boutique WooCommerce correctement à jour vous aidera grandement à la sécuriser.

Effectuer des sauvegardes WooCommerce régulières
Contrairement aux sites Web classiques, la perte des données de votre boutique WooCommerce peut avoir des effets désastreux car elle contient vos données client, vos données de commande, etc., qui ont un impact énorme sur les revenus de votre site Web.

Il est donc nécessaire de conserver une sauvegarde de votre boutique pour éviter le risque de perdre toutes vos précieuses données WooCommerce. Vous pouvez créer des sauvegardes de sites Web de 3 manières différentes ; sauvegarde manuelle, sauvegarde automatique via des plugins et sauvegarde par votre hébergeur.

Vous pouvez choisir la façon dont vous vous sentez à l'aise pour créer des sauvegardes. Si vous envisagez d'utiliser un plugin, UpdraftPlus serait un excellent choix car il vous offre plusieurs emplacements de stockage et permet des sauvegardes planifiées avec sa version gratuite elle-même.

Activer le pare-feu d'application Web
L'exécution d'un pare-feu d'application Web permet de protéger votre site contre tout trafic malveillant avant même qu'il n'atteigne votre site Web. Il existe deux types de pare-feu ; Pare-feu de site Web au niveau DNS et pare-feu au niveau de l'application. Vous pouvez ajouter un pare-feu à votre site Web en utilisant l'un des plugins WordPress.

Le plugin Wordfence est une excellente option pour ajouter un pare-feu à votre site Web. Une récente campagne d'attaque visant à collecter les informations d'identification de la base de données de 1,3 million de sites en téléchargeant leurs fichiers de configuration a été effectivement bloquée par des sites Web fonctionnant sur des versions gratuites ou premium de Wordfence.

Un pare-feu est indispensable pour votre site Web si vous souhaitez protéger votre boutique WooCommerce de toute sorte d'attaque qui la cible.

Choisissez judicieusement vos plugins et thèmes
Des vulnérabilités de plugins et de thèmes non détectées pourraient ouvrir la voie à des attaquants pour pénétrer dans votre site Web et causer des dommages. Ainsi, vous devez vous efforcer de ne choisir que les plugins et les thèmes régulièrement mis à jour. Étant donné que les versions gratuites peuvent ne pas être mises à jour aussi fréquemment que leurs versions premium, il est préférable d'opter pour des versions premium pour assurer les mises à jour et le support.

Mais, si cela n'est pas possible, assurez-vous que tous les plugins et thèmes de vos sites Web sont fréquemment mis à jour et désactivez et supprimez dès que possible tous les plugins qui ont été supprimés du référentiel de plugins WordPress.

Utiliser un mot de passe de base de données sécurisé et modifier le préfixe de la base de données
Comme mentionné ci-dessus, les attaques ciblant la base de données de votre site Web augmentent également, ce qui souligne la nécessité de sécuriser le mot de passe et le nom d'utilisateur de votre base de données MySQL. Si vous pensez que la base de données de votre site Web a un mot de passe faible, remplacez-le par un mot de passe plus fort.

Le préfixe de la base de données doit également être modifié car WordPress utilise par défaut wp_ comme préfixe pour toutes les tables de votre base de données WordPress, ce qui la rend vulnérable aux attaques (car il est plus facile pour les pirates de deviner le nom de la table).

Utiliser un plugin de sécurité
Si vous ne parvenez pas à gérer manuellement toutes les exigences de sécurité de votre boutique, vous pouvez ajouter un plug-in de sécurité à votre site et le laisser gérer toutes les tâches de sécurisation de votre site. La plupart des plugins de sécurité sont livrés avec certaines des fonctionnalités importantes telles que le pare-feu d'application Web, le scanner de logiciels malveillants, l'audit de l'activité de sécurité du site, les tentatives de connexion limitées et la surveillance de la liste noire, etc.

Voici quelques-uns des plugins de sécurité les plus populaires pour votre site Web WordPress-WooCommerce.

Wordfence
Sucuri
Tout en un WP Security
Sécurité des iThèmes

Tous ces plugins sont livrés avec des versions gratuites et premium. En fonction de vos besoins et des fonctionnalités du plugin, vous pouvez choisir leur version gratuite ou premium.

Pratiquer le principe du moindre privilège
Le principe du moindre privilège est l'idée que tout utilisateur ne devrait avoir que les privilèges minimaux nécessaires pour exécuter sa fonction. Cela élimine l'utilisation abusive des privilèges des utilisateurs et réduit les dommages en cas d'attaque.

Il est également recommandé de se déconnecter d'un système si vous n'avez pas besoin de l'utiliser et de vous empêcher de cliquer sur les liens dans les e-mails, les chats, etc., pendant que vous êtes connecté à votre compte associé à votre boutique.

Désactiver les pingbacks et les rétroliens
Les pingbacks et les rétroliens sont des méthodes pour alerter les blogs que vous leur avez liés. Mais il est préférable de les désactiver dans vos magasins WooCommerce car cela peut entraîner la réception d'une énorme quantité de spam sur votre site Web.

Vous pouvez facilement désactiver cela sur votre site Web en désélectionnant la fonctionnalité en accédant à Paramètres> Discussions à partir de votre tableau de bord WordPress.

Utiliser des passerelles de paiement sécurisées
Les passerelles de paiement font partie intégrante des boutiques WooCommerce. Il est très important d'ajouter les passerelles de paiement les plus sécurisées dans votre magasin pour assurer la sécurité de vos données et de celles de vos clients. Stripe, PayPal, Authorize.net, etc., sont d'excellentes options pour les passerelles de paiement sécurisées.

Résumé
L'article a énuméré 15 moyens importants et les plus efficaces que vous pouvez essayer dans votre boutique WooCommerce pour la sécuriser. Voici un rapide aperçu de chacun d'eux.

  • Choisissez un hébergeur fiable
  • Utiliser des mots de passe forts
  • Évitez d'utiliser admin comme nom d'utilisateur
  • Activer l'authentification à deux facteurs
  • Ajouter un certificat SSL (Secure Socket Layer)
  • Limiter les tentatives de connexion
  • Gardez votre site Web à jour
  • Effectuer des sauvegardes régulières
  • Activer le pare-feu des applications Web
  • Choisissez judicieusement les plugins et les thèmes
  • Utilisez un mot de passe de base de données sécurisé et modifiez le préfixe de la base de données
  • Utiliser des plugins de sécurité
  • Pratiquer le principe du moindre privilège
  • Désactiver les pingbacks et les rétroliens
  • Utiliser des passerelles de paiement sécurisées

Si vous avez de meilleures suggestions pour sécuriser les magasins WooCommerce, veuillez les partager dans la section commentaires et contribuer à assurer une meilleure sécurité pour tous les magasins WooCommerce.